Databeskyttelsesprincipper: De 7 GDPR-principper alle bør kende

Kort sagt, så er alle GDPR-reglerne forankret i 7 generelle principper for privatlivets fred. Hvis du forstår de 7 GDPR-principper, vil det blive lettere for dig at forstå alle reglerne. De 7 principper er:

1. Lovlighed, rimelighed og gennemsigtighed

2. Formålsbegrænsing

3. Dataminimering

4. Rigtighed

5. Opbevaringsbegrænsning

6. Integritet og fortrolighed

7. Ansvarlighed

Før vi dykker ned i hver enkelt princip, vil vi dykke ned i, hvorfor de er vigtige, og hvordan du kan drage fordel af dem.

Lad os sige, at din organisation gerne vil lave et online nyhedsbrev til jeres kunder. Din målgruppe kan tilmelde sig nyhedsbrevet på flere måder. De kan f.eks. abonnere på dit nyhedsbrev ved at udfylde en formular på din hjemmeside, eller de kan afkrydse et felt, når de foretager et køb på din hjemmeside. På denne måde får du en database med kunder, og af og til sender du relevant indhold til dem. Desuden bruger du denne database til at tilpasse dine beskeder til din målgruppe, for eksempel ved at overvåge deres adfærd på din hjemmeside.

Det er ret ligefrem ikke?  

Eksemplet er holdt rimelig simpelt, så det er let at bruge, når vi går gennem de 7 principper.

GDPR-principperne er selvfølgelig også relevante i andre scenarier og bør tilpasses jeres dagligdag.

Det første princip indeholder faktisk 3 punkter i sig selv. Vi lover, at dette er det eneste princip, der har mere end én ting gemt i sig.

Grundlæggende fortæller dette princip os, at behandlingen af personoplysninger skal foregå på en lovlig, rimelig og gennemsigtig måde. Her er, hvad det betyder:

Lovlighed betyder, at du indsamler data og behandler dem på et gyldigt behandlingsgrundlag. For eksempel er et ret almindeligt behandlingsgrundlag at bede om samtykke hos brugeren til at behandle deres persondata.

Rimelighed betyder, at din behandling af personoplysninger er i den bedste interesse for den person, dataene handler om, og at personen rimeligt kan overskue omfanget af behandlingen.

Gennemsigtighed betyder, at du tydeligt kommunikerer hvad, hvordan og hvorfor du behandler en persons data. Det skal kommunikeres på en måde, som de personer, hvis data du behandler, let kan forstå omfanget og måden du behandler deres data på. Folk skal vide, hvad de siger ja til.

Behandlingsgrundlag for at have et nyhedsbrev

I vores eksempel, har man som minimum brug for navne og e-mailadresser på personer, der registrerer sig til ens nyhedsbrev. Du er altså nødt til at få et behandlingsgrundlag for disse data. Det kan gøres ved f.eks. at lade brugeren give samtykke ved at markere et felt. Det er dog også vigtigt, at du for eksempel giver brugerne mulighed for at begrænse indsamlingen af deres data til kun det, der er vigtigt for at levere nyhedsbrevet. Har du f.eks. brug for personens jobtitel til dit nyhedsbrev? Hvis svaret er ja, skal du være parat til at kunne argumentere hvorfor. Desuden skal du kunne dokumentere, hvornår og hvordan dette samtykke blev givet, hvis du bliver bedt om det.

De data, du behandler til nyhedsbrevet, skal være rimelig. For eksempel, hvis du er en virksomhed, der sælger skønhedsprodukter, forventer dine kunder at modtage information om nye produkter eller blogindlæg om skønhed. Derefter skal du for eksempel ikke bruge denne kundedatabase til at sende e-mails, der ikke er relevante (dvs. ikke forventes) til dine abonnenters hensigt om at registrere dig i dit nyhedsbrev.

Endelig skal du være gennemsigtig og kommunikere, “hvad” du behandler, samt “hvordan” og “hvorfor” du gør det. Husk, at alle har ret til at vide nøjagtigt, hvilke data du har om dem, og hvordan og hvorfor disse data behandles. Du kan få gennemsigtighed i dit nyhedsbrev ved f.eks. at have en klar fortrolighedspolitik på din hjemmeside og give dine abonnenter mulighed for nemt at kontakte den databeskyttelsesansvarlige (DPO’en) i din organisation.

Dette princip fortæller os, at du kun skal behandle personoplysninger til det formål, som du har tiltænkt det til. Med andre ord, bør du ikke genbruge persondata til andre formål end det, de indsamlinger var beregnet til.

