Når har dere lov til å behandle personopplysninger?
Det er visse kriterier som må ligge til grunn for at man skal ha lov til å samle inn og bruke personopplysninger. Dette omtales ofte som behandlingsgrunnlag.
Har vi lov?
Foreligger det et samtykke? Eller foreligger det en lovhjemmel? Er behandlingen av persondataene nødvendig for å oppfylle en avtale?
Gir dere tilstrekkelig informasjon?
Det må gis tilstrekkelig med informasjon om hva som skal gjøres med personopplysningene til den det angår. Dette gjøres i en personvernerklæring, og i det skriftlige materiellet som gis ved et samtykke. I den nye forordningen er det økt krav til at informasjonen skal være forståelig for mottakeren. Husk at informasjon til barn skal tilpasses barnets forståelsesnivå.
Hva brukes opplysningen til?
Formålet med innhenting og bruk av personopplysningene må være tydelig og enkelt formulert fra organisasjonen. Det vil si at det ikke er rom for å bruke vage eller vide begrunnelser og bruken må være relevant for formålet. Persondataene må dekke et behov hos organisasjonen og dataene kan ikke brukes til andre/nye formål.
Hva er nødvendig?
Dere skal ikke samle inn flere personopplysninger enn dere trenger for eksempelvis å kunne registrere et nytt medlem. Samtidig skal ikke persondataene oppbevares lengre enn nødvendig.
Riktige og sanne opplysninger?
Opplysningene dere har lagret om en person må være riktige og oppdaterte.
Sikkerhet for persondataene
Personopplysningene må være sikret med tilstrekkelig informasjonssikkerhet hos ansatte og tillitsvalgte, gjennom gode passord, sikre datasystemer, konfidensialitet mm.