Khi xử lý dữ liệu cá nhân, chúng ta sẽ tuân thủ một số nguyên tắc để bảo vệ các quyền và sự tự do cơ bản của cá nhân theo BCR. Mỗi tổ chức phải tuân thủ các nguyên tắc sau khi xử lý dữ liệu cá nhân:
Nguyên tắc 1: Tính hợp pháp
Có cơ sở pháp lý được lập thành văn bản khi thu thập, sử dụng và xử lý dữ liệu cá nhân. Các cơ sở pháp lý này được liệt kê có giới hạn. Ví dụ như:
- Việc xử lý là cần thiết để thực hiện hợp đồng với cá nhân, chẳng hạn như hợp đồng nhân viên và hợp đồng mua bán
- Có sự đồng ý của cá nhân
- Lợi ích hợp pháp của Fresenius lớn hơn những hậu quả tiêu cực đối với các cá nhân.
- Theo nhu cầu thực hiện các nghĩa vụ pháp lý khác, chẳng hạn như luật thuế, yêu cầu cảnh giác hoặc yêu cầu về chất lượng.
Các danh mục dữ liệu đặc biệt, chẳng hạn như dữ liệu sức khỏe, cần có thêm cơ sở pháp lý.
Nếu luật pháp địa phương yêu cầu các điều khoản bổ sung hoặc các điều khoản khác, thì những điều khoản này cũng phải được tuân thủ (ví dụ, điều này có thể liên quan đến dữ liệu nhân viên).
Nguyên tắc 2: tính minh bạch và công bằng
Xử lý dữ liệu cá nhân một cách công bằng và minh bạch. Thông báo cho các cá nhân trước hoặc tại thời điểm thu thập và sử dụng dữ liệu cá nhân về:
- Người chịu trách nhiệm và làm cách nào để liên hệ với chúng tôi
- Dữ liệu nào được thu thập
- Cách thu thập dữ liệu
- Tại sao cần dữ liệu (mục đích)
- Dữ liệu được chia sẻ với tổ chức nào
- Nếu dữ liệu được chia sẻ với các quốc gia khác
- Dữ liệu sẽ được lưu giữ trong bao lâu
- Cơ sở pháp lý để thu thập và sử dụng dữ liệu và giải thích về điều đó (nguyên tắc 1)
- Trường hợp thông tin cá nhân được lập thành hồ sơ
- Nếu các quyết định đưa ra bằng phương thức tự động
- Nếu dữ liệu phải được cung cấp và điều gì sẽ xảy ra nếu điều đó không được thực hiện
- Thông tin liên hệ DPO và cơ quan có thẩm quyền
- Quyền của các cá nhân được thu thập dữ liệu.
Tất cả thông tin này phải được cung cấp toàn diện và ở dạng dễ tiếp cận, sử dụng ngôn ngữ rõ ràng và đơn giản.
Nguyên tắc 3: Giới hạn mục đích
Chỉ sử dụng dữ liệu cá nhân cho các mục đích cụ thể, rõ ràng và hợp pháp mà dữ liệu đó được thu thập. Không được phép sử dụng cho các mục đích khác, trừ khi việc sử dụng cho các mục đích khác là phù hợp với mục đích ban đầu và/hoặc các biện pháp bổ sung được thực hiện.
Các mục đích xử lý tiếp theo thường được coi là phù hợp với mục đích ban đầu là:
- Lưu trữ;
- Kiểm toán nội bộ;
- Điều tra.
Cố vấn Bảo vệ dữ liệu (địa phương) có thể cung cấp hướng dẫn về việc thay đổi mục đích và các biện pháp cần thiết bổ sung.Trong trường hợp được phép thay đổi mục đích, cá nhân phải được thông báo về bất kỳ thay đổi nào như vậy.
Nguyên tắc 4: Giảm thiểu dữ liệu
Chỉ thu thập và sử dụng dữ liệu cá nhân cần thiết cho mục đích xác định như đã thông báo cho cá nhân. Có nghĩa là đảm bảo dữ liệu cá nhân có liên quan và không quá mức theo mục đích
Nguyên tắc 5: Tính chính xác
Giữ cho dữ liệu cá nhân luôn chính xác và cập nhật. Các thủ tục phải được thực hiện ngay để đảm bảo dữ liệu không chính xác sẽ được xóa, sửa hoặc được cập nhật.
Nguyên tắc 6: Giới hạn lưu trữ
Không lưu giữ dữ liệu cá nhân lâu hơn cần thiết cho mục đích mà dữ liệu cá nhân đã được thu thập, trừ khi luật pháp yêu cầu. Trong trường hợp đó, quyền truy cập vào dữ liệu cá nhân phải bị hạn chế. Xóa hoặc ẩn danh dữ liệu cá nhân nếu không có lý do hoặc mục đích pháp lý nào nữa.
Nguyên tắc 7: Tính an toàn, toàn vẹn và bảo mật
Thực hiện các biện pháp kỹ thuật và có tổ chức để bảo vệ dữ liệu cá nhân khỏi bị phá hủy, mất mát, thay đổi, bị tiết lộ hoặc truy cập trái phép (ví dụ: thông qua các khái niệm về vai trò và quyền hạn, sao lưu, khôi phục hoặc bằng cách sử dụng mã hóa).
Khi thực hiện các biện pháp đó, các rủi ro đối với cá nhân phải được xem xét. Tính bảo mật của hệ thống CNTT phải được đánh giá dựa trên những rủi ro này khi cài đặt và bảo trì hệ thống CNTT
Lập hồ sơ và báo cáo cho tổ chức bảo vệ dữ liệu bất kỳ vi phạm bảo mật nào có khả năng dẫn đến rủi ro cho các cá nhân. Tùy từng trường hợp, những vi phạm đó cũng phải được thông báo cho cơ quan giám sát, cá nhân hoặc tổ chức khác.
Nguyên tắc 8: Trách nhiệm giải trình
Có thể chứng minh sự tuân thủ BCR. Điều này được thực hiện bằng cách tạo và duy trì tài liệu một cách thích hợp như:
- hồ sơ về các hoạt động xử lý
- các biện pháp kỹ thuật và có tổ chức được thực hiện để tuân thủ các nguyên tắc bảo vệ dữ liệu và đánh giá các rủi ro.
- thực hiện đánh giá rủi ro và các biện pháp kiểm soát trong việc bảo vệ dữ liệu.
Sự hợp tác với Bên xử lý dữ liệu
Chỉ hợp tác với các bên xử lý đảm bảo được các biện pháp mang kỹ thuật và có tổ chức nhằm đáp ứng các yêu cầu của BCR và luật bảo vệ dữ liệu địa phương. Điều này phải được đảm bảo bằng hợp đồng bảo vệ dữ liệu giữa đơn vị tương ứng và bên xử lý.
(Chuyển) gửi dữ liệu cá nhân
Thực hiện các biện pháp để bảo vệ đầy đủ việc chuyển dữ liệu cá nhân cho các tổ chức khác nằm ngoài EEA theo BCR. Điều này có thể được thực hiện bằng cách đồng ý các điều khoản hợp đồng tiêu chuẩn đã được Ủy ban Châu Âu thông qua với tổ chức khác.