Den mest almindelige misforståelse, når det gælder databeskyttelse, er, at det handler om, hvilken type persondata du gemmer. Selv om den type data, der gemmes af en applikation, intuitivt kan virke enten fin eller invasiv for dit privatliv, kan du ikke vurdere, om en tjeneste lovligt behandler data bare ved at se på datasættet. Jeg får ofte spørgsmål om den europæiske persondataforordning (GDPR), så jeg har lavet dette korte blogindlæg for at besvare nogle af de hyppigst stillede spørgsmål.
Hvornår er databehandling lovlig?
Der er seks lovlige grunde til at behandle persondata, men dekræver alle et formål.
- Samtykke
- Udførelse af en kontrakt
- Juridisk krav
- Berettiget interesse
- Vital interesse
- Offentlighedens interesse
En samtykkebaseret tilgang til lovlighed er ofte den, der passer bedst. Men det er vigtigt at huske, at der er andre grunde til, at en organisation kan behandle dine data. Al behandling skal dog have et klart defineret, gennemsigtigt formål for at være lovlig.
Hvilke persondata må en organisation behandle?
GDPR arbejder ud fra princippet om dataminimering. Så at indsamle et navn og en e-mail burde være i orden. Det vil være ulovligt at indsamle oplysninger om en persons køn, fordi formålet med behandlingen ikke viser, at der er behov for det.
Hvilken type sikkerhed er nødvendig for at beskytte dataene?
En forståelse af formålet og de typer af personlige data, du opbevarer, giver dig en god indikation af det nødvendige sikkerhedsniveau. Hvad er det værste, der kan ske, hvis nogen hacker din database og afslører, at alle abonnenter er katteelskere? Og hvilke sikkerhedsforanstaltninger bør du indføre for at undgå det? Selv om vores eksempel kan virke trivielt, er misbrug af e-mailadresser en af de mest almindelige måder at begå bedrageri på, og det kan nemt forbinde en person med andre sæt personlige data. Så sørg for at skabe en løsning, der har passende sikkerhedsforanstaltninger på plads, eller vælg en velrenommeret leverandør med god sikkerhed på plads.
Hvordan indsamler man persondata og informerer brugerne?
Formålet vil være udgangspunktet for at informere brugerne. Ingen skal forledes til at tro, at dette er en mailingliste for hundeelskere, blot for at blive spammet med kattevideoer. Det ledende princip er, at din behandling skal være gennemsigtig.
Hvornår skal en organisation slette persondata?
De fleste formål har en start og en slutning. Hvis formålet ikke længere er gyldigt, eller hvis behandlingen ikke længere er lovlig, skal du slette oplysningerne. Da dette er et opt-in-system, vil formålet ophøre, når samtykket trækkes tilbage, eller hvis organisationen lukker tjenesten helt ned.
Hvis du som bruger er bekymret for, hvilke typer persondata en tjeneste behandler om dig, er det her, du skal finde ud af:
- Hvad er formålet med, at denne tjeneste behandler mine data?
- Hvad er den lovlige grund til at behandle oplysningerne?
- Ser leverandøren ud til at beskytte mine data på en betryggende måde?
- Virker de data, jeg bliver bedt om at indsende, rimelige i lyset af punkt 1, 2 og 3?
Det gode ved GDPR er, at den foreskriver, at dataansvarlige skal gøre disse oplysninger let tilgængelige for brugerne af tjenesten. Forhåbentlig vil vi se meget mere gennemsigtighed med hensyn til databehandlingsformål og bedre beskyttelse af vores persondata.
itslearning er en af de første LMS-udbydere, der er blevet GDPR-kompatibel. For mere information, besøg vores GDPR-side.
Oprindeligt udgivet 9. april 2018. Opdateret 19. oktober 2021