De 7 principper i GDPR

Den generelle persondataforordning (GDPR) omskrev reglerne om privatlivets fred, og tvang virksomheder til at opdatere deres drift og endda omformulere deres produktdesign, tjenester og branding.

8 minutters læsning. Udgivet den 22-06-2022 under kategorien: gdpr.

De 7 principper i GDPR
Hero pattern

Den generelle persondataforordning (GDPR) omskrev reglerne om privatlivets fred, og tvang virksomheder til at opdatere deres drift og endda omformulere deres produktdesign, tjenester og branding.

Den måske vigtigste artikel i persondataforordningen er artikel 5, som kortfattet beskriver nogle principper for, hvordan organisationer og offentlige myndigheder bør behandle persondata.

Resten af databeskyttelsesforordningen, eller GDPR, er stort set en detaljeret udvidelse af disse principper.

Kort sagt så er alle GDPR-reglerne skabt på baggrund af 7 grundlæggende principper, der skal beskytte privatpersoner. De 7 principper skaber tilsammen den tankegang, som en virksomhed skal have omkring almindelige personoplysninger og følsomme personoplysninger og den måde, som virksomheden skal foretage databeskyttelse på.

Principperne er som følgende:

Når man forstår de 7 principper, er det lettere at forstå GDPR-reglerne og hvorfor, reglerne er, som de er. Vi vil nu gennemgå principperne en ad gangen. 

Princip 1: Lovlighed, rimelighed og gennemsigtighed. 

Det første princip betyder i bund og grund, at en virksomhed eller offentlig myndighed skal have et lovmæssigt grundlag til at behandle personoplysninger. Det er helt centralt. Når en virksomhed behandler personoplysninger, bør den have saglige formål til at gøre det. GDPR betegner dette princip lovlighed. Årsager til at behandle data, som hedder en hjemmel, kan omfatte:

On en virksomheds legitime interesser overstiger den registreredes interesser er en interesseafvejning, som den dataansvarlige i en virksomhed skal foretage. En dataansvarlig er en part, der bestemmer formålet og midlerne til behandling af personoplysninger.

Begrebet rimelighed, der er fastlagt i databeskyttelsesloven, går hånd i hånd med lovlighed. Det betyder, at en virksomhed ikke med vilje skal tilbageholde oplysninger om, hvad eller hvorfor den indsamler persondata. Med andre ord ville de registrerede ikke blive overraskede, hvis de vidste, hvordan en virksomhed brugte deres data. Rimelighed betyder, at en virksomhed ikke vil misbruge de data, den indsamler, og at virksomheden vil behandle dem efter best practice. 

Gennemsigtighed er i sagens natur forbundet med rimelighed. Gennemsigtighed betyder at være klar, åben og ærlig over for de registrerede om, hvem virksomheden er, og hvorfor og hvordan den behandler deres personoplysninger. Ved at følge dette handler virksomheden retfærdigt over for de registrerede.

Det er f.eks. meget vigtigt, at en virksomhed fortæller den registrerede, hvis virksomheden vil videresende deres oplysninger til tredjelande eller internationale organisationer.

Princip 2: Formålsbegrænsning.

GDPR's andet princip sætter grænser for kun at bruge persondata til specifikke aktiviteter. Denne formålsbegrænsning betyder, at data kun "indsamles til specificerede, eksplicitte og legitime formål", som angivet i databeskyttelsesforordningen. Specifikke behandlingssituationer kræver specifikke behandlingsgrundlag.

En virksomheds formål med behandling af personoplysninger skal være et specifikt formål og klart fastlagt. Og det skal også klart kommunikeres til enkeltpersoner gennem en fortrolighedserklæring. Endelig skal en virksomhed følge det nøje og begrænse behandlingen af persondata til kun de formål, som virksomheden har angivet.

Hvis en virksomhed på noget tidspunkt ønsker at bruge de persondata, den har indsamlet, til et nyt formål, der er uforeneligt med det oprindelige formål, skal den bede specifikt om samtykke igen for at gøre det - medmindre virksomheden har en klar forpligtelse eller funktion fastsat i loven.

Princip 3: Dataminimering.

Det tredje princip handler om, at en virksomhed ikke skal indsamle personoplysninger, som ikke er vigtige for formålet med brugen af personoplysningerne. Indsamlingen af personoplysninger er altså need-to-have og ikke nice-to-have. 

En virksomhed skal kun indsamle den mindste mængde data, den skal bruge for at opfylde formålet og ikke bare alle data, der kunne være brugbare. For eksempel, hvis en virksomhed ønsker at få personer til at skrive sig op til et e-mail-nyhedsbrev, bør den kun bede om oplysninger, der er nødvendige for at udsende nyhedsbrevene.

En virksomhed ville ikke praktisere dataminimering, når den i eksemplet også beder om telefonnummer og hjemmeadresse.

Princip 4: Rigtighed.

En virksomhed skal sikre rigtigheden af de indsamlede persondata, som den behandler. Det kan være, at en af virksomhedens kunder har skiftet hjemmeadresse eller har skiftet efternavn. Kundens nye personoplysninger skal hurtigst muligt rettes i alle de systemer, som opbevarer oplysningerne. Hvis virksomheden har nogle samarbejdspartnere eller en databehandler, der modtager kundes oplysninger, skal de også informeres om ændringen. 

Det er en god idé for virksomheder at opsætte systemer eller procedurer således, at personoplysninger jævnligt bliver tjekket igennem.