Du kan ikke bruge data til nyhedsbrevet til andre formål end kommunikeret

I vores eksempel vil dette betyde, at du ikke skal bruge de data, du får gennem dit nyhedsbrev, til andre formål end det, du har angivet. Hvis du f.eks. i dit samtykke til dit nyhedsbrev har erklæret, at du gemmer dine abonnenters IP-adresser for at dokumentere, hvornår og hvordan samtykke blev givet, kan du ikke bruge IP-adresserne til at sende dem tilpasset indhold, f.eks. produktforslag, der er målrettet mod deres geografiske område. Det ville være at bruge deres persondata til et andet formål.

Men hvis du for eksempel har erklæret, at du indsamler deres IP-adresse for at sende nyhedsbrevet og relevant indhold, kan du muligvis bruge deres persondata til at sende målrettede e-mails, da relevant indhold kan være produktforslag baseret på geografisk placering. Vær dog opmærksom på, at der lægges vægt på ordet “måske”, fordi der er strenge krav til dette, og man skal være sikker på, hvor grænserne går.

Når det kommer til data, så findes der ikke nogen, der ikke gemmer dem. Vi beholder på ting, fordi det er rart at have dem, og fordi hvem ved? Måske skal vi pludselig bruge tingene. Men der er meget data, vi aldrig bruger.

Det tredje princip, dataminimering, handler om, at vi ikke bør have data, som vi ikke har brug for.
Dette princip fortæller os, at vi ikke bør indsamle flere persondata, end hvad der er nødvendigt for at levere vores service. Med andre ord, skal man kun indsamle og behandle den nøjagtige mængde data, der er nødvendig.

Du behøver ikke nyhedsbrevslæseres jobtitel, alder og køn

I vores eksempel vil det betyde, at du kun skal indsamle de nødvendige persondata for at levere nyhedsbrevet. For eksempel har du muligvis brug for et navn og en e-mailadresse på abonnenterne, men du behøver ikke at kende deres beskæftigelse. Det er måske “dejligt at have”, men ikke nødvendigt, og du bruger det muligvis ikke engang.

Ikke desto mindre, er dataminimering gavnligt for dig på flere måder. Det vil ikke kun bringe dig et skridt tættere på overholdelse af GDPR-lovgivningen, men du vil også blive mindre påvirket af potentielle databrud, da du vil have mindre data, der kan mistes.

Dette princip kan virke lidt forvirrende. Mens alle de andre principper, vi indtil videre har set på, handler om at samle så lidt data om mennesker, så handler dette punkt om at samle korrekt data. Princippet handler om at have de mest nøjagtige data som muligt.

Det betyder, at de personoplysninger, vi behandler, skal være korrekte og ajourførte. Du skal som databehandler tage “rimelige forholdsregler” for at sikre at din data er korrekt.

Det er dog kun relevant, når rigtigheden af den indsamlede persondata har en betydning for den person, dataene handler om. Det er ikke altid, at det er tilfældet, men selvom det ikke har, så er det godt skik at holde øje med alligevel. For hvis de data, du har, er unøjagtige eller forkerte, er der ingen grund til at håndtere dem, da de ikke giver noget viden til en. De skal derfor opdateres eller slettes.

Nøjagtig og rigtig data er vigtig for, at e-mails når frem

Lad os sige, at en af dine abonnenter er registreret på dit nyhedsbrev med sin arbejdsmail, mens han arbejder i hos virksomhed X. Hvis denne person skifter job og nu arbejder hos virksomhed Y, fungerer e-mailadressen til virksomhed X ikke længere. De data, du har om denne bruger, er således ikke længere nøjagtige.

En “rimelig foranstaltning” i dette scenarie kan være at inkludere et link i dit nyhedsbrev, hvor dine abonnenter kan ændre deres e-mailadresse. Så når abonnenter ved, at de snart skal skifte job, kan de opdatere de personlige oplysninger, som du har om dem.

Du kan også have et CRM-system eller et e-mail-marketingsystem, der holder styr på e-mailadresser, der svarer automatisk, når du sender dit nyhedsbrev. Hvis en person har forladt en virksomhed, opretter virksomheden normalt et automatisk svar om, at personen ikke arbejder der mere. Men folk kan også indstille automatiske svar af andre grunde, for eksempel når de er på ferie. Derfor bør du regelmæssigt gennemgå disse automatiske svar for at se, om du har abonnenter med ugyldige e-mailadresser.

