När vi behandlar personuppgifter ska vi följa flera principer för att skydda individernas grundläggande rättigheter och friheter i enlighet med BCR. Varje enhet måste iaktta följande principer vid behandling av personuppgifter:
Princip 1: Laglighet
Ha en dokumenterad rättslig grund vid insamling, användning och behandling av personuppgifter. Sådana rättsliga grunder listas med begränsningar. Exempel är:
- Behandlingen är nödvändig för att uppfylla ett avtal med individen, t.ex. anställningsavtal och försäljningsavtal.
- Individen har gett sitt samtycke.
- Fresenius berättigade intressen är större än de negativa konsekvenserna för individerna.
- Behovet av att uppfylla andra rättsliga skyldigheter, t.ex. skattelagar, krav på vaksamhet eller GxP-krav.
Särskilda kategorier av uppgifter, bland annat hälsouppgifter, kräver kompletterande rättsliga grunder.
Om lokal lagstiftning kräver kompletterande eller avvikande bestämmelser måste även dessa följas (detta kan bland annat vara relevant för uppgifter om medarbetare).
Princip 2: Öppenhet och rättvisa
Hantera personuppgifter på ett rättvist och öppet sätt. Informera individer innan eller vid insamling och användning av personuppgifter om:
- Vem som är ansvarig och hur vederbörande kan kontaktas.
- Vilka uppgifter som samlas in.
- Hur uppgifterna samlas in.
- Varför vi behöver uppgifterna (syfte).
- Med vilka organisationer uppgifterna delas.
- Om de delas med andra länder.
- Hur länge uppgifterna lagras.
- Den rättsliga grunden till insamling och användning av uppgifter samt en förklaring av detta (princip 1).
- Om individerna profileras.
- Om vi fattar några beslut med hjälp av automatiserade medel.
- Om uppgifterna måste lämnas och vad som händer om detta inte sker.
- Kontaktuppgifter till DPO och myndighet.
- Individernas rättigheter.
All denna information måste ges i ett detaljerat och lättåtkomligt format och på ett tydligt och lättläst språk.
Princip 3: Begränsat syfte
Personuppgifter används endast till de specificerade, uttryckliga och rättsliga syften för vilka de samlas in. Annan användning är inte tillåten, såvida inte denna användning är i linje med det ursprungliga syftet och/eller kompletterande åtgärder vidtas.
Syften för ytterligare behandling som i allmänhet anses vara i linje med det ursprungliga syftet är:
- Arkivering
- Internrevision
- Undersökningar
(L)DPA kan ge råd om huruvida en ändring av syftet kan vara tillåten. I händelse av en tillåten ändring av syftet måste individer informeras om sådan ändring.
Princip 4: Dataminimering
Samla in och använd endast uppgifter som är nödvändiga för det definierade syftet så som det har kommunicerats till individen. Det innebär att säkerställa att personuppgifter är relevanta och inte orimliga i förhållande till syftet.
Princip 5: Noggrannhet
Kontrollera att personuppgifter är korrekta och aktuella. Procedurer ska implementeras för att säkerställa att felaktiga uppgifter raderas, korrigeras eller uppdateras utan dröjsmål.
Princip 6: Lagringsbegränsningar
Lagra inte personuppgifter längre än nödvändigt för syftet som de insamlats för, såvida inte detta är ett rättsligt krav. I sådana fall ska åtkomst till uppgifterna vara begränsad. Radera eller anonymisera personuppgifter om det inte längre finns något rättsligt skäl eller syfte.
Princip 7: Säkerhet, integritet och sekretess
Vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot förstörelse, förlust, ändringar, avslöjande eller åtkomst (t.ex. genom ett lämpligt roll- och rättighetskoncept, säkerhetskopiering och återställning eller med hjälp av kryptering).
När sådana åtgärder implementeras måste riskerna för individen beaktas. IT-systemens säkerhet måste bedömas med dessa risker för ögonen vid installation och underhåll av IT-system.
Dokumentera och rapportera varje brott mot säkerheten som sannolikt resulterar i en risk för de berörda individerna till dataskyddsorganisationen. Beroende på situationen ska sådana brott även meddelas till tillsynsmyndigheten, individerna eller andra organisationer.
Princip 8: Ansvarsskyldighet
Efterlevnad av BCR ska kunna påvisas. Detta sker genom att skapa och underhålla relevant dokumentation såsom:
- Register över behandlingsaktiviteter.
- Tekniska och organisatoriska åtgärder som har vidtagits för att efterleva dataskyddsprinciperna och ta itu med riskerna.
- Risk- och kontrollbedömningar av dataskyddet.
Anlitande av databehandlare
Anlita endast databehandlare som erbjuder tillräckliga garantier om att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i BCR och lokala dataskyddslagar. Detta måste säkerställas genom ett dataskyddsavtal mellan respektive enhet och databehandlaren.
(Vidare) Överföring av personuppgifter
Vidta åtgärder för att ge ett fullgott skydd vid överföring av personuppgifter till andra organisationer utanför EES i enlighet med dessa BCR. Detta kan göras genom att enas om standardavtalsklausuler, som har antagits av den Europeiska kommissionen, med den andra organisationen.