Den vanligste misforståelsen når det gjelder personvern, er at det handler om hva slags personopplysninger du lagrer. Selv om typen data som lagres av en applikasjon, intuitivt kan virke enten greit eller krenkende for personvernet ditt, kan du ikke vurdere om en tjeneste behandler data på lovlig vis bare ved å se på datasettet. Jeg får ofte spørsmål om den europeiske personvernforordningen (GDPR), så jeg har satt sammen dette korte blogginnlegget for å svare på noen av de vanligste spørsmålene.
Når er databehandling lovlig?
Det finnes seks lovlige grunner til å behandle personopplysninger, men alle krever et formål.
- Samtykke
- Utførelse av en kontrakt
- Juridiske krav
- Berettiget interesse
- Livsviktig interesse
- Allmennhetens interesse
En samtykkebasert tilnærming til lovlighet er ofte den som passer best. Men det er viktig å huske at det også finnes andre grunner til at en organisasjon kan behandle opplysningene dine. All behandling må imidlertid ha et klart definert, transparent formål for å være lovlig.
Hvilke personopplysninger har en organisasjon lov til å behandle?
GDPR bygger på prinsippet om dataminimering. Det bør derfor være greit å samle inn navn og e-post. Å samle inn opplysninger om en persons kjønn vil være ulovlig, fordi formålet med behandlingen ikke tilsier at det er behov for det.
Hvilken type sikkerhet er nødvendig for å beskytte dataene?
Hvis du forstår formålet og hvilke typer personopplysninger du lagrer, får du en god pekepinn på hvilket sikkerhetsnivå du trenger. Hva er det verste som kan skje hvis noen hacker databasen din og avslører at alle abonnenter er katteelskere? Og hvilke sikkerhetstiltak bør du iverksette for å unngå det? Selv om eksempelet vårt kan virke trivielt, er misbruk av e-postadresser en av de vanligste måtene å begå svindel på, og det er lett å koble en person til andre personopplysninger. Sørg derfor for å lage en løsning som har de nødvendige sikkerhetstiltakene på plass, eller velg en anerkjent leverandør med god sikkerhet.
Hvordan samler man inn personopplysninger og informerer brukerne?
Formålet skal være utgangspunktet for å informere brukerne. Ingen skal forledes til å tro at dette er en e-postliste for hundeelskere, for så å bli spammet med kattevideoer. Hovedprinsippet er at behandlingen må være transparent.
Når må en organisasjon slette personopplysninger?
De fleste formål har en start og en slutt. Hvis formålet ikke lenger er gyldig, eller hvis behandlingen ikke lenger er lovlig, må du slette opplysningene. Siden dette er et opt-in-system, vil formålet opphøre når samtykket trekkes tilbake, eller hvis organisasjonen stenger tjenesten helt.
Hvis du som bruker er opptatt av hvilke personopplysninger en tjeneste behandler om deg, bør du finne ut av dette:
- Hva er formålet med at denne tjenesten behandler opplysningene mine?
- Hva er den lovlige grunnen til å behandle opplysningene?
- Ser det ut til at leverandøren beskytter dataene mine på en betryggende måte?
- Virker opplysningene jeg blir bedt om å sende inn, rimelige i lys av punkt 1, 2 og 3?
Det fine med GDPR er at den pålegger behandlingsansvarlige å gjøre denne informasjonen lett tilgjengelig for brukerne av tjenesten. Forhåpentligvis vil vi se mye mer åpenhet rundt formålet med databehandlingen og bedre beskyttelse av personopplysningene våre.
itslearning er en av de første LMS-leverandørene som er i samsvar med GDPR. Du finner mer informasjon på GDPR-siden vår.
Opprinnelig publisert 9. april 2018. Oppdatert 19. oktober 2021