Indsamling af personoplysninger og GDPR
GDPR blev udarbejdet for at beskytte EU-borgeres personlige data og privatliv. En del af en ansvarlig behandling af personoplysninger er selve indsamlingen af disse oplysninger. Ifølge GDPR bør personoplysninger kun indsamles med lovligt grundlag. Denne blog berører de seks lovlige grundlag for indsamling af data, så man kan sikre en behandling af personoplysninger, der er i tråd med GDPR.
Grundlaget for indsamling af data
Hvorvidt I har et gyldigt grundlag for at indsamle persondata vil afhænge af jeres formål med dataindsamlingen og jeres forhold til den enkelte.
Her er en oversigt over de seks acceptable lovlige grundlag for behandling af data anført i GDPR artikel 6:
- I får samtykke til at indsamle og behandle en persons data
- I har brug for dataene for at opfylde en kontrakt med personen
- I har brug for dataene for at overholde en juridisk forpligtelse
- I har brug for dataene for at beskytte nogens interesser
- I har brug for dataene for at udføre en opgave, der er i offentlighedens interesse, eller i udøvelse af offentlig myndighed
- I skal bruge dataene til “legitime interesser”
Start med at afklare og dokumentere jeres lovlige grundlag for indsamling af data, før I rent faktisk begynder at indsamle data. Jeres privatlivspolitik bør indeholde jeres lovlige grundlag for behandlingen samt formålene med behandlingen.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Husk dette, når I indsamler persondata
Hvis I behandler følsomme data, skal I identificere både et lovligt grundlag for generel behandling og en yderligere betingelse for at behandle denne type data. Her er en tjekliste for at indsamling af data korrekt:
- Gennemgå jeres databehandlingsaktiviteter og vælg det mest passende lovlige grundlag (eller grundlag) for hver aktivitet
- Sørg for, at dataindsamling er nødvendig til det formål, I har valgt. Er der en anden mindre påtrængende måde at opnå dette formål på?
- Dokumentér det lovlige grundlag, I har for at indsamle data
- Inkluder oplysninger om jeres lovlige grundlag og formål med indsamling af data i jeres fortrolighedserklæring
- Hvis I indsamler data om strafbare handlinger (særlig kategori for følsomme persondata), skal I identificere en yderligere betingelse for at behandle denne type data og dokumentere det
Hvis jeres indsamling af data berører straffedomme eller data om strafbare forhold, bør I identificere både et lovligt grundlag for generel databehandling samt et grundlag for at behandle netop denne type data.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Principper for indsamling af data
I bør også tage i betragtning, hvordan de grundlæggende GDPR-principper i artikel 5 i GDPR gælder for jeres dataindsamling og -behandling:
Lovlighed, retfærdighed og gennemsigtighed
Sørg for, at I har juridisk grundlag som beskrevet ovenfor. I må ikke bedrage folk eller skjule noget for dem, når I indsamler deres data.
Formålsbegrænsning
Brug kun dataene til det formål, I oplyste, da I indsamlede dem.
Data-minimering
Indsaml kun de personlige data, I virkelig har brug for. Adskil påkrævede datafelter fra valgfrie på jeres kontaktformularer, eller fjern valgfrie/unødvendige felter helt.
Nøjagtighed
Sørg for, at de data, I indsamler, bliver holdt nøjagtige og opdaterede. I bør anmode om opdateringer fra folk fra tid til anden for at holde data nøjagtige eller slette dem.
Opbevaringsbegrænsning
Indstil en tidsbegrænsning for datalagring, og hold jer til den.
Integritet og fortrolighed
Brug kryptering, adgangskoder, ID-bekræftelse og andre tekniske og organisatoriske foranstaltninger til at beskytte data i stilstand og under transport.
Ansvarlighed
Før skriftlige optegnelser over jeres databehandlingsaktiviteter for at vise jeres hensigt om at overholde GDPR
Dataindsamling i overensstemmelse med GDPR
GDPR artikel 30 kræver, at I opbevarer skriftlige optegnelser over jeres databehandlingsaktiviteter, herunder:
- Jeres firmanavn og kontaktoplysninger
- Navne og kontaktoplysninger for enhver fælles registeransvarlig eller registeransvarligs repræsentant, hvis det er relevant
- Navnet og kontaktpersonen for jeres databeskyttelsesansvarlige (DPO), hvis det er relevant
- Årsagen (formålet) med at behandle personoplysningerne
- Kategorierne af registrerede og kategorier af personlige data, I har indsamlet
- De kategorier af modtagere, som personoplysninger er blevet/vil blive videregivet til, herunder modtagere i tredjelande og internationale
- organisationer
- Eventuelle grænseoverskridende overførsler til tredjelande eller internationale organisationer + dokumentation for passende sikkerhedsforanstaltninger
- Jeres dataopbevaringsperioder for forskellige kategorier af data
- De tekniske og organisatoriske sikkerhedsforanstaltninger, I har indført for at beskytte personlige data
Den nemme måde at indsamle persondata på
Hos Safe Online forstår vi, at korrekt indsamling af data kræver processer og tid. Det er især tilfældet for organisationer, der håndterer store mængder følsomme data. Derfor har vi udviklet RequestManager, et værktøj designet til at forenkle processen med at indsamle, håndtere og udlevere GDPR-data. RequestManager er en DSR-portal, som hjælper med at behandle dataadgangsanmodninger og sikre overholdelse af GDPR-reglerne.
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
