Principperne for behandling

Principperne for behandling

I forordningens artikel 5 listes de principper der efter forordningen skal gælde for behandlingen af personoplysninger. Der står således, at personoplysninger skal,

  • behandles lovligt, rimeligt og på en gennemsigtig måde
  • indsamles til angivne formål
  • være begrænset til at dække det formål de behandles til
  • være aktuelle
  • opbevares tilsløret efter det tidsrum, hvor de aktivt behandles
  • opbevares i sikkerhed mod anden behandling, tab, tilintetgørelse eller beskadigelse

Det er den dataansvarliges opgave at kunne påvise - dvs dokumentere - at behandlingen af personoplysninger i dennes organisation efterlever principperne ovenfor!


Noter

Med de nøgleord som er fremhævet i princip artiklen har jeg samlet de følgende artiklers behandling af disse nøgleord.

Først skal vi imidlertid huske at minde hinanden på, at databehandling er en overskrift i sig selv; den dækker over så forskellige discipliner som

1. indsamling, 
2. validering, 
3. strukturering (klassificering, indeksering, filtrering, sortering) 
4. aggregering (analyse, oparbejdning, fortolkning, summering, sammenstilling, reduktion), 
5. fastholdelse (arkivering, udlån, udlejning, bortlodning, devaluering, hensættelse, sletning, bortkastelse)
6. disseminering (udbringning, omdeling, offentliggørelse)

Dernæst er det også vigtigt at huske på at forordningen som udgangspunkt er rettet mod private virksomheder - om ikke af andre grunde, så fordi der igennem hele forordningen er så mange kattelemme og mere eller mindre direkte undtagelser, som offentlige myndigheder og deres databehandlere kan operere efter!

Lovligt

Det lyder ikke helt tosset at forlange at behandling af personoplysninger skal foregå lovligt - specielt ikke i en lovtekst - men måske lidt overflødigt? Lovlighed er lidt for ukonkret. Lovligheden konkretiseres da også senere i artikel 6, hvor forordningen opregner de forhold, hvoraf mindst én skal være gældende:

  1. den registrerede har givet sit samtykke
  2. det er nødvendigt for at opfylde, eller forud for indgåelsen af, en kontrakt, hvor den registrerede er part
  3. en forudsætning for at den dataansvarlige kan overholde anden lovgivning
  4. beskyttelse af den registrerede eller dennes interesser
  5. i samfundets interesse
  6. i den dataansvarlige eller tredjemands interesse hvor forordningen ikke i øvrigt bestemmer anderledes

Rimeligt

Der er ikke mange direkte referencer til rimeligheden, som overvejende må ses som en lidt elastisk begrænsning. Den dataansvarlige skal således tage hensyn til om behandlingen står i rimeligt forhold til det (for)mål der forfølges. Den slags hensyn forekommer uklare og meget situationsbestemte, og vil helt sikkert kunne fylde retssale, hvis adgang til at prøve den slags beslutninger bliver givet!

Gennemsigtig

Den dataansvarlige skal kunne aflevere en række 'meta' (data om data) oplysninger om databehandlingen til subjektet - den registrerede - hurtigt, lettilgængeligt, kortfattet, letforståeligt, i et klart og enkelt sprog. Det er dog ikke et tag-selv-bord for den registrerede! Som udgangspunkt er disse 'meta' oplysningerne gratis, men hvis den registrerede stille grundløse anmodninger, hvis de gentages eller er overdrevne, kan den dataansvarlige vælge at opkræve et rimeligt gebyr, eller endog vælge at afvise at efterkomme anmodningen!

En pudsig bestemmelse i forordningen er, at hvis den dataansvarlige vælger at overgive meta oplysningerne sammen med ikonografiske elementer (for at give et meningsfuldt overblik over den planlagte behandling på en klart synlig, letforståelig og letlæselig måde, som der står) på et elektronisk format, så skal de elementerne være maskinlæsbare!

Angivne formål

Formålet med behandlingen af personoplysninger skal angives udtrykkeligt, og der må ikke ske en viderebehandling - dvs behandling på et senere tidspunkt eller udvidet i forhold til det oprindeligt oplyste formål - som ikke er foreneligt med det oplyste formål. Du må altså ikke oplyse at du indsamler skostørrelser og hudfarve med det formål at finde en statistisk korrelation mellem hudfarve og skostørrelse, for senere at tilføje fx postnummer og endelig sælge oplysningerne til fx sko fabrikanten Lloyd.

Begrænset

Behandlingen af personlysninger skal begrænses til det, der er tilstrækkeligt, relevant og nødvendigt, for det formål der forfølges. Jeg kunne godt have forordningens fædre mistænkt for ikke at være driftsøkonomer - for jeg har svært ved at forestille mig, nogen privat virksomhed, hvor man ikke vil optimere databehandlingen, men uden hverken mål eller styring lade behandlingen vokse ukontrollabelt!

Aktuelle

Aktualitetsvariansen fra et af de tidligere dagbogsoptegnelser kommer i spil her :)
Det er i alles interesse at de data punkter man ligger inde med, har det stærkest mulige udsagn og repræsenterer en objektiv sandhed - i det omfang det er muligt - men forordningen understreger det altså: at urigtige oplysninger skal fjernes, eller valideres/berigtiges.

Tilsløret

Tilsløringen af personoplysninger har mange navne - fx pseudonymisering hvorefter en persons identitet ikke kan genskabes ud fra de foreliggende oplysninger. Kryptering, hvorefter oplysningerne forvranskes med en fastlagt metode, er et andet værktøj, hvorefter oplysningerne reelt gøres uanvendelige, medmindre de dekrypteres før genanvendelse.

Sikkerhed

Tilsikringen af personoplysningernes urørlighed er ligeledes et principielt krav. Det er dog et krav som det må forventes at der vil komme en lang række overtrædelser af! Trods store anstrengelser ser vi i dag jævne brud på datasikkerheden i såvel private virksomheder som offentlige myndigheder, og en forordning mere eller mindre kommer tvivlsomt til at gøre nogen forskel her.