Dette princip handler om at slette persondata, når du ikke længere har brug for dem. Dybest set bør du ikke gemme persondata, som ikke længere bruges til det formål, de var beregnet til. Princippet kan sammenlignes med dataminimeringsprincippet, og mange organisationer ser det at slette gamle data, som en del af dataminimeringen. Princippet handler i bund og grund om at slette forældet data kontinuerligt. Man kan f.eks. rydde op i ens data en gang om året eller lignende.

Slette folks data, når de afmelder sig nyhedsbrevet

I vores eksempel, kan det for eksempel være, at hvis folk afmelder sig dit nyhedsbrev, skal du slette deres oplysninger. Tilsvarende, hvis din organisation beslutter ikke at sende nyhedsbreve længere, bliver du nødt til at slette dine abonnenters persondata. Det er fordi, formålet med at indsamle dine abonnenters persondata er at sende dem nyhedsbrevet, og hvis dette formål ikke længere eksisterer, bør de data, der blev indsamlet til dette formål, heller ikke være gemt længere.

Man kan også argumentere for, at hvis en person aldrig åbner ens mails, så er denne person ikke relevant at sende e-mails til. Derfor kan man overveje at slette denne person fra ens mailliste og slette deres persondata.

I nogle tilfælde kan det være relevant at opbevare persondata i et stykke tid efter, at formålet med dem er afsluttet eller anonymisere dem og bruge dataene til statistiske eller historiske formål. Disse situationer er dog undtagelser snarere end regler, og de skal overvejes nøje.

Hvis du ved meget om IT-sikkerhed, så har du måske hørt om “CIA-trekanten”. Det lyder sejt, men CIA henviser ikke til det amerikanske Central Intelligence Agency, men det står i stedet for confidentiality, integrity and availability (fortrolighed, integritet og tilgængelighed).

Dette princip vedrører to af kanterne af den trekant. Integritet handler om at sikre, at persondata er korrekte og ikke kan manipuleres af andre. Dvs. at du skal beskytte dine systemer mod hackere, så persondata ikke bliver stjålet eller manipuleret. Fortrolighed handler om at sikre, at det kun er de personer, der bør have adgang til de persondata, der rent faktisk har adgang.

Princippet handler altså om at beskytte persondata.

Ikke alle i ens virksomhed behøver have adgang til mailadresser og navne

I vores eksempel vil dette betyde, at de data, du indsamler gennem dit nyhedsbrev, ikke skal være tilgængelige for uautoriserede personer – det gælder også personer i din egen organisation.

Med andre ord, er det kun personer, der har brug for oplysningerne for at kunne skabe og sende nyhedsbrevet, som skal have adgang til det. Mette nede fra regnskab skal ikke have adgang til denne data.

Desuden skal du have systemer og foranstaltninger tilstede, så dataene ikke kan manipuleres eller stjæles. For eksempel skal dine abonnenters persondata ikke lagres i et delt drev, som alle i din organisation har adgang til, og du skal træffe de nødvendige foranstaltninger for at sikre, at det sted, du gemmer disse oplysninger, er beskyttet mod hackerangreb.

Som navnet antyder, vedrører dette princip at tage ansvar for din databehandling. Det betyder, at du som behandlingsansvarlig og/eller behandler skal være ansvarlig for korrekt behandling af personoplysninger og overholdelse af reglerne i GDPR.

Når vi taler om at tage ansvar, handler det ikke kun om at opfylde de forskellige krav i GDPR, men også om at kunne dokumentere, at du gør det. Du skal kunne vise tiltag, der viser, at I forsøger at leve op til GDPR.

Vide hvornår og hvor man har fået samtykke

For eksempel, hvis du bruger samtykke som et behandlingsgrundlag for at sikre, at du behandler dine abonnenters persondata til dit nyhedsbrev og dermed sikrer lovlighedsprincippet, bliver du nødt til at dokumentere, hvordan og hvornår dette samtykke blev givet. For at gøre dette skal du have et system på plads, der dokumenterer samtykket. F.eks. tidspunktet for hvornår samtykket er givet, og gennem hvilken side på hjemmeside, der er blevet afkrydset et felt.

Et andet eksempel er, at mange af principperne i GDPR kræver, at du træffer organisatoriske foranstaltninger ud over tekniske foranstaltninger. Dette kan f.eks. dreje sig om princip 2, hvor du skal træne dine medarbejdere i ikke at genbruge persondata til andre formål end det oprindelige formål. Ved at træne dine medarbejdere og dokumentere initiativet, så vil du både opfylde og demonstrere et krav.