Den mest almindelige misforståelse, når det kommer til databeskyttelse, er, at det handler om, hvilken type personlige data du gemmer. Selvom den type data, der gemmes af en applikation, intuitivt kan virke enten fin eller invasiv for dit privatliv, kan du ikke vurdere, om en tjeneste lovligt behandler data bare ved at se på datasættet. Jeg får ofte spørgsmål om den europæiske databeskyttelsesforordning (GDPR), så jeg har sammensat dette korte blogindlæg for at besvare nogle af de hyppigst stillede spørgsmål.
Hvornår er databehandling lovlig?
Der er seks lovlige grunde til at behandle persondata, men dekræver alle et formål.
- Samtykke
- Udførelse af en kontrakt
- Lovkrav
- Berettiget interesse
- Vigtig interesse
- Offentlighedens interesse
En samtykkebaseret tilgang til lovlighed er ofte den, der passer bedst. Men det er vigtigt at huske, at der også er andre grunde til, at en organisation kan behandle dine data. Al behandling skal dog have et klart defineret og gennemsigtigt formål for at være lovlig.
Hvilke personlige data må en organisation behandle?
GDPR arbejder ud fra princippet om dataminimering. Så at indsamle et navn og en e-mail burde være fint. At indsamle oplysninger om en persons køn ville være ulovligt, fordi formålet med behandlingen ikke indikerer noget behov for det.
Hvilken type sikkerhed er nødvendig for at beskytte dataene?
Hvis du forstår formålet sammen med de typer personlige data, du gemmer, får du en god indikation af det nødvendige sikkerhedsniveau. Hvad er det værste, der kunne ske, hvis nogen hackede din database og afslørede alle abonnenter som katteelskere? Og hvilke sikkerhedsforanstaltninger bør du indføre for at undgå det? Selvom vores eksempel måske virker trivielt, er misbrug af e-mailadresser en af de mest almindelige måder at begå svindel på, og det kan nemt forbinde en person med andre sæt personlige data. Så sørg for at skabe en løsning, der har passende sikkerhedsforanstaltninger på plads, eller vælg en velrenommeret leverandør med god sikkerhed på plads.
Hvordan indsamler man personlige data og informerer brugerne?
Formålet vil være udgangspunktet for at informere brugerne. Ingen skal forledes til at tro, at dette er en mailingliste for hundeelskere, for derefter at blive spammet med kattevideoer. Det ledende princip er, at din behandling skal være gennemsigtig.
Hvornår skal en organisation slette persondata?
De fleste formål vil have en start og en slutning. Hvis formålet ikke længere er gyldigt, eller hvis behandlingen ikke længere er lovlig, skal du slette oplysningerne. Da dette er et opt-in-system, vil formålet ophøre, når samtykket trækkes tilbage, eller hvis organisationen lukker tjenesten helt ned.
Hvis du som bruger er bekymret for, hvilke typer persondata en tjeneste behandler om dig, er her, hvad du skal finde ud af:
- Hvad er formålet med, at denne tjeneste behandler mine data?
- Hvad er den lovlige grund til at behandle oplysningerne?
- Ser det ud til, at leverandøren beskytter mine data på en betryggende måde?
- Virker de data, jeg bliver bedt om at indsende, rimelige i lyset af punkt 1, 2 og 3?
Det gode ved GDPR er, at den pålægger de dataansvarlige at gøre disse oplysninger let tilgængelige for brugerne af tjenesten. Forhåbentlig vil vi se meget mere gennemsigtighed med hensyn til databehandlingsformål og bedre beskyttelse af vores personlige data.
itslearning er en af de første LMS-udbydere, der er blevet GDPR-kompatibel. For mere information, besøg venligst vores GDPR-side.
Oprindeligt udgivet 9. april 2018. Opdateret 19. oktober 2021