Kapitel 3 1 Behandling af oplysninger
Oplysninger skal behandles i overensstemmelse med god databehandlingsskik og under hensyntagen til oplysningernes karakter.
Stk. 2 Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, som er omfattet af § 1, stk. 1, og senere behandling må ikke være uforenelig med disse formål, jf. dog § 5.
Stk. 3 Oplysninger, som behandles, skal være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Stk. 4 Oplysninger, som behandles, skal være korrekte og om nødvendigt ajourførte. Der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges.
Stk. 5 Den dataansvarlige træffer alle rimelige foranstaltninger til at sikre, at personoplysninger ikke videregives eller stilles til rådighed, hvis de er urigtige, ufuldstændige eller ikke ajourførte. I dette øjemed verificerer den dataansvarlige så vidt muligt kvaliteten af personoplysningerne, før de videregives eller stilles til rådighed. I forbindelse med videregivelse af oplysninger skal der så vidt muligt tilføjes nødvendige oplysninger, der gør det muligt for den modtagende kompetente myndighed at vurdere, i hvor høj grad personoplysningerne er rigtige, fuldstændige og pålidelige, og i hvilket omfang de er ajourførte. Konstateres det, at der er videregivet urigtige personoplysninger, eller at personoplysninger er videregivet ulovligt, skal dette straks meddeles modtageren. Oplysningerne skal i givet fald berigtiges eller slettes, eller behandlingen skal begrænses.
Stk. 6 Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Stk. 7 Indsamlede oplysninger skal behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, hændelig tilintetgørelse eller hændelig beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. § 27.
Stk. 8 Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1-7 overholdes.
Senere behandling af oplysninger til et andet af de formål, der er nævnt i § 1, stk. 1, end det, hvortil de oprindelig var indsamlet, kan foretages af den samme eller en anden af de kompetente myndigheder, når behandlingen sker på baggrund af lov og er nødvendig og forholdsmæssig i forhold til dette efterfølgende formål.
Stk. 2 Der kan i medfør af stk. 1 endvidere foretages behandling af oplysninger, der alene sker til arkivformål i samfundets interesse eller i historisk, statistisk eller videnskabeligt øjemed.
Foretages der videregivelse af oplysninger, fastsætter og underretter den videregivende kompetente myndighed om eventuelle særlige vilkår for behandling af oplysningerne. Der kan ikke fastsættes særlige vilkår, alene som følge af at der er tale om videregivelse til en modtager i en anden medlemsstat.
Stk. 2 Behandling af oplysninger, der er modtaget fra en kompetent myndighed, må ikke ske i strid med særlige vilkår, som er fastsat af den videregivende kompetente myndighed.
Den dataansvarlige skal tilrettelægge behandlingen af personoplysninger således, at der fastsættes passende frister for sletning af personoplysninger eller regelmæssig undersøgelse af behovet for lagring af oplysningerne. Det sikres endvidere ved proceduremæssige foranstaltninger, at tidsfristerne overholdes.
Den dataansvarlige skal, når det er relevant, så vidt muligt sondre mellem personoplysninger om forskellige kategorier af registrerede, herunder
-
1) personer, om hvem der er væsentlig grund til at tro, at de har begået eller vil begå en strafbar handling,
-
2) personer, der er dømt for en strafbar handling,
-
3) ofre for en strafbar handling eller personer, om hvem visse faktiske omstændigheder giver anledning til at tro, at de kunne blive ofre for en strafbar handling, og
-
4) andre parter i forbindelse med en strafbar handling såsom personer, der kan blive indkaldt som vidner i efterforskninger i forbindelse med strafbare handlinger eller i efterfølgende straffesager, personer, der kan tilvejebringe oplysninger om strafbare handlinger, eller kontakt- eller ledsagepersoner for de personer, der er nævnt i nr. 1 og 2.
Behandling af oplysninger må kun finde sted, når behandlingen er nødvendig for at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder for at beskytte mod eller forebygge trusler mod den offentlige sikkerhed.
Der må ikke behandles personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Stk. 2 Under overholdelse af betingelserne i denne lov kan der dog foretages behandling af oplysninger omfattet af stk. 1, når det er strengt nødvendigt og sker af hensyn til de formål, der er nævnt i § 1, stk. 1, herunder for at beskytte den registreredes eller en anden fysisk persons vitale interesser, eller hvis behandlingen vedrører oplysninger, som tydeligvis er offentliggjort af den registrerede.
Der kan træffes afgørelser, der har negativ retsvirkning for den registrerede eller betydeligt påvirker den pågældende, alene på grundlag af automatisk behandling, herunder profilering.
Stk. 2 Ved afgørelser, der er omfattet af stk. 1, skal der findes passende foranstaltninger til at sikre den registreredes berettigede interesser, herunder i det mindste en ret for den registrerede til at kræve menneskelig indgriben fra den dataansvarliges side.