Få styr på principperne.

Når I behandler personoplysninger i virksomheden, skal I overholde EU persondataforordningen – Det er der efterhånden ikke så meget nyt i.

En af de helt overordnede artikler, og meget væsentlige artikler, som man skal overholde er ”Artikel 5: Principper”
EU persondataforordningen (artikel 5) indeholder seks principper.

Disse principper udgør et meget væsentligt element i forordningen. De skal nemlig alle som én overholdes til punkt og prikke, og hvis du er den dataansvarlige i virksomheden, er det samtidig dit ansvar at påvise, at dette sker.

Denne post er en sammenskrivning af flere post, som vi udgav på Linkedin i december 2017. Den er derfor forholdsvis lang, men giver dig en forklaring på hvert af principperne.

De 6 principper i persondataforordningen er:

a) Behandles lovligt, rimeligt og på en gennemsigtig måde overfor den registrerede
b) Formålsbegrænsning
c) Dataminimering
d) Rigtighed
e) Opbevaringsbegrænsning
f) Integritet og fortrolighed
Hvert af punkterne gennemgår vi nedenfor:

a) “Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde overfor den registrerede.”

Lovligt:

Du må kun have de oplysninger på en person, som du har lov til at have.
Hvis du ikke kan påvise, hvorfor du har legitim grund til at have en given oplysning, så skal den væk. Der er også forskel på, om det er almindelige personoplysninger, som f.eks. navn, telefonnummer, e-mailadresse, eller om det er særlige kategorier af personoplysninger (følsomme oplysninger), som f.eks. race, politisk, religiøs eller filosofisk overbevisning. Det kan også være helbredsoplysninger eller oplysninger om seksuelle forhold eller seksuel orientering.

For at en oplysning er lovlig, så er der forskellige ting, der kan gøre sig gældende. Det kan blandt andet være en af nedenstående (som ikke er en udtømmende liste):

• Du skal have udtrykkeligt samtykke fra den registrerede
• Det skal være nødvendigt, for at du, som dataansvarlig, kan overholde dine forpligtelser
• Oplysninger er nødvendige for at beskytte den registreredes vitale interesser
• Behandling er nødvendig for at retskrav kan fastlægges, forsvares eller gøres gældende

Derfor skal du sørge for at kende og kunne påvise lovligheden af de oplysninger, I har i virksomheden.

Rimeligt:

Er den enkelte oplysning rimelig i forhold til formålet?
Kan formålet opfyldes med andre oplysninger eller færre oplysninger? Hvis en oplysning ikke er rimelig at indsamle og behandle i forhold til det, du som virksomhed beskæftiger dig med overfor en registreret, så er der ikke nogen grund til at have oplysningen. Der er altså ingen grund til at indsamle f.eks. fødselsdato og postadresse, hvis en person ønsker at tilmelde sig jeres nyhedsbrev.

På en gennemsigtig måde:

Det skal være klart for personen, du har oplysninger på, hvorfor du skal bruge disse oplysninger, hvad oplysningerne vil blive brugt til, hvem, der behandler oplysningerne, hvordan du opbevarer dem, og hvem, der er ansvarlig.

b) Formålsbegrænsning:

Du må ikke bruge personoplysninger til andet, end hvad de er indsamlet til. Hvis det er uforeneligt med det oprindelige formål, hvortil de var indsamlet. Formål skal nemlig være udtrykkelige og legitime.
Der kan dog være undtagelser, hvis du behandler oplysninger i forbindelse med arkivformål, som er i samfundets interesse, samt til videnskabelig eller historisk forskning, men det er der skal stadig være klarhed om de legitime interesser.

Eksempel 1:

Det kan være utrolig fristende at benytte hele sit e-mail kartotek til at gøre reklame for et eller andet produkt eller til at tilbyde produkter fra nye samarbejdspartnere. Men det er ikke sikkert, at den holder. For hvis den registrerede ikke har givet sit samtykke til at modtage reklamemails fra jer, eller det oprindelige formål ikke var at præsentere produkter fra jeres samarbejdspartnere, så går den ikke.

Eksempel 2:

Det kan også være, at en person har foretaget et køb i jeres webshop og i den forbindelse har afgivet sin mailadresse. Dette er ikke ensbetydende med, at du må sende personen mails om andet end netop de køb - med mindre personen har givet samtykke til det.
Vær derfor meget opmærksom på, hvad I bruger personoplysninger til og vær sikker på, at du kan påvise, at du gør det legitimt.

c) Dataminimering:

Hav ikke flere personoplysninger, end hvad der er behov for.
I en tid, hvor mange snakker om BIG DATA (og om, hvordan data er nutidens guld), kan det virke lidt frustrerende, at EU nu pludselig kommer og fortæller, at vi skal minimere de data, vi har i virksomheden.
Men sagen er, at man i mange virksomheder har data, som ingen reelt bruger: data, som ingen rigtig ved, hvor stammer fra, eller hvorfor man overhovedet har det liggende. Det er præcis som, når man går på loftet eller i kælderen for at hente årets julepynt: Pludselig bliver ens syn mødt af kasser fyldt med ting og sager, som jo nok burde have været smidt ud for længst.

