Det vanligaste missförståndet när det gäller datasekretess är att det handlar om vilken typ av personuppgifter du lagrar. Även om den typ av data som lagras av en applikation intuitivt kan verka antingen bra eller inkräkta på din integritet, kan du inte bedöma om en tjänst lagligen behandlar data bara genom att titta på datauppsättningen. Jag får ofta frågor om den europeiska dataskyddsförordningen (GDPR) och har därför sammanställt detta korta blogginlägg för att besvara några av de vanligaste frågorna.
När är databehandling laglig?
Det finns sex lagliga skäl för att behandla personuppgifter, men dekräver alla ett syfte.
- Samtycke
- Fullgörande av avtal
- Juridiskt krav
- Berättigat intresse
- Vitala intressen
- Allmänhetens intresse
Ett samtyckesbaserat synsätt på laglighet är ofta det som passar bäst. Men det är viktigt att komma ihåg att det finns andra skäl till varför en organisation kan behandla dina uppgifter. All behandling måste dock ha ett tydligt definierat och transparent syfte för att vara laglig.
Vilka personuppgifter får en organisation behandla?
GDPR arbetar enligt principen om uppgiftsminimering. Att samla in ett namn och en e-postadress borde alltså vara okej. Att samla in information om en persons kön skulle vara olagligt, eftersom syftet med behandlingen inte visar att det finns något behov av det.
Vilken typ av säkerhet behövs för att skydda uppgifterna?
Genom att förstå syftet och vilka typer av personuppgifter du lagrar får du en bra indikation på vilken säkerhetsnivå som behövs. Vad är det värsta som kan hända om någon hackar din databas och avslöjar att alla prenumeranter är kattälskare? Och vilka skyddsåtgärder bör du vidta för att undvika det? Även om vårt exempel kan verka trivialt är missbruk av e-postadresser ett av de vanligaste sätten att begå bedrägerier och kan enkelt koppla en person till andra uppsättningar personuppgifter. Se därför till att skapa en lösning som har lämpliga skyddsåtgärder på plats, eller välj en ansedd leverantör med god säkerhet på plats.
Hur samlar man in personuppgifter och informerar användarna?
Syftet kommer att vara utgångspunkten för att informera användarna. Ingen ska förledas att tro att detta är en e-postlista för hundälskare, bara för att bli spammad med kattvideor. Den vägledande principen är att din behandling måste vara transparent.
När måste en organisation radera personuppgifter?
De flesta syften har en början och ett slut. Om ändamålet inte längre är giltigt eller om behandlingen inte längre är laglig måste du radera informationen. Eftersom detta är ett opt-in-system skulle syftet upphöra när samtycket återkallas eller om organisationen stänger av tjänsten helt och hållet.
Om du som användare är orolig för vilka typer av personuppgifter en tjänst behandlar om dig, är det här vad du behöver ta reda på:
- Vad är syftet med att denna tjänst behandlar mina uppgifter?
- Vilket är det lagliga skäl som anges för behandlingen av uppgifterna?
- Verkar leverantören skydda mina uppgifter på ett betryggande sätt?
- Verkar de uppgifter som jag ombeds att lämna rimliga mot bakgrund av punkterna 1, 2 och 3?
Det fina med GDPR är att den föreskriver att personuppgiftsansvariga ska göra denna information lättillgänglig för tjänstens användare. Förhoppningsvis kommer vi att få se mycket mer transparens när det gäller ändamålen med databehandlingen och ett bättre skydd av våra personuppgifter.
itslearning är en av de första LMS-leverantörerna att bli GDPR-kompatibla. För mer information, besök vår GDPR-sida.
Ursprungligen publicerad 9 april 2018. Uppdaterad 19 oktober 2021