Skip to main content

Indsamling af personoplysninger og GDPR

GDPR blev udarbejdet for at beskytte EU-borgeres personlige data og privatliv. Ifølge GDPR bør personoplysninger, der kan bruges til at identificere en person, kun indsamles med lovligt grundlag. Denne blog berører de seks lovlige grundlag for indsamling og behandling af personoplysninger, der er anført i GDPR.

Grundlaget for at indsamle persondata

Hvorvidt I har et gyldigt grundlag for at indsamle persondata vil afhænge af jeres formål med dataindsamlingen og jeres forhold til den enkelte.

Her er en oversigt over de seks acceptable lovlige grundlag for behandling af data anført i GDPR artikel 6:

  1. I får samtykke til at indsamle og behandle en persons data
  2. I har brug for dataene for at opfylde en kontrakt med personen
  3. I har brug for dataene for at overholde en juridisk forpligtelse
  4. I har brug for dataene for at beskytte nogens interesser
  5. I har brug for dataene for at udføre en opgave, der er i offentlighedens interesse, eller i udøvelse af offentlig myndighed
  6. I skal bruge dataene til “legitime interesser”

Start med at afklare og dokumentere jeres lovlige grundlag for data-indsamling, før I begynder at indsamle data. Jeres privatlivspolitik bør indeholde jeres lovlige grundlag for behandlingen samt formålene med behandlingen.

Vil I have GDPR-ryddet op i jeres mails?

Med et GDPR Risiko-scan af DataMapper kan I få scannet alle Outlook-konti i jeres virksomhed. I vil få nøglestatistik om alle (nuværende og tidligere) medarbejderes mails – herunder oplysninger om hvilke mails, medarbejdere og processer, der genererer GDPR-risiko.

Husk dette, når I indsamler persondata

Hvis I behandler følsomme data, skal I identificere både et lovligt grundlag for generel behandling og en yderligere betingelse for at behandle denne type data. Her er en tjekliste for at indsamle data korrekt:

  • Gennemgå jeres databehandlingsaktiviteter og vælg det mest passende lovlige grundlag (eller grundlag) for hver aktivitet
  • Sørg for, at dataindsamling er nødvendig til det formål, I har valgt. Er der en anden mindre påtrængende måde at opnå dette formål på?
  • Dokumentér det lovlige grundlag, I har for at indsamle data
  • Inkluder oplysninger om jeres lovlige grundlag og formål med dataindsamling i jeres fortrolighedserklæring
  • Hvis I indsamler data om strafbare handlinger (særlig kategori for følsomme persondata), skal I identificere en yderligere betingelse for at behandle denne type data og dokumentere det

Hvis I behandler data om straffedomme eller data om strafbare forhold, bør I identificere både et lovligt grundlag for generel databehandling samt et grundlag for at behandle netop denne type data.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Principper for at indsamle persondata

I bør også tage i betragtning, hvordan de grundlæggende GDPR-principper i artikel 5 i GDPR gælder for jeres dataindsamling og -behandling:

Lovlighed, retfærdighed og gennemsigtighed
Sørg for, at I har juridisk grundlag som beskrevet ovenfor. I må ikke bedrage folk eller skjule noget for dem, når I indsamler deres data.

Formålsbegrænsning
Brug kun dataene til det formål, I oplyste, da I indsamlede dem.

Data-minimering
Indsaml kun de personlige data, I virkelig har brug for. Adskil påkrævede datafelter fra valgfrie på jeres kontaktformularer, eller fjern valgfrie/unødvendige felter helt.

Nøjagtighed
Sørg for, at de data, I indsamler, bliver holdt nøjagtige og opdaterede. I bør anmode om opdateringer fra folk fra tid til anden for at holde data nøjagtige eller slette dem.

Opbevaringsbegrænsning
Indstil en tidsbegrænsning for datalagring, og hold jer til den.

Integritet og fortrolighed
Brug kryptering, adgangskoder, ID-bekræftelse og andre tekniske og organisatoriske foranstaltninger til at beskytte data i stilstand og under transport.

Ansvarlighed
Før skriftlige optegnelser over jeres databehandlingsaktiviteter for at vise jeres hensigt om at overholde GDPR

Dataindsamling i overensstemmelse med GDPR

GDPR artikel 30 kræver, at I opbevarer skriftlige optegnelser over jeres databehandlingsaktiviteter, herunder:

  • Jeres firmanavn og kontaktoplysninger
  • Navne og kontaktoplysninger for enhver fælles registeransvarlig eller registeransvarligs repræsentant, hvis det er relevant
  • Navnet og kontaktpersonen for jeres databeskyttelsesansvarlige (DPO), hvis det er relevant
  • Årsagen (formålet) med at behandle personoplysningerne
  • Kategorierne af registrerede og kategorier af personlige data, I har indsamlet
  • De kategorier af modtagere, som personoplysninger er blevet/vil blive videregivet til, herunder modtagere i tredjelande og internationale
  • organisationer
  • Eventuelle grænseoverskridende overførsler til tredjelande eller internationale organisationer + dokumentation for passende sikkerhedsforanstaltninger
  • Jeres dataopbevaringsperioder for forskellige kategorier af data
  • De tekniske og organisatoriske sikkerhedsforanstaltninger, I har indført for at beskytte personlige data

Den nemme måde at indsamle persondata på

At indsamle persondata kræver viden og tid. I Safe Online har vi udviklet værktøjer til at automatisere indsamlingen af personlige oplysninger.

DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler let

Sebastian Allerelli

Founder & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →