EU’s generelle databeskyttelsesforordning (GDPR) fastlægger et sæt databeskyttelsesprincipper for at sikre sikker og ansvarlig håndtering af persondata. Disse principper er som følger:
1. Lovlighed, retfærdighed og gennemsigtighed: GDPR kræver, at persondata indsamles og behandles lovligt og på en gennemsigtig måde.
Det betyder, at organisationen skal behandle data fra enkeltpersoner (kunder, medarbejdere osv.), således at de følger de strenge regler i GDPR og “hvad”, “hvorfor”, “hvordan”, “hvor”, “hvem” for behandlingen skal være synlig for den person, hvis data behandles:
- Hvilke data behandles, navn, adresser, e-mails mv
- Hvorfor data er nødvendige for organisationen; fx lønbehandling, afsendelse af leverancer til adressen
- Hvordan indsamles data af organisationen; for eksempel inkludere personligt interview, online formular, sociale medier
- Hvor dataene behandles
- Hvem dataene deles med.
2. Formålsbegrænsning: GDPR kræver, at persondata indsamles og behandles til specificerede, eksplicitte og legitime formål.
3. Dataminimering: GDPR kræver, at persondata er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt til de formål, som de behandles til.
4. Nøjagtighed: GDPR kræver, at persondata er nøjagtige og, hvor det er nødvendigt, holdes ajour.
5. Opbevaringsbegrænsning: GDPR kræver, at personoplysninger opbevares i en form, der tillader identifikation af registrerede, ikke længere end nødvendigt for de formål, som personoplysningerne behandles til.
6. Integritet og fortrolighed: GDPR kræver, at personoplysninger behandles på en måde, der sikrer deres sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse, ved brug af passende tekniske eller organisatoriske foranstaltninger.