Lagenlighet, korrekthet och transparens
Behandlingen av personuppgifter ska vara lagenlig, korrekt och transparent.
Lagenlighet
Vid behandling av personuppgifter ska EU:s allmänna dataskyddsförordning och övrig lagstiftning om behandling av personuppgifter följas.
För att behandlingen av personuppgifter ska vara lagenlig, ska det finnas en behandlingsgrund för den.
Grunden kan vara
- ett samtycke av den registrerade
- ett avtal
- en rättslig förpliktelse för den personuppgiftsansvarige
- skydd av vitala intressen
- en uppgift som gäller ett allmänt intresse eller offentliga makt eller
- ett berättigat intresse hos den registeransvariga eller en tredje part.
Behandlingen av personuppgifter ska också i övrigt vara lagenlig. I samband med behandlingen ska det alltid säkerställas att alla dataskyddsprinciper och övriga krav som gäller behandlingen, såsom skyddsåtgärderna för personuppgifter, uppfylls på behörigt sätt.
Korrekthet
Behandlingen av personuppgifter ska vara korrekt och rimlig i förhållande till syftet med behandlingen.
Information om behandlingen av personuppgifter ska ges på ett begripligt sätt, och informationen om behandlingen av personuppgifter får inte vara vilseledande. Behandlingen av personuppgifter får inte döljas, och information om behandlingen får inte ges på ett selektivt sätt som manipulerar den registrerade.
Personuppgifter får inte behandlas på ett sätt som är oförutsägbart och oväntat för den registrerade. Behandlingen är oväntad till exempel i följande fall: En person deltar i en utlottning, där den personuppgiftsansvarige meddelar att personuppgifter behandlas enbart för att utföra utlottningen och kontakta vinnaren. Om den personuppgiftsansvarige dock använder dessa personuppgifter för ett annat syfte, till exempel för direktmarknadsföring, är behandlingen av personuppgifter oväntad och oförutsägbar ur den registrerades synvinkel, eftersom information om detta användningsändamål inte getts i samband med insamlingen av personuppgifter.
Ibland kan behandling vara överraskande ur den registrerades synvinkel till exempel på grund av bestämmelserna om undantag från informationsskyldigheten och bundenheten till användningsändamålet. I en sådan situation ska den personuppgiftsansvarige kunna berätta till den registrerade, varför behandlingen är berättigad och lagenlig.
Syftet med dataskyddsbestämmelserna är att säkerställa en balans mellan behovet att behandla personuppgifter hos den personuppgiftsansvarige och den registrerades personuppgiftsskydd. Den personuppgiftsansvarige ska bedöma inverkan av behandlingen av personuppgifter för den registrerade. Behandlingen av personuppgifter får inte orsaka mer olägenheter än vad som är nödvändigt med tanke på behandlingens syfte. Målet ska vara att underlätta utövandet av den registrerades rättigheter och den registrerade ska bemötas sakligt, då den utövar sina rättigheter.
Transparens
Information om behandlingen av personuppgifter ska ges på ett tydligt och begripligt sätt.
Den registrerade ska underrättas om
- vilka uppgifter som samlas in om honom eller henne
- för vilket syfte hans eller hennes personuppgifter behandlas
- på vilket sätt hans eller hennes personuppgifter behandlas
- hurudana rättigheter han eller hon har.
Uppgifter som en personuppgiftsansvarig ska ge till en registrerad (pdf)
Uppgifter om behandlingen av personuppgifter ska vara lättillgängliga och enkla och begripliga vad gäller språk. Om en personuppgiftsansvarig behandlar personuppgifter som gäller barn, ska särskild uppmärksamhet riktas mot begripligheten.
Öppenhet och begriplighet i behandlingen av personuppgifter ökar också förtroendet för den personuppgiftsansvarige.
Läs mer:
Lagstiftning
Behandling av personuppgifter
När får personuppgifter behandlas?
Visa att du följer dataskyddsbestämmelserna
Den registrerades rättigheter
Berätta om behandlingen för den registrerade