Laglighet, korrekthet och öppenhet är en dataskyddsprincip
Laglighet, korrekthet och öppenhet är en dataskyddsprincip, som egentligen bestå av tre inbakade principer. Kort sagt innebär denna princip följande: Behandlingen måste vara korrekt och laglig. Dessutom ska företaget vara transparenta avseende behandlingen och tydliga med hur de behandlar personuppgifter tillhörande de registrerade.
Laglighet
För att få behandla personuppgifter måste den personuppgiftsansvarige ha en rättslig grund och det finns totalt sex (6) stycken grunder. Om behandlingen inte sker med stöd i en rättslig grund, är behandlingen av personuppgifterna olaglig.
De rättsliga grunderna enligt GDPR framgår i artikel 6 och är följande: Avtal, samtycke, rättslig förpliktelse, intresseavvägning, myndighetsutövning och allmänt intresse samt grundläggande intresse. Dessutom måste företaget enligt principen om laglighet följa andra lagar som kompletterar GDPR och de övriga grundläggande principerna.
Korrekthet (Engelsk definition: fairness)
Företaget måste behandla personuppgifterna proportionerligt, rimligt och rättvist i förhållande till de registrerade. Med andra ord att behandlingen ska vara proportionerlig till syftet med behandlingen. Därför ska företaget väga de registrerades och företagets intressen gentemot varandra. Företaget bör även ta hänsyn till vilken behandling av personuppgifter som de registrerade kan förvänta sig. Tänk på att inte manipulera behandlingen av personuppgifter eller på något annat sätt dölja det. Dessutom är det förbjudet för företag att dölja vilka personuppgifter de behandlar. Företaget får inte heller utföra påtryckningar för att få tillgång till personuppgifter.
Öppenhet, även kallad principen om transparens
Företaget måste bland annat informera de registrerade om vilka personuppgifter företaget behandlar. Till exempel vilken rättslig grund företaget använder, ändamålet med behandlingen, varför behandlingen sker, hur länge personuppgifterna blir behandlade m.m. Det måste vara tydligt för de registrerade och därför kan inte språket vara för komplicerat till målgruppen. Företaget måste vara transparent med vilka personuppgifter de behandlar. Om de registrerade är barn, är kraven avseende detta ännu högre.
Till exempel ska företaget ge information till de registrerade om deras rätt till att få registerutdrag och få sina personuppgifter raderade.
När behandlingen av personuppgifter avser barn, är detta särskilt viktigt. Till exempel måste språket vid sådana fall vara på samma språk som det huvudsakliga i landet där barnet befinner sig. Det får inte heller vara för långa meningar i informationen om behandlingen, eftersom det kan göra det svårare att läs. Det får inte heller förekomma för svåra ord som ett barn inte kan förväntas förstå.
Företag fick betala en sanktionsavgift för att språket i Integritetspolicyn var på engelska
I ett ärende fick ett företag betala sanktionsavgift, eftersom informationen om behandlingen var på engelska istället för Holländska när en stor del av de registrerade var barn som bodde i Nederländerna. Företaget ifråga, som bedriver en internationell sociala medier-plattform, hade därmed inte tillhandahållit informationen om behandlingen av personuppgifterna på ett enkelt sätt som målgruppen kunde förstå.
Principen om ändamålsbegränsning
Ändamålen med behandlingen måste vara specifika och angivna till de registrerade. Dessutom måste det föreligga ett berättigat ändamål, för att behandlingen ska vara tillåten. Först och främst måste företag ha ett syfte med behandlingen. Det är inte heller tillåtet att ha otydliga ändamål. I normala fall är det inte tillåtet att ändamålet är att “förbättra upplevelsen” eller “för marknadsföringsändamål”, eftersom det inte är tillräckligt specifikt beskrivet. Företaget ska dokumentera ändamålen och informera de registrerade om dem, innan behandlingen blir utförd.