”Hvorfor behandler du disse personoplysninger?”
Kan du svare på Datatilsynets spørgsmål? Hvorfor du behandler du disse personoplysninger? Og er du i tvivl om, hvorvidt din behandling af personoplysninger i din virksomhed eller forening er lovlig? GDPR stiller klare krav til, at du skal have en gyldig hjemmel for alle dine behandlinger af personoplysninger. Og hvordan finder du ud af, hvilket behandlingsgrundlag, der gælder for dig?
I mine seneste blogindlæg om GDPR-trappen™ har jeg sat fokus på GDPR-trappens trin 2 – Spørg dig selv “Hvorfor?” om behandlingsaktiviteter og behandlingsgrundlag.
Spørg dig selv “Hvorfor?”
Du skal kunne svare på, hvorfor du har de personoplysninger, du har. Sådan lyder opfordringen fra Datatilsynet til dig som behandler personoplysninger i din mindre virksomhed eller forening. Nogle gange er svaret indlysende, andre gange ligger det ikke lige for. Kan du svare på Datatilsynets spørgsmål?
Svaret kan sagtens være: Fordi jeg driver virksomhed, og sælger varer til mine kunder. Mere indviklet behøver det faktisk ikke at være. Men når vi taler om databeskyttelse, så skal du formulere et lovligt, sagligt og gennemsigtigt formål med behandlingen. Dette er det første af de seks grundlæggende behandlingsprincipper i artikel 5 i GDPR.
Derfor er det bedre at svare sådan:
”Formålet med behandlingen er at indgå aftaler med og levere ydelser til mine kunder.”
Formålsbeskrivelsen skal nemlig indgå klart og entydigt i din lovpligtige fortegnelse. I denne formulering ligger også en indirekte henvisning til den behandlingshjemmel, du lægger til grund, nemlig, at du har aftale eller kontrakt med den registrerede person, som du skal opfylde.
Hjemlerne til behandling af almindelige personoplysninger, finder du i artikel 6 i GDPR.
Jeg har været omkring to af dem, samtykke og interesseafvejningsreglen, i mine tidligere indlæg. Jeg valgte disse to, fordi jeg har erfaring for, at det er dem, som de fleste har udfordringer med.
SÅ kan du svare på Datatilsynets spørgsmål!
Opgaven på GDPR-trappens trin 2 – Spørg dig selv ”Hvorfor?” – er netop at hjælpe dig med at identificere dine behandlingsaktiviteter. Og hvad er en behandlingsaktivitet på almindeligt dansk? Det er en arbejdsproces, hvori der indgår behandling af de personoplysninger, du har indsamlet.
Jeg har efterhånden hjulpet en del kunder med at skabe overblik over deres behandlingaktiviteter og tilhørende behandlingsgrundlag.
Og tro mig, det behøver ikke at være raketvidenskab, når du bruger GDPR-trappen™.
Gode råd på vejen
Start med at skabe overblik over dit IT- og behandlingsskab. Det har jeg tidligere skrevet om i dette indlæg.
Dernæst opbygger du en oversigt over dine behandlingsaktiviteter og grupperer dem, der minder mest om hinanden. Her kan du brug ”hvem-Hvad-Hvor”-metoden, som jeg har beskrevet her.
Til sidst kobler du dine IT-aktiver sammen med dine behandlingsaktiviteter, så du ved hvilke IT-systemer mv. du bruger til at behandle de forskellige kategorier af personoplysninger.
Så ved du nemlig også hvilke IT-systemer, der er de vigtigste – ud fra persondatabeskyttelse – når du skal lave dine risikovurderinger på GDPR-trappens trin 6 – Husk IT-sikkerheden!
Når du har løst opgaverne på trin 1 og 2, så kan du svare på Datatilsynets spørgsmål ved at knytte den korrekte behandlingshjemmel til dine behandlingsaktiviteter med en aktivt formuleret formålsbeskrivelse.
Og så er du allerede godt på vej til at opbygge din lovpligtige fortegnelse.
Kan du svare på Datatilsynets spørgsmål? Hvis ikke, så kom i gang i dag! Din virksomheds compliance og dine kunders tillid afhænger af det.
GDPR-trappen™ er en veltilrettelagt genvej til god databeskyttelse og høj informationssikkerhed.
GDPR-trappen er baseret på Datatilsynets koncepter “GDPR-Universet for små virksomheder” og “GDPR-Universet for små foreninger.”
Når du følger Datatilsynets syv trin ved hjælp af GDPR-trappen, så er du sikker på at komme omkring det nødvendige og tilstrækkelige.