Europeiske og norske regler om personvern og informasjonssikkerhet bygger på noen grunnleggende personvernprinsipper. Samfunnsviternes behandling av personopplysninger må skje i samsvar med disse. Her får du en kort innføring i sentrale prinsipper som ligger til grunn for personvernreglene som ble innført i 2018.

Lovlig, rettferdig og gjennomsiktig
Behandling av personopplysninger må ha et lovlig grunnlag, for eksempel i form av samtykke, avtale eller lovgivning. EUs personvernforordning artikkel 6 og 9, angir på hvilke grunnlag behandling av personopplysninger kan skje.

Behandlingen av personopplysninger skal videre være rettferdig, og gjøres i respekt for de registrertes interesser og forventninger. Behandlingen skal være gjennomsiktig, dvs oversiktlig og forutsigbar, og forståelig for den enkelte. Den som får sine personopplysninger behandlet skal være informert, og verken intensjoner eller fremgangsmåter skal være skjult.


Formålsbegrensning
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Formålene skal beskrives på en tydelig og lett forståelig måte. Den registrerte skal kunne forstå hvorfor behandlingen er nødvendig, og hva opplysningene skal brukes til. Informasjonen skal gjøre den registrerte i stand til å danne seg en oppfatning om hvilken innsamling og behandling som ikke vil være forenlig med formålet. At formålet skal være legitimt innebærer at behandlingen skal ha et gyldig rettslig og etisk grunnlag. 


Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige. Hvis personopplysninger skal gjenbrukes må behandlingen enten være lovfestet eller det må inngås ny avtale eller innhentes nytt samtykke fra den berørte.


Dataminimering
Mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for å realisere innsamlingsformålet. Dersom noen av personopplysningene det bes om, etter en konkret vurdering ikke kan anses nødvendige for formålet, skal disse ikke samles inn.


Riktighet
Personopplysninger som behandles skal være korrekte, og oppdateres hvis det er nødvendig. Den behandlingsansvarlig skal sørge for å straks slette eller rette personopplysninger som er uriktige sett i lys de formål de behandles for. Dette kan gjøres ved å varsle de registrerte om at de må kontrollere og oppdatere sine personopplysninger.


Lagringsbegrensning
Personopplysninger skal lagres slik at de kan slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for. Tidsrommet for lagring av opplysningene skal ikke være lengre enn nødvendig.


Integritet og fortrolighet
Personopplysninger skal behandles slik at opplysningenes integritet og fortrolighet beskyttes. Å sikre fortrolighet om personopplysningers innebærer å verne disse mot uautorisert utlevering og tilgang. Å beskytte personopplysningers integritet innebærer å verne disse mot utilsiktet og ulovlig ødeleggelse, tap og endringer.


Ansvarlighet 
Den behandlingsansvarlige har ansvar for å oppfylle reglene om behandling av personopplysninger. Den behandlingsansvarlige må opptre aktivt, og sette i verk organisatoriske og tekniske tiltak for å sikre at regelverket etterleves. Virksomheter som behandler personopplysninger må kunne vise at den i praksis oppfyller reglene.