Det här är det femte inlägget i en serie inlägg skrivna av vårt Dataskyddsombud John-Arthur Berg.
Enligt min åsikt är det vanligaste missförståndet vad gäller dataintegritet att det handlar om vilken typ av personuppgifter du lagrar. Medan typen av data som lagras av en app intuitivt kan verka antingen helt i sin ordning eller ett intrång på ditt privatliv, kan du inte bedöma om en service bearbetar data på ett lagenligt sätt bara genom att titta på inställningarna.
Du måste börja med syftet.
Det kanske låter som en löjlig affärsjargong, ett meningslöst ord, ett modeord som kastas runt av konsulter som formulerar riktlinjerna för ditt varumärke. Men i GDPR-sammanhang är syftet a och o.
Innan du ens börjar tänka på att bearbeta personuppgifter, måste du först definiera syftet med bearbetningen. Låt oss säga att du driver en kattägarförening som vill sätta upp en e-postlista för dina medlemmar så att de kan dela länkar till roliga kattvideos online och erbjuda råd i kattrelaterade ämnen. Så, syftet med bearbetningen av relaterad personlig information är att hantera en e-postlista där kattrelaterade råd och underhållning delas.
Genom att skriva ner syftet får du som kontrollant möjlighet att fatta beslut om ett antal vitala frågor relaterade till GDPR.
Hur gör jag den här bearbetningen på ett lagligt sätt? Det finns sex lagliga anledningar att bearbeta personuppgifter, men de kräver alla ett syfte. I vårt exempel verkar det som ett medgivandebaserat tillvägagångssätt passar bäst. Men det är viktigt att komma ihåg att det finns ett antal andra anledningar till varför en organisation kan bearbeta din data (t.ex. allmänhetens intresse eller lagliga krav). All bearbetning måste dock ha ett tydligt definierat, transparent syfte för att vara laglig.
Vilka typ av personuppgifter är jag tillåten att bearbeta? GDPR baseras på principen dataminimering. Så för din e-postlista räcker ett namn och en e-postadress. Att lagra information om mottagarnas kön är olagligt, därför att syftet av bearbetningen inte visar på ett behov för detta.
Vilken typ av säkerhet måste jag aktivera? Att förstå syftet, tillsammans med den typen av personuppgifter du lagrar ger dig den säkerhetsnivå du behöver. Vad är det värsta som kan hända om någon hackar din databas och avslöjar alla medlemmar som kattälskare? Och vilka skyddsåtgärder bör du vidta för att undvika det? Medan vårt exempel kan framstå som trivialt är missbruk av e-postadresser den vanligaste formen av bedrägeri, och kan på ett enkelt sätt länka samman en person till andra typer av personuppgifter. Så, skapa en lösning med lämplig säkerhetsnivå, eller välj en välrenommerad leverantör med god säkerhet på plats.
Hur samlar jag in personuppgifter och mina användare? Syftet är startpunkten för att informera användarna. Ingen ska vilseledas att tro att det är en e-postlista för hundälskare och sedan bli spammad med kattvideos. Den vägledande principen är att din bearbetning måste vara transparent.
När måste jag radera den personuppgifterna? De flesta syften måste ha en början och ett slut. Om syftet inte längre är giltigt eller om bearbetningen inte längre är laglig, måste du radera uppgifterna. Eftersom detta är en frivillig e-postlista, avslutas syftet så fort medgivandet dras tillbaka, eller om du stänger ner tjänsten helt och hållet.
Om du, som användare, är bekymrad över vilka typer av personlig data en tjänst bearbetar om dig behöver du ta reda på följande:
1. Vad är syftet med att denna tjänst bearbetar mina data?
2. Vad är den lagliga anledningen som åberopas för att bearbeta datan?
3. Verkar leverantören skydda mina personuppgifter på ett betryggande sätt?
4. Verkar datan jag blir ombedd att lämna ifrån mig rimlig med hänsyn till punkt 1, 2 och 3?
Det fina med GDPR är att den kräver att kontrollansvarig ska göra denna information lättillgänglig för användarna. Förhoppningsvis kommer vi att se mycket mer transparens med hänseende till databearbetning efter den 25 maj.
