Skip to main content

Databehandling og GDPR

GDPR blev udarbejdet for at beskytte EU-borgeres personlige data og privatliv. Ifølge GDPR bør personoplysninger, der kan bruges til at identificere en person, kun indsamles med lovligt grundlag. Denne blog berører de seks lovlige grundlag for indsamling og behandling af personoplysninger, der er anført i GDPR.

Det lovlige grundlag i GDPR for databehandling

Hvorvidt I har et gyldigt grundlag for at indsamle persondata vil afhænge af jeres formål med dataindsamlingen og jeres forhold til den enkelte.

Her er en oversigt over de seks acceptable lovlige grundlag for behandling af data anført i GDPR artikel 6:

  1. I får samtykke til at indsamle og behandle en persons data
  2. I har brug for dataene for at opfylde en kontrakt med personen
  3. I har brug for dataene for at overholde en juridisk forpligtelse
  4. I har brug for dataene for at beskytte nogens interesser
  5. I har brug for dataene for at udføre en opgave, der er i offentlighedens interesse, eller i udøvelse af offentlig myndighed
  6. I skal bruge dataene til “legitime interesser”

Start med at afklare og dokumentere jeres lovlige grundlag for data-indsamling, før I begynder at indsamle data.

Jeres privatlivspolitik bør indeholde jeres lovlige grundlag for behandlingen samt formålene med behandlingen.

Behandling af følsomme personoplysninger

Hvis I behandler følsomme data, skal I identificere både et lovligt grundlag for generel behandling og en yderligere betingelse for at behandle denne type data.

Hvis I behandler data om straffedomme eller data om strafbare forhold, bør I identificere både et lovligt grundlag for generel databehandling samt et grundlag for at behandle netop denne type data.

Tjekliste for data-indsamling

Gennemgå jeres databehandlingsaktiviteter og vælg det mest passende lovlige grundlag (eller grundlag) for hver aktivitet

Sørg for, at dataindsamling er nødvendig til det formål, I har valgt. Er der en anden mindre påtrængende måde at opnå dette formål på?

Dokumentér det lovlige grundlag, I har for at indsamle data

Inkluder oplysninger om jeres lovlige grundlag og formål med dataindsamling i jeres fortrolighedserklæring

Hvis I indsamler data om strafbare handlinger (særlig kategori for følsomme persondata), skal I identificere en yderligere betingelse for at behandle denne type data og dokumentere det

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Principper for behandling af personlige oplysninger

    I bør også tage i betragtning, hvordan de grundlæggende GDPR-principper i artikel 5 i GDPR gælder for jeres dataindsamling og -behandling:

    Lovlighed, retfærdighed og gennemsigtighed

    Sørg for, at I har juridisk grundlag som beskrevet ovenfor. I må ikke bedrage folk eller skjule noget for dem, når I indsamler deres data.

    Formålsbegrænsning

    Brug kun dataene til det formål, I oplyste, da I indsamlede dem.

    Data-minimering

    Indsaml kun de personlige data, I virkelig har brug for. Adskil påkrævede datafelter fra valgfrie på jeres kontaktformularer, eller fjern valgfrie/unødvendige felter helt.

    Nøjagtighed

    Sørg for, at de data, I indsamler, bliver holdt nøjagtige og opdaterede. I bør anmode om opdateringer fra folk fra tid til anden for at holde data nøjagtige eller slette dem.

    Opbevaringsbegrænsning

    Indstil en tidsbegrænsning for datalagring, og hold jer til den.

    Integritet og fortrolighed

    Brug kryptering, adgangskoder, ID-bekræftelse og andre tekniske og organisatoriske foranstaltninger til at beskytte data i stilstand og under transport.

    Ansvarlighed

    Før skriftlige optegnelser over jeres databehandlingsaktiviteter for at vise jeres hensigt om at overholde GDPR

    Databehandling i overensstemmelse med GDPR og compliance

    GDPR artikel 30 kræver, at I opbevarer skriftlige optegnelser over jeres databehandlingsaktiviteter, herunder:

    • Jeres firmanavn og kontaktoplysninger
    • Navne og kontaktoplysninger for enhver fælles registeransvarlig eller registeransvarligs repræsentant, hvis det er relevant
    • Navnet og kontaktpersonen for jeres databeskyttelsesansvarlige (DPO), hvis det er relevant
    • Årsagen (formålet) med at behandle personoplysningerne
    • Kategorierne af registrerede og kategorier af personlige data, I har indsamlet
    • De kategorier af modtagere, som personoplysninger er blevet/vil blive videregivet til, herunder modtagere i tredjelande og internationale
    • organisationer
    • Eventuelle grænseoverskridende overførsler til tredjelande eller internationale organisationer + dokumentation for passende sikkerhedsforanstaltninger
    • Jeres dataopbevaringsperioder for forskellige kategorier af data
    • De tekniske og organisatoriske sikkerhedsforanstaltninger, I har indført for at beskytte personlige data

    Tip: Opsæt en sikkert uploads-placering til at indsamle data

    I og jeres medarbejdere indsamler sandsynligvis folks personlige data på en række forskellige måder. Folk deler muligvis personlige oplysninger med jer og jeres medarbejdere via e-mail, sociale medier eller i en chatboks. Når først disse personlige data kommer ind i jeres virksomheds lager, er I ansvarlig for dem.

    For at reducere mængden af personlige data, der kommer ind til jeres virksomhed uden korrekt samtykke, dokumentation og beskyttelse, skal I oprette et sikkert dataoverførselspunkt. I kan tilføje et TrustedLink til jeres hjemmeside eller e-mail-signatur, så folk altid har en sikker måde at dele data med jer på.

    TrustedLink får automatisk samtykke, før den accepterer en persons data, og sender dataene til jer i en sikker, krypteret mappe, som I kan få adgang til med en engangsadgangskode. Den gemmer dataene sikkert i 32 dage som standard, eller den forudindstillede periode for opbevaring af data, og sletter dem derefter automatisk.

    TrustedLink er et valgfrit tilføjelsesprogram til ShareSimple. Læs mere her.

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR