Hvordan efterleves De 7 GDPR principper | Basisviden
Introduktion
Med sine 11 kapitler og 99 artikler kan EU's GDPR-forordning synes overvældende at navigere i. Det kan være en udfordring at afgøre, hvor man skal starte og slutte for at sikre, at alle aspekter er dækket.
Men heldigvis er det ikke nødvendigt at kende alle artiklerne udenad for at sikre, at din virksomhed overholder forordningen. Artikel 5 præsenterer et klart overblik over, hvordan persondata bør behandles gennem syv overordnede principper. Disse principper fungerer som et resumé af hele forordningen, da de efterfølgende krav bygger videre på dem. Dette betyder dog ikke, at man udelukkende kan basere sig på artikel 5, men det er et fremragende udgangspunkt. Det gælder både ved implementering af GDPR, opdatering af eksisterende implementeringer eller uddannelse af medarbejdere i GDPR. De syv principper tilbyder værdifuld støtte for både store og små virksomheder, idet de er generelle og rettet mod alle virksomheder, der skal overholde GDPR-forordningen, hvilket praktisk talt er alle virksomheder.
Denne artikel vil derfor fokusere på artikel 5 og de syv overordnede principper, som er beskrevet heri. For at give principperne praktisk relevans, vil artiklen også inkludere eksempler på, hvordan du kan arbejde med hvert enkelt princip i praksis.
Hvis du har lyst til at lære endnu mere end GDPR, så se vores komplette guide: Alt du skal vide om GDPR.
Hvad er de 7 GDPR principper?
Som nævnt findes de syv principper i artikel 5. Grundlæggende er der seks principper opført i første stykke, a til f, og det syvende princip findes i andet stykke. Det overordnede formål med disse principper er at sikre, at du som virksomhed, der behandler persondata, gør dette med respekt og sikkerhed, således at de registrerede kan have tillid til, at deres data er i gode hænder.
I GDPR findes der en række dokumentationskrav, som du skal opfylde. Dette inkluderer blandt andet:
- At føre en fortegnelse over dine behandlingsaktiviteter
- At dokumentere, hvilke parter du deler data med
- At foretage risikovurderinger af de registreredes persondata
- At have og vedligeholde et GDPR årshjul
- At dokumentere politikker og procedurer i forbindelse med databeskyttelse
Formålet med disse dokumentationskrav er at sikre, at du kan dokumentere overholdelsen af principperne, hvilket vil blive uddybet yderligere i det syvende princip.
Læs også: Disse obligatoriske GDPR dokumenter skal du have styr på
Princip 1: Lovlighed, rimelighed og gennemsigtighed
Det første princip dækker tre fundamentale områder, som du skal overholde:
- Lovlighed: Den behandling af personoplysninger, du foretager, skal have et lovligt grundlag. Dette betyder, at du skal have et gyldigt retsgrundlag for at behandle personoplysningerne. Disse retsgrundlag kan variere og opnås på forskellige måder. Det essentielle er, at du sikrer dig, at behandlingen har et gyldigt retsgrundlag. Retsgrundlagene er specificeret i GDPR-forordningens artikel 6, og et supplerende retsgrundlag, der kræves ved behandling af følsomme oplysninger (f.eks. sundhedsoplysninger), findes i artikel 9. Overvej, hvilke retsgrundlag der er relevante for de personer, du behandler data om, og for behandlingens formål. Eksempel på lovlighed: Når du sender et nyhedsbrev ud til dine kunder, skal modtagerne have givet deres samtykke til, at du må sende dem dette nyhedsbrev. Samtykket bliver her dit retsgrundlag (artikel 6, stk. 1, litra a). I dette tilfælde skal du også sikre, at den registrerede har mulighed for at trække sit samtykke tilbage – og sker dette, har du ikke længere et retsgrundlag for behandlingen.
- Rimelighed: Du skal behandle den registreredes data rimeligt. Dette indebærer, at du har ansvar for personoplysningerne og ikke må offentliggøre dem uhensigtsmæssigt. Eksempel på rimelighed: Sørg for, at de steder, hvor du opbevarer persondata, er sikrede. Følg gerne anerkendte bedste praksis for sikkerhedsforanstaltninger, både tekniske og organisatoriske.
