Den vanligste misforståelsen når det gjelder personvern, er at det handler om hvilken type personopplysninger du lagrer. Selv om typen data som lagres av en applikasjon intuitivt kan virke enten grei eller krenkende for personvernet ditt, kan du ikke vurdere om en tjeneste behandler data på lovlig vis bare ved å se på datasettet. Jeg får ofte spørsmål om EUs personvernforordning (GDPR), og har derfor satt sammen dette korte blogginnlegget for å svare på noen av de vanligste spørsmålene.
Når er databehandling lovlig?
Det finnes seks lovlige grunner til å behandle personopplysninger, men alle krever et formål.
- Samtykke
- Oppfyllelse av en kontrakt
- Lovpålagt krav
- Berettiget interesse
- Vital interesse
- Offentlig interesse
En samtykkebasert tilnærming til lovlighet er ofte den som passer best. Men det er viktig å huske at det finnes andre grunner til at en organisasjon kan behandle opplysningene dine. All behandling må imidlertid ha et klart definert, gjennomsiktig formål for å være lovlig.
Hvilke personopplysninger har en organisasjon lov til å behandle?
GDPR bygger på prinsippet om dataminimering. Det er derfor greit å samle inn navn og e-post. Det vil være ulovlig å samle inn informasjon om en persons kjønn, fordi formålet med behandlingen ikke tilsier at det er behov for det.
Hvilken type sikkerhet er nødvendig for å beskytte dataene?
En forståelse av formålet, sammen med hvilke typer personopplysninger du lagrer, vil gi deg en god indikasjon på hvilket sikkerhetsnivå som trengs. Hva er det verste som kan skje hvis noen hacker seg inn i databasen din og avslører at alle abonnentene er katteelskere? Og hvilke sikkerhetstiltak bør du iverksette for å unngå dette? Selv om eksempelet vårt kan virke trivielt, er misbruk av e-postadresser en av de vanligste måtene å begå svindel på, og det kan lett knytte en person til andre sett med personopplysninger. Sørg derfor for å lage en løsning som har de nødvendige sikkerhetstiltakene på plass, eller velg en anerkjent leverandør med god sikkerhet på plass.
Hvordan samler man inn personopplysninger og informerer brukerne?
Formålet vil være utgangspunktet for å informere brukerne. Ingen skal forledes til å tro at dette er en e-postliste for hundeelskere, bare for å bli spammet med kattevideoer. Det ledende prinsippet er at behandlingen din må være transparent.
Når må en organisasjon slette personopplysninger?
De fleste formål vil ha en start og en slutt. Hvis formålet ikke lenger er gyldig, eller hvis behandlingen ikke lenger er lovlig, må du slette opplysningene. Siden dette er et opt-in-system, vil formålet opphøre når samtykket trekkes tilbake, eller hvis organisasjonen stenger tjenesten helt ned.
Hvis du som bruker er opptatt av hvilke typer personopplysninger en tjeneste behandler om deg, kan du finne ut av dette:
- Hva er formålet med at denne tjenesten behandler opplysningene mine?
- Hva er den lovlige grunnen som oppgis for å behandle opplysningene?
- Ser det ut til at leverandøren beskytter dataene mine på en betryggende måte?
- Virker dataene jeg blir bedt om å sende inn, rimelige i lys av punkt 1, 2 og 3?
Det fine med GDPR er at den pålegger behandlingsansvarlige å gjøre denne informasjonen lett tilgjengelig for brukerne av tjenesten. Forhåpentligvis vil vi se mye mer åpenhet om formålene med databehandlingen og bedre beskyttelse av personopplysningene våre.
itslearning er en av de første LMS-leverandørene som har blitt GDPR-kompatibel. For mer informasjon, besøk vår GDPR-side.
Opprinnelig publisert 9. april 2018. Oppdatert 19. oktober 2021