Når vi behandler personopplysninger, følger vi flere prinsipper for å beskytte de grunnleggende rettighetene til enkeltpersoner i henhold til BCR. Hver enhet må overholde følgende prinsipper ved behandling av personopplysninger:
Prinsipp 1: Legitimitet
Ha et dokumentert rettslig grunnlag ved innsamling, bruk og behandling av personopplysninger. Disse restriktive juridiske behandlingsgrunnlag er oppført. Eksempler er:
- Behandling er nødvendig for å overholde en kontrakt med den enkelte, for eksempel ansettelseskontrakter og salgskontrakter
- Personen har gitt godkjenning
- Fresenius' legitime interesser er større enn de negative konsekvensene for enkeltpersoner
- Behovet for å oppfylle andre juridiske forpliktelser, for eksempel skattelover, overvåkningsskrav eller GxP-krav.
Spesielle kategorier av opplysninger, for eksempel helsedata, trenger ytterligere juridiske grunner.
Hvis lokale lover krever ytterligere eller mer komplekse behandlingsgrunnlag, må de også følges (dette kan for eksempel gjelde for opplysninger om ansatte).
Prinsipp 2: Åpenhet og rettferdighet
Vi håndterer personopplysninger på en rettferdig og transperent måte. Enkeltpersoner informeres før eller på tidspunktet for innsamling og bruk av personopplysninger om følgende:
- Hvem som er ansvarlig og hvordan du kontakter oss
- Hvilke opplysninger som samles inn
- Hvordan opplysningene samles inn
- Hvorfor vi trenger opplysningene (formål)
- Hvilke organisasjoner opplysningene deles med
- Om opplysningene deles med andre land
- Hvor lenge opplysningene lagres
- Rettslig grunnlag for innsamling og bruk av data og forklaring av dem (prinsipp 1)
- Dersom enkeltpersoner beskrives
- Dersom vi tar automatiserte noen beslutninger
- Dersom personopplysninger må oppgis og hva som skjer hvis ikke
- Kontaktinformasjon for DPO og myndighet
- Rettigheter som enkeltpersoner har.
All denne informasjonen må gis på en grundig og lettfattelig måte ved hjelp av klart og enkelt språk.
Prinsipp 3: Formålsbegrensning
Personopplysninger brukes bare til de spesifikke, eksplisitte og legitime formålene de ble samlet inn for. Ingen videre bruk er tillatt, med mindre denne tilleggsbruken er i tråd med det opprinnelige formålet og/eller ytterligere forholdsregler tas.
Ytterligere behandlingsformål som vanligvis anses som kompatible med det opprinnelige formålet er:
- Arkivering
- Internrevisjon
- Undersøkelser
(L)DPA vil kunne gi veiledning om hvorvidt formålet kan endres. Hvis det tillatte formålet endres, må enkeltpersoner informeres om slike endring.
Prinsipp 4: Begrensning av datainnsamling
Innsamling og bruk av personopplysninger skla begrenses til det som er nødvendig for det angitte formålet som kommunisert til den enkelte. Dette betyr å sørge for at personopplysninger er relevante og ikke overdrevne i lys av formålet.
Prinsipp 5: Nøyaktighet
Personopplysninger skla være nøyaktige og holdes oppdaterte. Det må innføres rutiner for å sikre at unøyaktige data slettes, korrigeres eller oppdateres uten forsinkelse.
Prinsipp 6: Lagringsbegrensning
Ikke oppbevar personopplysninger lenger enn for det formålet de ble samlet inn for, med mindre loven krever det. I et slikt tilfelle må tilgangen begrenses. Slett personopplysninger eller gjør dem anonyme hvis det ikke lenger er forligger en juridisk grunn eller et juridisk formål med lagring av opplysningene.
Prinsipp 7: Sikkerhet, integritet og konfidensialitet
Tekniske og organisatoriske tiltak tas for å beskytte personopplysninger mot ødeleggelse, tap, endring, utlevering eller tilgang til personopplysninger (f.eks. gjennom tilgangskontroll, sikkerhetskopiering, gjenoppretting eller kryptering).
Når du implementerer slike tiltak, bør du vurdere risikoen som den enkelte blir utsatt for. Sikkerheten til IT-systemer bør vurderes i lys av disse risikoene ved installasjon og vedlikehold av IT-systemer.
Dokumenter og rapporter eventuelle sikkerhetsbrudd som det er sannsynlig at vil føre til en risiko for berørte personer til personvernansvarlig. Avhengig av situasjonen må disse bruddene også varsles til tilsynsmyndigheten, berørte enkeltpersoner eller organisasjoner.
Prinsipp 8: Ansvar
Vi skal kunne demonstrere overholdelse av BCR. Dette gjøres ved å opprette og vedlikeholde relvant dokumentasjon, for eksempel dokumenter som beskriver:
- Aktivitetsoppføringer for behandling av personopplysninger
- Tekniske og organistoriske tiltak som er iverksatt for å overholde prinsippene for personvern og risikostyring.
- Vurdering og kontroll av risiko knyttet til personvern
Bruk av databehandlere
Bare engasjer databehandlere som iverksetter tilstrekkelige tekniske og organisatoriske sikkerhetstiltak som oppfyller BCR-behandlingskrav og lokale personvernlover. Dette må sikres gjennom en databehnadleravtale mellom den aktuelle enheten og databehandleren.
Videre overføring av personopplysninger
Iverksett tiltak for å beskytte overføring av personopplysninger til andre institusjoner utenfor EØS i samsvar med BCR. Dette kan gjøres ved å godta standard kontraktsklausuler som er vedtatt av EU-kommisjonen med den andre organisasjonen.