- Gennemsigtighed: Den registrerede skal til enhver tid kunne få indsigt i, hvilke persondata du behandler om dem, og formålet hermed. Oplysningerne skal være klare og forståelige, uden at være indviklede eller uklare, uanset om du behandler kontaktoplysninger eller sundhedsoplysninger på den registrerede. Eksempel på gennemsigtighed: Sørg for at informere de registrerede i et klart og letforståeligt sprog (ikke fyldt med juridiske termer) om, hvilke persondata I behandler om dem, og hvorfor. Denne information bør være let tilgængelig for den registrerede, oftest gennem privatlivspolitikker, som er tilgængelige på hjemmesiden (f.eks. for kunder) og på et intranet (f.eks. for medarbejdere).
Læs også: Hvad betyder Governance, Risiko og Compliance?
Princip 2: Formålsbegrænsning
Et af de centrale principper i GDPR er formålsbegrænsning, som er vitalt for sikker og ansvarlig håndtering af persondata. Dette princip, fremhævet i artikel 5, stk. 1, litra b, fastslår, at data må kun indsamles til specifikke, udtrykkeligt angivne og legitime formål. Det kræver, at virksomheder ved indsamlingen af personoplysninger har et klart og legitimt formål, og at dataene ikke senere behandles på måder, der strider mod disse oprindelige formål.
For at illustrere dette princip kan vi se på et eksempel med en uddannelsesinstitution, der indsamler studerendes personlige oplysninger for at administrere tilmeldinger og kurser. Disse oplysninger kunne være navn, adresse og uddannelsesbaggrund. Selvom disse data legitimt kan bruges til at kommunikere nødvendige kursusoplysninger og opdateringer, vil en anvendelse af samme data til at sende kommercielle tilbud fra tredjeparter uden de studerendes udtrykkelige samtykke være et klart brud på formålsbegrænsningsprincippet. Dette eksempel understreger, hvor essentielt det er, at virksomheder og organisationer er åbne og transparente omkring, hvordan de indsamler og bruger persondata, og sikrer, at disse kun anvendes i overensstemmelse med de godkendte formål.
Ved nøje at overholde formålsbegrænsningsprincippet bekræfter din virksomhed sit dedikerede engagement i at beskytte personlige data, hvilket fremmer et fundament af tillid og sikkerhed i relationen til jeres brugere eller kunder. At følge dette princip er ikke kun afgørende for at opfylde GDPR's krav men spiller også en kritisk rolle i at opbygge og vedligeholde virksomhedens image som en ansvarsfuld dataforvalter.
Læs også: Hvad er GDPR og hvordan er det relevant for mig?
Princip 3: Dataminimering
Dataminimering er et afgørende princip i GDPR, som kræver, at enhver indsamling og behandling af persondata skal være "tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles". Dette princip, fundet i artikel 5, stk. 1, litra c, sikrer en forsvarlig og ansvarlig omgang med persondata, hvor kun de mest essentielle oplysninger indsamles.
I praksis betyder dette, at din virksomhed bør følge en "need-to-have" frem for en "nice-to-have" tilgang, når I indsamler data fra jeres kunder eller brugere. For eksempel, hvis din virksomhed tilbyder online salg og levering, er det nødvendigt at indsamle kundens navn, adresse, og betalingsoplysninger for at fuldføre købet og levere varen. Derimod er det ikke nødvendigt at indsamle yderligere informationer såsom kundens fødselsdato eller hobbyer, medmindre dette er direkte relevant for den service, der tilbydes.
Et konkret eksempel kunne være en app til eventplanlægning, der anmoder om adgang til kontakter for at lette invitationer til begivenheder. Mens appen måske kunne argumentere for værdien af også at indsamle oplysninger om brugernes lokation for at foreslå nærliggende events, ville dette stride imod dataminimeringsprincippet, hvis lokationsdata ikke er strengt nødvendig for appens primære funktion. Ved kun at anmode om og gemme de absolut nødvendige data, overholder appen dataminimeringsprincippet og viser respekt for brugernes privatliv.
Princip 4: Rigtighed
Princippet om rigtighed står centralt i GDPR og understreger vigtigheden af, at personoplysninger skal være korrekte og, hvis nødvendigt, holdes ajour. Ifølge artikel 5, stk. 1, litra d, skal alle rimelige skridt tages for at sikre, at personoplysninger, som er unøjagtige i forhold til de formål, hvortil de behandles, bliver rettet eller slettet uden unødig forsinkelse.
