Hvorfor har jeg disse personoplysninger?
Dit svar vil måske være tjooo – men er det så egentlig lovligt, det du har gang i? Er det? Er du sikker? Det er ikke nok, at du bare siger, at selvfølgelig har du styr på GDPR. Du skal kunne PÅVISE, at du har styr på GDPR.
Når du behandler personoplysninger – om det så er om kunder, ansatte, leverandører eller samarbejdspartnere, så er det afgørende at stille dig selv et enkelt, men vigtigt spørgsmål.
”Hvorfor har jeg disse oplysninger?” Dette er kernen på trin 2 i Datatilsynets GDPR-univers for små virksomheder og foreninger, som GDPR-trappen er baseret på.
Når du har skabt overblik over dit IT- og behandlingslandskab på GDPR-trappens trin 1, og går op på næste trin på GDPR-trappen, så skal du netop spørge dig selv ”hvorfor?”
Spørg dig selv ”hvorfor”, du behandler de personoplysninger, du har identificeret da du skabte overblik. Hvis dit svar er mere ææh-bæææh-bøøøøøøh end klart og tydeligt, så skal du finde ud af, hvordan du kan begrunde din behandling af personoplysningerne fra dit overblik.
Hvorfor er det vigtigt at have styr på GDPR?
Ifølge GDPR-reglerne (artikel 5, 6, 9 og 10) og kapitel 3 om behandlingsregler i databeskyttelsesloven, så skal du altid have et lovligt grundlag for at behandle personoplysninger.
Det betyder, at du skal kunne begrunde, hvorfor du indsamler, opbevarer eller bruger oplysningerne. Uden et klart formål risikerer du ikke kun at overtræde reglerne. Du risikerer også at miste tilliden til din virksomhed hos dine kunder og medarbejdere.
Og husk at GDPR faktisk ikke er lavet for at genere dig, men for at beskytte dine, mine og alle andres personoplysninger.
For det andet så kan du både effektivisere dine arbejdsprocesser og spare penge ved at få styr på GDPR i din virksomhed eller forening.
GDPR-trappens Trin 2
I den kommende tid vil jeg skrive en lille serie indlæg om netop behandlingsreglerne. På GDPR-trappens trin 2 skal du nemlig undersøge formålene med dine behandlinger af personoplysninger.
At have et lovligt og sagligt formål med behandlingen af personoplysninger er et grundlæggende og ufravigeligt krav i databeskyttelsesreglerne.
Derfor er det vigtigt at kunne henvise til den lovgivning, det regelsæt eller den saglige begrundelse, der berettiger til, at behandlingen kan finde sted.
Så har DU styr på GDPR? Ved du hvorfor, du behandler de personoplysninger, du gør i din virksomhed eller forening? Og kan du definere formålene med dine behandlingsaktiviteter?
Selvfølgelig har DU styr på GDPR, ikke?!
Se på udfordringen det som en trappe, hvor du tager et trin ad gangen…
Og måske skal du bare have det rigtige gelænder på vej op ad trappen, for at nå toppen 😊
Sådan er det med Datatilsynets GDPR-universer og sådan er det med GDPR-trappen™
Du skal tage et skridt ad gangen.