I virkeligheden er princippet om dataminimering ret enkelt og sund fornuft:
• Hvis du ikke har et legitimt formål med at have en oplysning, så skal du ikke have den
• Hvis det er gamle data, som ikke længere tjener noget formål, skal du ikke have dem liggende
• Har du har den samme oplysning liggende i adskillige systemer - uden at dette tjener noget formål i forhold til den enkelte oplysning - så skal den væk derfra, hvor den ikke hører til
• Oplysninger skal være tilstrækkelige, relevante og nødvendige i forhold til formålet

Vi har tidligere skrevet om gode vaner i forhold til at få ryddet op i data, der jo er en del af det, som dataminimering går ud på. Du kan læse artiklen her

d) Rigtighed!

Oplysningerne skal rigtige og ajourførte

De personoplysninger, som du opbevarer og behandler i din virksomhed, skal være rigtige og opdaterede. Hvis oplysninger ikke er rigtige, skal du sørge for at de slettes eller opdateres.
Som dataansvarlig skal du gøre dig rimelige anstrengelser for, at de personoplysninger du har og behandler i din virksomhed, er korrekte. Du kan altså ikke bare sige, at det er de registrerede selv, der skal sørge for den slags.

Hvis den registrerede fx kan logge ind på sin profil og opdatere sine oplysninger, kan du med jævne mellemrum opfordre dem via pop-up eller e-mail til at kontrollere og opdatere deres oplysninger, så du sikrer dig, at de er korrekte.

Er det ikke muligt, kan du fx sende dem et brev med de oplysninger, du har om dem. Bed dem kontrollere oplysningerne og sende eventuelle opdateringer retur.

e) Opbevaringsbegrænsning:

Hav ikke oplysninger længere end nødvendigt.

Det må ikke være muligt at kunne identificere personer længere tid, end hvad der er nødvendigt i forhold til formålet. Det betyder, at du skal sørge for, at det ikke er muligt at behandle personoplysninger, der ikke længere er relevante eller tjener noget formål.
Så hvis der ikke længere er et formål med - eller en pligt til - at have oplysninger om en person, bør de ikke længere opbevares. Så enkelt er det.

For at få indarbejdet nogle gode vaner i din virksomhed, der vil kunne sikre opbevaringsbegrænsning, kan du med fordel læse denne artikel.

F) Integritet og fortrolighed:

Det lyder måske både simpelt og som en selvfølgelighed. Men at behandle personoplysninger med integritet og fortrolighed er nok det af de seks principper, som kræver størst arbejde for din virksomhed. Det handler nemlig om meget mere end blot at sætte en firewall op eller kryptere sine data.
Princippet om integritet og fortrolighed fortæller, at personoplysninger skal behandles på en måde, som sikrer tilstrækkelig sikkerhed - herunder beskyttelse mod uautoriseret eller ulovlig behandling. Der skal sikres mod hændeligt tab, tilintetgørelse eller beskadigelse af persondata, ved at lave passende organisatoriske og tekniske foranstaltninger.

Lad os kigge på de to slags foranstaltninger og komme med nogle konkrete eksempler på, hvad de fx kunne indebære:

Organisatoriske foranstaltninger:

Kan fx være, at I har beskrevne processer (dvs. skriftlige instruktioner) for alle situationer, hvor der behandles personoplysninger.

Lad os tage et helt genkendeligt hverdagseksempel: Der lander et CV i indbakken hos HR-afdelingen og hos chefen. I denne situation kunne man fx stille sig de følgende spørgsmål:
• Hvad sker der så herfra?
• Slette mailen efter at være arkiveret i relevant og sikkert system? Eller får den lov at ligge i indbakken til evig tid?
• Hvem må tilgå oplysningerne?
• Hvilke oplysninger må tilgås?
• Hvornår må oplysningerne tilgås, og hvorfor må de overhovedet det?
• Skal behandling af særlige oplysninger altid skal ske med supervision fra en overordnet?
• Skal man måske have en fast proces, der dikterer, at der ikke må printes dokumenter, som indeholder personoplysninger? (Papir har en tendens til at blive arkiveret på skrivebordet.)

Tekniske foranstaltninger:

Omhandler alt, hvad der har med IT at gøre, som fx:
• Brug af https på jeres hjemmeside
• Firewall
• Duplikering til flere datacentre
• To-faktor-login til jeres systemer
• Kryptering
• Automatisk scanning af mails
• Og mere til…

Hvilke tekniske foranstaltninger, der både er rigtige og tilstrækkelige for din virksomhed, afhænger helt af, hvilket set-up, I har. Hvis I ikke selv har de rette kompetencer til at vurdere dette, så rådfør jer med nogen, der kan hjælpe jer med det. Det er ikke nødvendigvis krævet, at der skal laves meget om, men det er vigtigt at der bliver taget et kritisk blik på systemerne.

Kontakt os

Jeg giver hermed samtykke til at Secure-u.it (dataansvarlig) må opbevare og behandle de oplysninger, jeg har afgivet i formularen, til at kontakte mig. Oplysninger afgivet i formularen sendes til en mailpostkasse, hvor kun autoriseret personale med særlig adgang kan tilgå oplysningerne og behandle oplysningerne med henblik på at kontakte mig. Når kontakt er opnået, og der ikke længere er behov for oplysningerne, der er afgivet i denne formular, slettes disse seneste 14 dage efter modtagelse. Samtykket er afgivet frit og kan til enhver tid trækkes tilbage.

Jeg har har fået oplyst mine rettigheder, og hvordan jeg udøver dem jf persondatapolitikken, som findes på https://secure-u.it/persondatapolitik/

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Scroll to top
Ring til os i dag
VERIFIED & SECURED
BY: COMODO RSA Domain Validation Secure Server CA
SSL Valid: Dec 28, 2017 - Dec 28, 2018