Personvernforordningen bygger på noen grunnleggende prinsipper som virksomheten må sørge for å ivareta når den behandler personopplysninger. Personvernforordningen ble utarbeidet både for å sikre at personopplysninger kan utveksles fritt i EU- og EØS-området, men også for å gi de registrerte bedre kontroll over egne opplysninger gjennom flere og tydeligere rettigheter. Sistnevnte må ses i sammenheng med at både retten til vern av privatlivet og beskyttelse av personopplysninger er sentrale menneskerettigheter.
Personvernprinsippene er listet opp i forordningens artikkel 5. Prinsippene gir uttrykk for både grunnleggende hensyn som personvernforordningen skal ivareta, og konkrete krav til hvordan personopplysninger skal behandles. Prinsippene er selvstendige regler som stiller krav til all behandling av personopplysninger. I tillegg skal de brukes i tolkningen av andre bestemmelser i forordningen og personvernbestemmelser i andre lover, herunder lover som regulerer behandling av personopplysninger i helse- og omsorgssektoren.
Prinsippene gjelder ikke utelukkende ved oppstart av nye behandlinger eller utvikling av egne systemer. Prinsippene skal også følges i for eksempel anskaffelsesprosesser, hvor mange andre interesser og prioriteringer ofte kommer tydelig til uttrykk. Ved anskaffelse av et system vil beslutningstakerne måtte veie f.eks. økonomi opp mot formålet med systemet de anskaffer og hvorvidt systemet har funksjonalitet som svarer til formålet og personvernprinsippene. Dette kan f.eks. være systemets robusthet, innebygd personvern, mulighetene man har for å holde opplysningene oppdaterte og riktige (prinsippet om riktighet), korrigere dem ved feil, begrense tilganger, føre logg etc.
Personvernprinsippene harmonerer godt med reglene om forsvarlige og gode helsetjenester, pasientsikkerhet og sikring av tillit til helse- og omsorgssektoren. Ivaretakelse av prinsippet om at personopplysninger skal være riktige, er for eksempel en viktig forutsetning for pasientsikkerheten og at helsepersonellet skal kunne gi forsvarlig helsehjelp. Prinsippet om personopplysningers konfidensialitet harmonerer også godt med helsepersonellets taushetsplikt. I noen tilfeller kan hensynet til personvern og hensynet til pasientsikkerhet, forsvarlig helsehjelp, forskning eller andre formål trekke i forskjellige retninger. Dataansvarlig må da være varsom med å innfortolke en motstrid, og virksomheten må tilstrebe å harmonisere tolkningen av prinsippet med kravet til pasientsikkerhet og forsvarlig helsehjelp. Lykkes ikke dataansvarlig i å harmonisere sin fortolkning av et personvernprinsipp med reglene om forsvarlig helsehjelp og pasientsikkerhet, så bør dataansvarlig søke en avklaring hos veiledende organer på området.
Personvernforordningens fortale uttrykker at «Retten til vern av personopplysninger er ikke en absolutt rettighet; den må ses i sammenheng med den funksjon den har i samfunnet, og veies mot andre grunnleggende rettigheter i samsvar med forholdsmessighetsprinsippet», jf. personvernforordningen fortalepunkt 4 (lovdata.no).Noen ganger må retten til personvern veies opp mot andre sentrale menneskerettigheter som retten til liv og retten til ytringsfrihet.
Personvernprinsippene baserer seg ikke på fastlåste terskler og rammer. I samsvar med prinsippet om ansvarlighet, må dataansvarlig tolke prinsippene og hvilken betydning det enkelte prinsippet får i ulike situasjoner. Det må alltid gjøres en avveining mellom hensynet til personvern og hensynet til forsvarlig helsehjelp og pasientsikkerheten, dersom disse hensynene trekker i forskjellig retning. Flere av personvernprinsippene legger også uttrykkelig opp til en fortolkning av hva som er nødvendig for å ivareta formålet med behandlingen av personopplysninger som skal utføres. Der formålet med behandlingen av personopplysninger er å yte forsvarlig helsehjelp og/eller å ivareta pasientsikkerhet, så er det den medisinsk-faglige vurderingen som bør vektlegges i vurderingen av hva som er nødvendig for å ivareta formålet. Dataansvarlig må likevel alltid gjøre en reell vurdering av om man kan oppnå samme effekt ved mindre personverninngripende tiltak.
Personvernprinsippene påvirker hvordan dataansvarlig skal behandle personopplysningene helt fra de samles inn, frem til de slettes eller anonymiseres. I faktaarkets siste avsnitt gis et eksempel på hvordan dataansvarlig vanligvis må ta hensyn til personvernprinsippene ved oppstart av ny behandling av personopplysninger.
Flere av de andre bestemmelsene i personvernforordningen gir utfyllende beskrivelser av hvordan prinsippene skal ivaretas. For eksempel er innholdet i prinsippet om lovlighet nærmere beskrevet i Artikkel 6. Bestemmelsen definerer at all behandling av personopplysninger må oppfylle kravene til minst ett av behandlingsgrunnlagene som er listet opp i bestemmelsen, for at behandlingen skal være lovlig. Et av behandlingsgrunnlagene er samtykke, og kravene til slike samtykker er nærmere definert i Artikkel 7. Prinsippet om åpenhet har gitt utslag i en konkret plikt for dataansvarlig til å gi de registrerte informasjon om hvordan deres personopplysninger behandles. Innholdet i denne plikten fremgår av forordningens Artikkel 12 til 14.
Det er også lagt inn flere henvisninger til personvernprinsippene i lovgivning som regulerer behandling av personopplysninger på særskilte områder i helse- og omsorgssektoren. For eksempel henviser helseforskningsloven § 32 til personvernprinsippene i personvernforordningen Artikkel 5, og at medisinsk og helsefaglig forskning skal være i samsvar med disse. Tilsvarende henvisning for ivaretakelse av personvernprinsippene i helseregistre, finnes i helseregisterloven § 6 første ledd. I tillegg henviser helsepersonelloven § 42 til retten til retting, som er en del av prinsippet om personopplysningers riktighet. I helseregisterloven §§ 23 og 24, finnes regler om informasjon om behandling av personopplysninger i helseregistre, som må ses i sammenheng med prinsippet om åpenhet.
Overholdelse av prinsippene i Artikkel 5 skal sørge for at all behandling av personopplysninger er forutsigbar og forholdsmessig for den registrerte.
Ved bruk av databehandlere skal dataansvarlig bare benytte databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter (jf. personvernforordningen Artikkel 28, punkt 1). Databehandler har på sin side et selvstendig ansvar som blant annet innebærer at databehandleren omgående skal underrette den dataansvarlige dersom databehandler/vedkommende mener at en instruks er i strid med forordningen eller andre bestemmelser om vern av personopplysninger (jf. personvernforordningen Artikkel 28, punkt 3, bokstav h).
