Personvernprinsippene påvirker hvordan dataansvarlig skal håndtere personopplysninger gjennom hele «livsløpet» til personopplysningene, fra tidspunktet for innsamling til opplysningene slettes eller anonymiseres. Når virksomheten vurderer hvilke tiltak som er egnede, må den ta hensyn til behandlingen av personopplysningers art, omfang, formål, sammenhengen den utføres i og risikoen for registrertes rettigheter og friheter. Dette innebærer at tiltakene bør være proporsjonale med hvor inngripende behandlingen av personopplysninger er for de registrerte og risikoen for at de ikke får oppfylt sine rettigheter og friheter.
Flere av prinsippene krever at dataansvarlig gjør noen vurderinger før personopplysninger kan samles inn. Dette kan gjøres på mange måter. Her viser vi et eksempel på hvordan en virksomhet kan ivareta prinsippene.
Eksempel 17 – etterlevelse av personvernprinsippene ved oppstart av ny behandling av personopplysninger
Ayan jobber som personvernrådgiver i den ideelle organisasjonen Normsorg. Hun bistår organisasjonen i et prosjekt der det skal opprettes et digitalt chatterom for ungdom som ønsker å snakke med en helsesykepleier. Normsorg kan bare identifisere ungdommene hvis de ber leverandøren av den tekniske løsningen om tilgang til IP-adressen til den enkelte ungdommen (som lagres hos leverandøren en kort periode), eller hvis ungdommen etter eget initiativ velger å oppgi identifiserende opplysninger i chatten. Normsorg har utarbeidet en sjekkliste for oppstart av ny behandling av personopplysninger. Sjekklisten skal brukes ved oppstart av nye behandlingsaktiviteter eller endring av eksisterende behandlingsaktiviteter, der Normsorg har vurdert at den selv er dataansvarlig. Aktivitetene i sjekklisten må utføres før Normsorg kan starte behandlingen av personopplysninger. Dette skal sikre at organisasjonen dokumenterer sin egen etterlevelse av alle prinsippene, i samsvar med kravene i prinsippet om ansvarlighet. Normsorg har allerede registrert og dokumentert de nødvendige kjerneopplysningene om behandlingen som skal fremgå av protokollen, jf. personvernforordningen Artikkel 30.
Ayan fyller ut sjekklisten slik (Ayans svar i kursiv): Sjekkliste for ny behandling av personopplysninger hvor Normsorg er dataansvarlig (PDF)
