Indsamling af data og GDPR

GDPR blev udarbejdet for at beskytte EU-borgeres personlige data og privatliv. Ifølge GDPR bør personoplysninger, der kan bruges til at identificere en person, kun indsamles med lovligt grundlag. Denne blog berører de seks lovlige grundlag for indsamling og behandling af personoplysninger, der er anført i GDPR.

Hvorvidt I har et gyldigt grundlag for at indsamle persondata vil afhænge af jeres formål med dataindsamlingen og jeres forhold til den enkelte.

Her er en oversigt over de seks acceptable lovlige grundlag for behandling af data anført i GDPR artikel 6:

1. I får samtykke til at indsamle og behandle en persons data
2. I har brug for dataene for at opfylde en kontrakt med personen
3. I har brug for dataene for at overholde en juridisk forpligtelse
4. I har brug for dataene for at beskytte nogens interesser
5. I har brug for dataene for at udføre en opgave, der er i offentlighedens interesse, eller i udøvelse af offentlig myndighed
6. I skal bruge dataene til “legitime interesser”

Start med at afklare og dokumentere jeres lovlige grundlag for data-indsamling, før I begynder at indsamle data.

Jeres privatlivspolitik bør indeholde jeres lovlige grundlag for behandlingen samt formålene med behandlingen.

Hvis I behandler følsomme data, skal I identificere både et lovligt grundlag for generel behandling og en yderligere betingelse for at behandle denne type data.

Hvis I behandler data om straffedomme eller data om strafbare forhold, bør I identificere både et lovligt grundlag for generel databehandling samt et grundlag for at behandle netop denne type data.

Gennemgå jeres databehandlingsaktiviteter og vælg det mest passende lovlige grundlag (eller grundlag) for hver aktivitet

Sørg for, at dataindsamling er nødvendig til det formål, I har valgt. Er der en anden mindre påtrængende måde at opnå dette formål på?

Dokumentér det lovlige grundlag, I har for at indsamle data

Inkluder oplysninger om jeres lovlige grundlag og formål med dataindsamling i jeres fortrolighedserklæring

Hvis I indsamler data om strafbare handlinger (særlig kategori for følsomme persondata), skal I identificere en yderligere betingelse for at behandle denne type data og dokumentere det

I bør også tage i betragtning, hvordan de grundlæggende GDPR-principper i artikel 5 i GDPR gælder for jeres dataindsamling og -behandling:

Lovlighed, retfærdighed og gennemsigtighed
Sørg for, at I har juridisk grundlag som beskrevet ovenfor. I må ikke bedrage folk eller skjule noget for dem, når I indsamler deres data.

Formålsbegrænsning
Brug kun dataene til det formål, I oplyste, da I indsamlede dem.

Data-minimering
Indsaml kun de personlige data, I virkelig har brug for. Adskil påkrævede datafelter fra valgfrie på jeres kontaktformularer, eller fjern valgfrie/unødvendige felter helt.

Nøjagtighed
Sørg for, at de data, I indsamler, bliver holdt nøjagtige og opdaterede. I bør anmode om opdateringer fra folk fra tid til anden for at holde data nøjagtige eller slette dem.

Opbevaringsbegrænsning
Indstil en tidsbegrænsning for datalagring, og hold jer til den.

Integritet og fortrolighed
Brug kryptering, adgangskoder, ID-bekræftelse og andre tekniske og organisatoriske foranstaltninger til at beskytte data i stilstand og under transport.

Ansvarlighed
Før skriftlige optegnelser over jeres databehandlingsaktiviteter for at vise jeres hensigt om at overholde GDPR