Uddrag fra persondataloven:

Når en dataansvarlig samler personoplysninger ind, skal det stå klart, hvilket formål oplysningerne skal bruges til, og formålet skal være sagligt. Det er ikke tilladt at indsamle oplysninger, hvis man ikke aktuelt har noget at bruge dem til, men blot forventer, at der senere viser sig et formål. Om et bestemt formål med en indsamling af personoplysninger er sagligt, afhænger først og fremmest af, om der er tale om løsning af en opgave, som det er naturligt for den pågældende myndighed, virksomhed m.v. at løse. Hvad der er sagligt for den ene myndighed eller virksomhed, vil altså ikke nødvendigvis være sagligt for den anden.

En senere behandling må ikke være uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til. Indsamlede oplysninger kan efterfølgende principielt godt anvendes til et andet end det oprindelige formål, blot den senere anvendelse ikke er uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til. Hvis den senere behandling direkte modarbejder eller skader det oprindelige formål, er det klart, at behandlingen ikke kan finde sted. Herudover må det vurderes konkret, om en senere behandling må anses for så uvedkommende i forhold til det oprindelige formål, at den ikke kan accepteres.

Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Loven bygger altså på det princip, at offentlige myndigheder og private virksomheder m.v. ikke må indsamle og registrere flere oplysninger om den enkelte borger, end hvad der er nødvendigt.

Den dataansvarlige skal sikre sig, at der ikke behandles urigtige eller vildledende oplysninger. Viser det sig alligevel, at der behandles oplysninger, som er urigtige eller vildledende, skal disse snarest muligt slettes eller rettes. Disse krav skal bidrage til at sikre den bedst mulige datakvalitet.

Indsamlede oplysninger skal slettes eller anonymiseres, når det ikke længere er nødvendigt for den dataansvarlige at være i besiddelse af oplysningerne i en form, der gør det muligt at identificere den enkelte person. Også denne regel skal sikre mod dataophobning. Offentlige myndigheder - og i visse tilfælde også private virksomheder m.v. - kan dog i stedet overføre oplysningerne til Statens Arkiver, hvor der så gælder særlige regler for, hvem der har adgang til oplysningerne. 

I den offentlige sektor må man bruge personnummeret med henblik på en entydig identifikation eller som journalnummer. I den private sektor er anvendelsen af personnummeret mere begrænset. Virksomheder m.v. må som hovedregel kun behandle personnummeret, når det følger af en lov, eller hvis den registrerede har givet udtrykkeligt samtykke hertil, og det tjener saglige formål. Det følger eksempelvis af skattelovgivningen, at en privat virksomhed, der skal foretage indberetning til skattemyndighederne af oplysninger om løn og renter, skal oplyse den registreredes personnummer.

Der gælder særlige regler om private virksomheders videregivelse af personnummeret. Dette må normalt kun ske, hvis det følger af lovgivningen, hvis den registrerede har givet sit udtrykkelige samtykke, eller hvis en offentlig myndighed kræver det, f.eks. af regnskabsmæssige grunde.

Læs mere på www.datatilsynet.dk