Det vanligaste missförståndet när det gäller dataskydd är att det handlar om vilken typ av personuppgifter ni lagrar. Även om den typ av data som lagras av en applikation intuitivt kan verka antingen bra eller kränkande för din integritet, kan ni inte bedöma om en tjänst lagligen behandlar data bara genom att titta på datauppsättningen. Jag får ofta frågor om den europeiska allmänna dataskyddsförordningen (GDPR), så jag har sammanställt detta korta blogginlägg för att svara på några av de vanligaste frågorna.
När är databehandling laglig?
Det finns sex lagliga skäl för att behandla personuppgifter, men alla dessa kräver ett syfte.
- Samtycke
- Fullgörande av ett kontrakt
- Rättsliga krav
- Berättigat intresse
- Viktigt intresse
- Allmänhetens intresse
Ett samtyckesbaserat synsätt på laglighet är ofta det som passar bäst. Men det är viktigt att komma ihåg att det finns andra skäl till varför en organisation kan behandla dina uppgifter. All behandling måste dock ha ett tydligt definierat och transparent syfte för att vara laglig.
Vilka personuppgifter får en organisation behandla?
GDPR bygger på principen om dataminimering. Så att samla in ett namn och en e-postadress bör vara okej. Att samla in information om en persons kön skulle vara olagligt, eftersom syftet med behandlingen inte indikerar något behov av det.
Vilken typ av säkerhet krävs för att skydda uppgifterna?
Att förstå syftet, tillsammans med de typer av personuppgifter som ni lagrar, kommer att ge ni en bra indikation på vilken säkerhetsnivå som behövs. Vad är det värsta som kan hända om någon hackar er databas och avslöjar att alla prenumeranter är kattälskare? Och vilka skyddsåtgärder bör ni vidta för att undvika det? Även om vårt exempel kan verka trivialt är missbruk av e-postadresser ett av de vanligaste sätten att begå bedrägerier, och kan enkelt koppla en person till andra uppsättningar personuppgifter. Se därför till att skapa en lösning som har lämpliga skyddsåtgärder på plats, eller välj en välrenommerad leverantör med god säkerhet på plats.
Hur samlar man in personuppgifter och informerar användarna?
Syftet kommer att vara utgångspunkten för att informera användarna. Ingen ska behöva tro att detta är en e-postlista för hundälskare, för att sedan bli spammad med kattvideor. Den vägledande principen är att din behandling måste vara transparent.
När måste en organisation radera personuppgifter?
De flesta ändamål har en början och ett slut. Om syftet inte längre är giltigt eller om behandlingen inte längre är laglig måste ni radera informationen. Eftersom detta är ett opt-in-system upphör ändamålet när samtycket återkallas, eller om organisationen stänger av tjänsten helt och hållet.
Om ni, som användare, är bekymrad över vilka typer av personuppgifter en tjänst behandlar om ni, är det här vad ni behöver ta reda på:
- Vad är syftet med att denna tjänst behandlar mina uppgifter?
- Vilket är det lagliga skälet till att uppgifterna behandlas?
- Verkar leverantören skydda mina uppgifter på ett betryggande sätt?
- Är de uppgifter som jag ombeds lämna rimliga mot bakgrund av punkterna 1, 2 och 3?
Det fina med GDPR är att den föreskriver att personuppgiftsansvariga ska göra denna information lättillgänglig för användarna av tjänsten. Förhoppningsvis kommer vi att få se mycket mer transparens när det gäller syftet med databehandlingen och bättre skydd av våra personuppgifter.
itslearning är en av de första LMS-leverantörerna som uppfyller kraven för GDPR. För mer information, besök vår GDPR-sida.
Ursprungligen publicerad 9 april 2018. Uppdaterad 19 oktober 2021