De 7 principper


De 7 principper


Persondataforordningens-7-principper

Den nye Persondataforordning kan være noget af en mundfuld at arbejde med. Dette skyldes, at persondataforordningen er vanskelig at læse og forstå, samt at lovgivningen er omfangsrig for virksomheder.

Måske er den vigtigste artikel i persondataforordningen derfor artikel 5, som kortfattet beskriver nogle principper for hvordan man bør behandle persondata. Resten af persondataforordningen er næsten bare en udvidelse af disse principper. Principperne beskriver god databehandlingsskik. God databehandlingsskik kan sammenlignes med en god bogholders behandling af penge. Persondataforordningens principper i oversigtsform:

Persondataforordningens principper beskrives herunder.

Princippet om ansvarlighed

I persondataforordningen fremgår princippet om ansvarlighed, som det sidste af principperne. Vi mener, at ansvarlighedsprincippet er det vigtigste, og nævner det først her. Som virksomhed skal I kunne påvise, at I efterlever persondataforordningens principper. Dette er et omfattende krav. Det angives dog ikke i persondataforordningen hvordan, at din virksomhed skal kunne påvise, at I efterlever persondataforordningens principper. Din virksomhed bør altså kunne dokumentere sine handlinger for at påvise, at I efterlever persondataforordningens principper. Det er vigtigt, at have dette i baghovedet, når de øvrige principper gennemgås.

Princippet om formålsbegrænsning

Når din virksomhed indsamler persondata om kunderne, så må I kun indsamle persondata til specifikke formål. Formålet skal begrænses. I må gerne indsamle og behandle persondata til flere formål, hvis I har hjemmel til dette fx ved at indhente et samtykke. Den første gang, at virksomheden indsamler persondata om en kunde til et specifikt formål, så skal I informere kunden om dette. Når I indsamler persondata til et specifikt formål, så indebærer dette også, at I ikke må viderebehandle disse persondata til andre formål. I må altså ikke videresælge en kundes data, hvis I ikke har oplyst kunden om dette specifikke formål. I må gerne viderebehandle de indsamlede persondata til legitime eller saglige formål. Det følger eksempelvis af en handel med en kunde, at købet og transaktionen skal dokumenteres og bogføres. I dette tilfælde, skal I naturligvis ikke bede jeres kunder om lov til at bogføre fakturaen eller opbevare en kopi af kontrakten.

Princippet om dataminimering

Når du indsamler persondata om dine kunder, så vær nøgtern. Tænk “need-to-have”, og ikke “nice-to-have”. De persondata der indsamles skal være tilstrækkelige til, at du kan gennemføre formålet med at behandle persondata om kunden. Eksempelvis, så skal I naturligvis have kundens adresse, hvis I skal levere en pakke. Omvendt, så skal I også begrænse jeres indsamling af persondata. I skal altså ikke bruge grønthøsteren, og indsamle al tænkelig information om kunden, fordi at I har fået en big data konsulent, som sikkert kunne lave noget godt for jer med al den data. I skal altså kun indsamle relevante persondata om kunden til jeres formål.

Princippet om lovlighed, rimelighed og gennemsigtighed

Enhver behandling af persondata skal være lovlig. Din virksomhed skal have hjemmel i lovgivningen til at behandle persondata fx ved at indhente et samtykke hos kunden. Enhver behandling af persondata skal være rimelig. Det er rimeligt at behandle kundens persondata sikkert, og med udgangspunkt i best practice (fx tilgængelige teknologiske løsninger, management standarder, branchekodeks mv.). Din virksomhed skal give gennemsigtig information til kunderne, om hvordan I behandler persondata. I skal bruge et lettilgængeligt og letforståeligt sprog. Informationen til kunden skal være klar og tydelig for målgruppen. Undgå at bruge et juridisk sprog.

Princippet om rigtighed

Din virksomhed bør sikre, at de persondata, som I behandler, er rigtige. Dette indebærer, at I ajourfører data. Det kan også indebære, at I har nogle kontrolforanstaltninger i virksomheden til at sikre, at data er korrekte. Din virksomhed skal gøre en betydelig indsats for at slette eller rette persondata, som er ukorrekte i forhold til det formål, som de skal anvendes til. Denne indsats skal vurderes ud fra en rimelighedsbetragtning.

Princippet om integritet og fortrolighed

Integritet

Din virksomhed skal sikre persondatas integritet. Dette indebærer, at I skal sikre datas troværdighed og korrekthed over tid.

Fortrolighed

Din virksomhed skal sikre, at persondata behandles med en passende fortrolighed. Uvedkommende skal ikke have adgang til jeres kunders persondata. Uvedkommende kan være hackere og tyveknægte, men det kan også bare være almindelige medarbejdere i virksomheden, som ikke har nogen grund til at have adgang til specifikke persondata.

Tilstrækkelig sikkerhed

Midlet til at sikre integritet og fortrolighed af persondata, er at virksomheden har implementeret en tilstrækkelig sikkerhed om persondata. “Tilstrækkelig sikkerhed” afhænger af jeres situation. Et tilstrækkeligt sikkerhedsniveau kan variere internt i virksomheden mellem de forskellige formål, som I har til behandlingen af persondata. Et tilstrækkeligt sikkerhedsniveau varierer også mellem virksomheder. I kan vurdere om I har en tilstrækkelig sikkerhed ved at foretage en risikovurdering af jeres behandlinger af persondata. Med resultatet af en risikovurdering, så kan I vurdere, hvilke områder af jeres virksomhed, som eventuelt kræver ekstra sikkerhed.

Passende organisatoriske og tekniske foranstaltninger

I implementerer en tilstrækkelig sikkerhed i virksomheden ved at bruge organisatoriske og tekniske foranstaltninger. Disse foranstaltninger skal beskytte jer mod:

  • Uautoriseret brug af virksomhedens persondata. Persondata er ikke for uvedkommende.
  • Ulovlig behandling af virksomhedens persondata.
  • Hændeligt tab, tilintetgørelse eller beskadigelse af virksomhedens persondata.

Princippet om opbevaringsbegrænsning

Din virksomhed bør kun opbevare personoplysninger, så længe at dette er nødvendigt. Så længe, at I stadig har et formål med at opbevare oplysningerne, så kan I naturligvis gøre dette. Når det ikke er nødvendigt at opbevare personoplysninger, så bør disse slettes. Personoplysningerne kan eventuelt anonymiseres, så oplysningerne herefter ikke henviser til en identificérbar person. I dette tilfælde vil personoplysningerne blot blive til oplysninger. Hvis I opbevarer personoplysninger, fordi at I tænker, at det er nemmest at beholde dem… Så bør I slette dem. Til sidst et lille opråb. Husk, at I skal kunne dokumentere, at I efterlever persondataforordningens principper.

 


GDPR.DK Services

Har du brug for for hjælp med din virksomheds GDPR? Læs mere om vores services og hvordan vi kan hjælpe.