Sådan kommer I i gang med persondata (De 6 principper)
Er I interesserede i de bagvedliggende principper for GDPR, kan I nærlæse artikel 5 i Databeskyttelsesforordningen.
Her nævnes 6 principper for, hvordan man bør gribe persondata an. Her gennemgår vi dem kort én for én:
1. Gennemsigtig, rimelig og lovlig
Din virksomhed skal levere gennemsigtig information til kunderne om, hvordan I behandler persondata. Sproget i eksempelvis mails skal være letforståeligt, og kunderne skal vide, hvad der sker og hvorfor. Undgå det svære og tekniske sprog og sæt tid af til at udvikle gode, forståelige templates, I kan bruge fremover.
Enhver behandling af persondata skal være rimelig, sikker og tage udgangspunkt i ‘best practice’ (eksempelvis ved at bruge de bedste teknologiske muligheder).
Og sidst men ikke mindst skal jeres behandling af persondata være lovlig. I skal have hjemmel i lovgivningen til at behandle persondata. Det gør I eksempelvis ved at indhente et samtykke hos kunden.
2. Formålsbegrænsning
I må kun indsamle persondata til specifikke formål. Og det er vigtigt, at I informerer jeres kunder om, at I gør det. Det indebærer også, at I kun må bruge persondata i de sammenhænge, som kunden har givet samtykke til.
3. Dataminimering
Her er ‘need to have’ meget centralt. Grundlæggende skal I nemlig kun indsamle præcis de persondata, der er nødvendige for, at I kan gennemføre formålet med at behandle persondata om kunden.
4. Rigtighed
I skal løbende sikre, at de personoplysninger, I behandler, er rigtige. Derfor skal data løbende ajourføres. Og derudover skal I løbende rette eller slette data, der er ukorrekte i forhold til det specifikke formål, den skal bruges til.
5. Opbevaringsbegrænsning
I skal kun opbevare personoplysninger, så længe det er nødvendigt. Derfor bør I løbende spørge jer selv: Har vi stadig et formål med at gemme disse data? Her kan det være en god idé at have det som en halvårlig eller årlig begivenhed at gennemgå den data, man opbevarer.
6. Integritet, fortrolighed og sikkerhed
Dataens integritet skal være i orden. Det vil sige, at I skal sikre datas korrekthed og troværdighed over tid.
Samtidig skal I sikre, at data behandles med stor fortrolighed. Alle og enhver skal ikke have adgang til data. Det gælder både personer udefra (eksempelvis hackere) og indefra (eksempelvis kollegaer).
For at sikre de to punkter skal I have en tilstrækkelig sikkerhed. Det niveau af sikkerhed vil variere fra virksomhed til virksomhed. Som tidligere nævnt er både teknisk og organisatorisk sikkerhed vigtige dimensioner.
Hvis I har styr på de 6 principper, er I kommet et langt stykke i forhold til jeres håndtering af persondata. Og det kan i den grad betale sig at have styr på reglerne. Viser det sig, at I som virksomhed ikke overholder reglerne, kan det resultere i en bøde.
Få overblik over de bøder, der er givet i både Danmark og andre EU-lande.