Når vi behandler persondata, følger vi en lang række principper for at beskytte personers grundlæggende rettigheder og frihedsrettigheder i henhold til de bindende virksomhedsregler. De enkelte enheder skal opfylde følgende principper, når de behandler persondata:
Princip 1: Lovlighed
Der skal foreligge et dokumenteret juridisk grundlag for indsamling, anvendelse og behandling af persondata. Der er udarbejdet en ikkeudtømmende liste over juridiske grundlag. Eksempler:
- Databehandlingen er nødvendig for udarbejdelsen af en kontrakt med en person, f.eks. en medarbejder- eller salgskontrakt
- Personen har givet sit samtykke
- Fresenius' legitime interesse er større end de negative konsekvenser for de(n) pågældende person(er)
- Der er behov for at opfylde andre juridiske forpligtelser, f.eks. skattelove, overvågningskrav eller GxP-krav.
Særlige kategorier af data, f.eks. helbredsoplysninger, kræver supplerende juridiske grundlag.
Hvis lokal lovgivning indeholder yderligere eller divergerende bestemmelser, skal disse også følges (kan f.eks. være relevant for medarbejderdata).
Princip 2: Gennemsigtighed og rimelighed
Personoplysninger skal behandles på en rimelig og gennemsigtig måde. De registrerede personer skal før eller på tidspunktet for indsamling og anvendelse af persondata informeres om følgende:
- Hvem der er ansvarlig, og hvordan vi kan kontaktes
- Hvilke data der indsamles
- Hvordan dataene indsamles
- Hvorfor vi har brug for dataene (formål)
- Hvilke organisationer dataene deles med
- Hvorvidt dataene deles med andre lande
- Hvor længe dataene vil blive opbevaret
- Det juridiske grundlag for indsamling og anvendelse af data samt en nærmere forklaring af dette (princip 1)
- Hvorvidt de registrerede profileres
- Hvorvidt vi træffer automatiserede beslutninger
- Hvorvidt dataene skal afgives, og hvad der sker, hvis de ikke afgives
- Kontaktoplysninger på databeskyttelsesrådgiveren og den relevante myndighed
- De rettigheder, som de registrerede har.
Alle disse oplysninger skal gives på en grundig og letforståelig måde i et klart og enkelt sprog.
Princip 3: Begrænsning af formålet
Persondata må kun anvendes til de specificerede, eksplicitte og legitime formål, der ligger til grund for indsamlingen. Yderligere anvendelse er ikke tilladt, medmindre en sådan yderligere anvendelse er i overensstemmelse med det oprindelige formål, og/eller hvis der træffes yderligere foranstaltninger.
Yderligere anvendelse, der generelt anses for at være i overensstemmelse med det oprindelige formål, er:
- Arkivering
- Intern revision
- Undersøgelser.
Den (lokale eller generelle) databeskyttelseskonsulent kan give vejledning om, hvorvidt en formålsændring kan tillades. Hvis en formålsændring tillades, skal de registrerede informeres om ændringen.
Princip 4: Dataminimering
Der må kun indsamles og anvendes persondata, der er nødvendige til det definerede formål, sådan som det er formidlet til den registrerede. Det skal således sikres, at persondataene er relevante og passende i omfang i forhold til formålet.
Princip 5: Nøjagtighed
Keep personal data accurate and up-to-date. Procedures must be implemented to ensure that inaccurate data is deleted, corrected or updated without delay.
Princip 6: Begrænsning af opbevaring
Persondata må ikke opbevares længere end nødvendigt for det formål, som de er indsamlet til, medmindre det er påkrævet ved lov. I så fald skal adgangen til dataene være begrænset. Persondata skal slettes eller anonymiseres, hvis der ikke længere foreligger juridisk grund eller formål.
Princip 7: Sikkerhed, integritet og fortrolighed
Der skal træffes passende tekniske og organisatoriske foranstaltninger til at beskytte persondata mod destruktion, tab, ændring, videregivelse eller adgang til persondata (f.eks. via konceptet passende roller og rettigheder, backup og gendannelse eller ved hjælp af kryptering).
Ved gennemførelsen af sådanne foranstaltninger skal der tages hensyn til risikoen for de registrerede. IT-systemernes sikkerhed skal vurderes i lyset af disse risici, når de installeres og vedligeholdes.
Ethvert sikkerhedsbrud, der kan medføre en risiko for de registrerede, skal dokumenteres og rapporteres til databeskyttelsesorganisationen. Alt efter situationen skal sådanne brud også meddeles til tilsynsmyndigheden, de registrerede eller andre organisationer.
Princip 8: Ansvarlighed
Overholdelsen af de bindende virksomhedsregler skal kunne dokumenteres. Dette gøres ved at udforme og vedligeholde passende dokumentation som f.eks.:
- fortegnelser over behandlingsaktiviteter
- tekniske og organisatoriske foranstaltninger til opfyldelse af databeskyttelsesprincipperne og adressering af risiciene
- risikovurderinger vedrørende databeskyttelse og konsekvensanalyser
Brug af databehandlere
Der må kun benyttes databehandlere, som giver tilstrækkelige garantier i forhold til at gennemføre passende tekniske og organisatoriske foranstaltninger, så databehandlingen opfylder kravene i de bindende virksomhedsregler og de lokale databeskyttelseslove. Dette skal sikres gennem en databeskyttelsesaftale mellem den pågældende enhed og databehandleren.
Videreoverførsel/overførsel af persondata
Der skal gennemføres foranstaltninger til at beskytte overførsler af persondata til andre organisationer uden for EØS i overensstemmelse med de bindende virksomhedsregler. Dette kan gøres ved at blive enige med den pågældende organisation om de af Europa-Kommissionen vedtagne standardkontraktbestemmelser.