Hvis urigtige oplysninger og gamle data behandles, så kan den registrerede gøre indsigelse, da det er et krav, at virksomheder kun behandler rigtige oplysninger.

Princip 5: Opbevaringsbegrænsning.

Der er mange virksomheder, der gerne vil beholde data fra kunder i lang tid, fordi det er jo rart at have dem og det kan være, at de en dag kan bruges til noget. Men sådan fungerer det ikke i GDPR. Virksomheder skal kun opbevare persondata, så længe at det er nødvendigt. Der skal altså være en begrænsning på opbevaringstiden af personoplysningerne.

Så længe at en virksomhed stadig har et formål med at opbevare oplysningerne, så kan den naturligvis gøre det. Når virksomheden ikke længere har brug for personoplysningerne, så skal den slette dem eller evt. anonymisere dem, så de ikke længere kan bruges til at identificere en person.  

Når personoplysningerne slettes, betyder det, at de ikke længere er tilgængelige for virksomheden.

I henhold til GDPR skal en virksomhed begrunde, hvor lang tid en opbevaring af hver enkelt personoplysning skal vare. Dataopbevaringsperioder er en god ting at etablere for at overholde denne opbevaringsbegrænsningspolitik. Virksomheder kan oprette en standardperiode, hvorefter den anonymiserer eller sletter alle de personoplysninger, virksomheden ikke længere har et formål med at bruge.

Princip 6: Integritet og fortrolighed.

GDPR kræver, at virksomheder bevarer integriteten og fortroligheden af de personoplysninger, de indsamler, og beskytte dem mod interne eller eksterne trusler. Dette kræver planlægning og proaktiv omhu. Virksomheder skal beskytte persondata mod uautoriseret eller ulovlig behandling og utilsigtet tab, ødelæggelse eller beskadigelse.

Særligt følsomme oplysninger som helbredsoplysninger skal beskyttes ekstra godt.

Der ligger et sikkerhedselement i dette princip. Virksomheder skal foretage risikovurderinger af deres systemer og derefter sørge for, at der indføres sikkerhedsforanstaltninger, der beskytter personoplysningerne mest muligt. 

Måden til at sikre integritet og fortrolighed af personlige data, er at virksomheder har implementeret en tilstrækkelig sikkerhed. “Tilstrækkelig sikkerhed” afhænger af selve virksomheden.

Et tilstrækkeligt sikkerhedsniveau kan variere internt i virksomheden mellem de forskellige formål, som den har til behandlingen af persondata. Et tilstrækkeligt sikkerhedsniveau varierer også mellem virksomheder og/eller samarbejdspartnere. 

Og de skal sørge for, at personoplysningerne behandles med en passende fortrolighed og at uvedkommende, som hackere, ikke kan få adgang til dem.

Princip 7: Ansvarlighed.

Selvom dette er princip nummer 7, så er det et af de vigtigste principper, når det kommer til at følge GDPR i praksis. 

Uafhængige tilsynsmyndigheder ved, at en organisation kan sige, at de følger alle reglerne uden faktisk at gøre det. Det er derfor, de kræver et niveau af ansvarlighed: En virksomhed skal have passende foranstaltninger og dokumentation på plads som bevis på deres overholdelse af databehandlingsprincipperne.

Tilsynsmyndighederne, som i Danmark er Datatilsynet, kan til enhver tid anmode om dette bevis. Dokumentation er nøglen her. Virksomheder skal lige fra starten af opsætte en procedure for, hvordan de dokumenterer, at de indsamler, håndterer og opbevarer personoplysninger korrekt. Denne dokumentation hedder en artikel 30-fortegnelse.

Det er den dataansvarlige, der har et ansvar for at dokumentere, at en virksomhed overholder databeskyttelsesreglerne.

Princippernes betydning når du skal behandle persondata

Ifølge GDPR skal personoplysninger behandles med de “passende organisatoriske og tekniske foranstaltninger”. Det er for at beskytte privatpersoner, når en virksomhed behandler persondata om dem og for at overholde de 7 grundprincipper.

Virksomheder skal selv vurdere på, hvordan en “passende” sikkerhed implementeres i virksomheden.

“Organisatoriske foranstaltninger” betyder, at det kun er de personer, som har et formål med at behandle personoplysninger, som skal have adgang til dem. Derudover kan organisatoriske foranstaltninger også handle om træning af medarbejdere i GDPR.

Mange personer i en virksomhed håndterer på daglig basis personoplysninger. Derfor er det vigtigt, at alle medarbejdere kender til GDPR-reglerne og ved noget om, hvordan man skal håndtere de forskellige kategorier af persondata på en sikker måde.

Det er ikke nødvendigt, at alle i en virksomhed er eksperter i GDPR, men der er ofte flere ansatte, der kommer i kontakt med personlige oplysninger, end de fleste regner med. Og hvis der bare er én ansat, der kommer til at håndtere personoplysninger forkert, så kan det lede til et brud på datasikkerheden, og det skal tages meget alvorligt.

Derfor anbefaler vi, at alle virksomheder både i den private og i den offentlige sektor bruger awareness-træning som redskab til at forbedre deres medarbejderes forståelse af korrekt databehandling.  

“Tekniske foranstaltninger” relaterer sig oftest til de IT-systemer, som virksomheder bruger. IT-systemerne skal være sikret mod hacking og beskytte personoplysningerne bedst muligt.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg