Persondataforordning kan være noget af en mundfuld at arbejde med. Dette skyldes, at persondataforordningen er vanskelig at læse og forstå, samt at lovgivningen er omfangsrig for virksomheder.
Måske er den vigtigste artikel i persondataforordningen derfor artikel 5, som kortfattet beskriver nogle principper for hvordan man bør behandle persondata.
Resten af persondataforordningen er næsten bare en udvidelse af disse principper. Principperne beskriver god databehandlingsskik. God databehandlingsskik kan sammenlignes med en god bogholders behandling af penge.
Ansvarlighed
I persondataforordningen fremgår princippet om ansvarlighed, som det sidste af principperne. Vi mener, at ansvarlighedsprincippet er det vigtigste, og nævner det først her.
Som virksomhed skal I kunne påvise, at I efterlever persondataforordningens principper. Dette er et omfattende krav, som er grunden til at mange virksomheder kæmper med deres GDPR compliance.
Dokumentationskravet er vanskeligt, da det ikke angives i persondataforordningen hvordan, at din virksomhed skal kunne påvise, at I efterlever persondataforordningens principper.
Din virksomhed bør altså kunne dokumentere sine handlinger for at påvise, at I efterlever persondataforordningens principper. Det er vigtigt, at have dette i baghovedet, når de øvrige principper gennemgås.
Formålsbegrænsning
Når din virksomhed indsamler persondata om kunderne, så må I kun indsamle persondata til specifikke formål. Formålet skal begrænses.
I må gerne indsamle og behandle persondata til flere formål, hvis I har hjemmel til dette fx ved at indhente et samtykke. Den første gang, at virksomheden indsamler persondata om en kunde til et specifikt formål, så skal I informere kunden om dette.
Når I indsamler persondata til et specifikt formål, så indebærer dette også, at I ikke må viderebehandle disse persondata til andre formål. I må altså ikke videresælge en kundes data, hvis I ikke har oplyst kunden om dette specifikke formål.
I må gerne viderebehandle de indsamlede persondata til legitime eller saglige formål. Det følger eksempelvis af en handel med en kunde, at købet og transaktionen skal dokumenteres og bogføres.
I dette tilfælde, skal I naturligvis ikke bede jeres kunder om lov til at bogføre fakturaen eller opbevare en kopi af kontrakten.
Dataminimering
Når du indsamler persondata om dine kunder, så vær nøgtern; tænk “need-to-have”, og ikke “nice-to-have”.
De persondata der indsamles skal være tilstrækkelige til, at du kan gennemføre formålet med at behandle persondata om kunden.
Eksempelvis, så skal I naturligvis have kundens adresse, hvis I skal levere en pakke. Omvendt, så skal I også begrænse jeres indsamling af persondata.
I skal altså ikke bruge grønthøsteren, og indsamle al tænkelig information om kunden, fordi at I har fået en big data konsulent, som sikkert kunne lave noget godt for jer med al den data. I skal altså kun indsamle relevante persondata om kunden til jeres formål.
Lovlighed, rimelighed og gennemsigtighed
Enhver behandling af persondata skal være lovlig. Din virksomhed skal have hjemmel i lovgivningen til at behandle persondata fx ved at indhente et samtykke hos kunden.
Enhver behandling af persondata skal være rimelig. Det er rimeligt at behandle kundens persondata sikkert, og med udgangspunkt i best practice (fx tilgængelige teknologiske løsninger, management standarder, branchekodeks mv.).
Din virksomhed skal give gennemsigtig information til kunderne, om hvordan I behandler persondata. I skal bruge et lettilgængeligt og letforståeligt sprog.
Informationen til kunden skal være klar og tydelig for målgruppen. Undgå at bruge et juridisk sprog.
Rigtighed
Din virksomhed bør sikre, at de persondata, som I behandler, er rigtige.
Dette indebærer, at I ajourfører data. Det kan også indebære, at I har nogle kontrolforanstaltninger i virksomheden til at sikre, at data er korrekte.
Din virksomhed skal gøre en betydelig indsats for at slette eller rette persondata, som er ukorrekte i forhold til det formål, som de skal anvendes til. Denne indsats skal vurderes ud fra en rimelighedsbetragtning.
Integritet og fortrolighed
Integritet
Din virksomhed skal sikre persondatas integritet. Dette indebærer, at I skal sikre datas troværdighed og korrekthed over tid.
Fortrolighed
Din virksomhed skal sikre, at persondata behandles med en passende fortrolighed. Uvedkommende skal ikke have adgang til jeres kunders persondata.
Uvedkommende kan være hackere og tyveknægte, men det kan også bare være almindelige medarbejdere i virksomheden, som ikke har nogen grund til at have adgang til specifikke persondata.
Tilstrækkelig sikkerhed
Midlet til at sikre integritet og fortrolighed af persondata, er at virksomheden har implementeret en tilstrækkelig sikkerhed om persondata. “Tilstrækkelig sikkerhed” afhænger af jeres situation.
Et tilstrækkeligt sikkerhedsniveau kan variere internt i virksomheden mellem de forskellige formål, som I har til behandlingen af persondata. Et tilstrækkeligt sikkerhedsniveau varierer også mellem virksomheder.
I kan vurdere om I har en tilstrækkelig sikkerhed ved at foretage en risikovurdering af jeres behandlinger af persondata.
Med resultatet af en risikovurdering, så kan I vurdere, hvilke områder af jeres virksomhed, som eventuelt kræver ekstra sikkerhed.
Passende organisatoriske og tekniske foranstaltninger
I implementerer en tilstrækkelig sikkerhed i virksomheden ved at bruge organisatoriske og tekniske foranstaltninger. Disse foranstaltninger skal beskytte jer mod:
- Uautoriseret brug af virksomhedens persondata. Persondata er ikke for uvedkommende.
- Ulovlig behandling af virksomhedens persondata.
- Hændeligt tab, tilintetgørelse eller beskadigelse af virksomhedens persondata.
Opbevaringsbegrænsning
Din virksomhed bør kun opbevare personoplysninger, så længe at dette er nødvendigt.
Så længe, at I stadig har et formål med at opbevare oplysningerne, så kan I naturligvis gøre dette. Når det ikke er nødvendigt at opbevare personoplysninger, så bør disse slettes.
Personoplysningerne kan eventuelt anonymiseres, så oplysningerne herefter ikke henviser til en identificérbar person. I dette tilfælde vil personoplysningerne blot blive til oplysninger.
Hvis I opbevarer personoplysninger, fordi at I tænker, at det er nemmest at beholde dem… Så bør I slette dem.
Opsummering
Databeskyttelsesforordningen kan være svær at arbejde med, og derfor udgør de 7 databeskyttelsesprincipper et godt fundament for både den enkelte medarbejders og virksomheden når databeskyttelsen skal håndhæves i arbejdet.
Til sidst et lille opråb. Husk, at I skal kunne dokumentere, at I efterlever persondataforordningens principper. Principperne skal derfor indarbejdes i virksomhedens compliance program, og en af metoderne hertil er at uddanne medarbejderne i de 7 databeskyttelsesprincipper.