Et eksempel på anvendelsen af dette princip kan ses i en situation, hvor en kundeændrer sin adresse. Hvis virksomheden sender fakturaer eller vigtige meddelelser via posten, er det essentielt, at kundens adresseoplysninger er opdaterede og korrekte for at undgå misforståelser eller tab af vigtig korrespondance. I dette tilfælde har virksomheden et ansvar for straks at opdatere adressen i deres systemer, når de bliver informeret om ændringen. Dette kan indebære et system, hvor kunderne selv kan opdatere deres oplysninger gennem en brugerportal, eller en proces, hvor kundeservice opdaterer oplysningerne efter at have modtaget en anmodning fra kunden.
Det er også afgørende, at virksomheder implementerer interne kontrolforanstaltninger for regelmæssigt at verificere rigtigheden af de opbevarede personoplysninger. For eksempel kan en årlig gennemgang af kundedata hjælpe med at identificere og korrigere eventuelle fejl. Dette kunne være så simpelt som en e-mail opfordring til kunder om at bekræfte eller opdatere deres oplysninger.
Princip 5: Opbevaringsbegrænsning
Princippet om opbevaringsbegrænsning i GDPR understreger vigtigheden af kun at opbevare personoplysninger i den periode, det er nødvendigt for de formål, hvortil de er blevet behandlet. Dette princip, fremgår af artikel 5, stk. 1, litra e, betoner, at persondata ikke må opbevares i en form, der gør det muligt at identificere de registrerede længere, end hvad der er nødvendigt for de oprindelige formål med databehandlingen. Data må dog opbevares i længere perioder, hvis de udelukkende behandles til arkiveringsformål i offentlighedens interesse, videnskabelige, historiske forskningsformål eller statistiske formål i overensstemmelse med artikel 89(1), forudsat at de nødvendige tekniske og organisatoriske foranstaltninger er på plads for at beskytte de registreredes rettigheder og friheder.
Et konkret eksempel kunne være en online detailvirksomhed, der opbevarer kundedata for at behandle ordrer og tilbyde kundesupport. Når en kunde har afsluttet et køb, og alle relevante garantiperioder og returpolitikker er udløbet, er der ikke længere et legitimt forretningsmæssigt behov for at opbevare detaljerede personoplysninger om transaktionen. På dette tidspunkt bør virksomheden træffe skridt til enten at slette disse oplysninger eller anonymisere dem, så de ikke længere kan henføres til den enkelte kunde. Ved at gøre data anonyme omdannes personoplysningerne til ikke-personlige data, hvilket gør, at informationen ikke længere falder ind under GDPR's anvendelsesområde.
Gennemførelsen af en effektiv slettepolitik, der klart definerer, hvordan og hvornår data skal slettes eller anonymiseres, er afgørende for at overholde opbevaringsbegrænsningsprincippet. Dette princip hjælper med at minimere risikoen for databrud og beskytter de registreredes privatliv ved kun at beholde de nødvendige data for det tidsrum, det er strengt nødvendigt.
Læs også: Disse punkter kan du med fordel overveje ift. din GDPR compliance
Princip 6: Integritet og fortrolighed
Princippet om integritet og fortrolighed er hjørnestenen i beskyttelsen af personoplysninger under GDPR. Det fastslår, at persondata skal behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling samt mod utilsigtet tab, ødelæggelse eller skade ved anvendelse af passende tekniske og organisatoriske foranstaltninger. Dette princip, fundet i artikel 5, stk. 1, litra f, fremhæver nødvendigheden af at beskytte personoplysninger mod enhver form for trussel, der kan kompromittere dataenes integritet og fortrolighed.
Et illustrativt eksempel på dette princip i aktion kunne være en sundhedsapp, der indsamler og opbevarer følsomme sundhedsdata fra sine brugere. For at overholde princippet om integritet og fortrolighed, skal appen implementere stærke krypteringsmetoder for at beskytte dataene, når de overføres mellem brugerens enhed og serveren. Derudover skal appen indføre adgangskontroller for at sikre, at kun autoriseret personale kan tilgå brugernes sundhedsoplysninger. Dette kunne omfatte flerfaktorautentifikation for alle brugere og regelmæssig revision af adgangsrettigheder for at forhindre uautoriseret adgang.
Ved at indføre og vedligeholde disse tekniske og organisatoriske sikkerhedsforanstaltninger, sikrer sundhedsappen, at brugernes data ikke blot forbliver fortrolige, men også beskyttes mod risikoen for manipulation, uautoriseret adgang eller tab. Dette understøtter ikke kun overholdelsen af GDPR men styrker også brugernes tillid til appen, da de kan være sikre på, at deres personlige og følsomme oplysninger håndteres med største omhu og sikkerhed.
Princip 7: Ansvarlighed
Ansvarlighedsprincippet repræsenterer kernen i GDPR og pålægger dataansvarlige en udtrykkelig forpligtelse til ikke blot at overholde alle GDPR-principperne, men også at kunne påvise overholdelsen af disse principper. Dette princip, som beskrevet i artikel 5, stk. 2, kræver, at virksomhederne tager proaktive skridt for at sikre og dokumentere, at de behandler persondata i overensstemmelse med lovgivningen.
Et praktisk eksempel på, hvordan en virksomhed kan opfylde ansvarlighedsprincippet, er ved at udvikle og implementere en robust intern politik for databeskyttelse. Denne politik kan inkludere rutiner for regelmæssige audits, uddannelse af medarbejdere i databeskyttelse, og vedligeholdelse af detaljerede logfiler, der dokumenterer dataadgang og datahåndtering. For eksempel kan en e-handelsplatform indføre strenge adgangskontroller og kryptering for at beskytte kundens data, samtidig med at den opbevarer detaljerede logs over alle transaktioner og dataadgang. Platformen skal også sikre, at alle medarbejdere, der behandler persondata, er uddannet i virksomhedens databeskyttelsespolitikker og -procedurer.
For at understøtte ansvarlighedsprincippet yderligere kan virksomheden overveje at opnå certificeringer, såsom ISO 27001, som er et internationalt anerkendt standard for informationssikkerhedsstyring. Dette viser ikke kun overholdelse af GDPR, men også virksomhedens engagement i høje sikkerhedsstandarder.
Yderligere kunne virksomheden udpege en databeskyttelsesrådgiver (DPO), hvis opgave er at overvåge overholdelsen af GDPR inden for organisationen, rådgive om bedste praksis, og fungere som kontaktpunkt for tilsynsmyndigheder og registrerede.
Læs også: Hvad er en Databesyttelsesrådgiver (DPO)?
Læs også: DPO værktøj til håndtering af persondatafordningens krav
Ansvarlighedsprincippet kræver en holistisk tilgang til databeskyttelse, hvor virksomheden ikke alene skal implementere passende sikkerhedsforanstaltninger, men også kunne dokumentere disse foranstaltningers effektivitet. Ved at tage disse skridt demonstrerer virksomheden sin dedikation til at beskytte persondata og opretholde transparente og sikre databehandlingspraksisser.
Hvordan kan .legal platformen Privacy hjælpe med at overholde de syv principper?
Hos .legal har vi udviklet compliance-platformen Privacy med det formål at hjælpe dig med din dokumentation for, hvordan du overholder GDPR - herunder de syv overordnede principper.
Det betyder, at platformen praktisk talt guider dig igennem det syvende princip, "Ansvarlighed". Privacy hjælper dig med at identificere, hvilke oplysninger du skal dokumentere for at være GDPR-compliant. Platformen giver dig også mulighed for at registrere:
- Din artikel 30-fortegnelse for at få overblik over virksomhedens behandling af persondata. (Læs mere om hvordan du kan lave simpel data mapping med Privacy her).
- Hvor lang tid du opbevarer data.
- Hvilke sikkerhedsforanstaltninger du har implementeret for at beskytte persondata.
- Risikomodul, der hjælper dig med at vurdere, hvor sikkerheden potentielt kan forbedres. (Læs også artiklen: Sådan laver du en GDPR risikovurdering - Samt: Hvad er en risikomatrix?)
- Årshjul og opgavestyring, som blandt andet kan anvendes til at udarbejde en plan for, hvordan du kan overholde de syv principper.
- Og meget mere (læs mere generelt om platformen her).
Ønsker du en hjælpende hånd, kan du tilmelde dig Privacy-platformen gratis allerede i dag. Det tager kun to minutter, kræver intet kreditkort og er uden binding.
Du kan læse mere om Privacy planer og priser her.
Info
.legal A/S
hello@dotlegal.com
+45 7027 0127
CVR: 40888888
Support
support@dotlegal.com
+45 7027 0127
Brug for hjælp?
Lad mig hjælpe jer i gang
.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.