Behandling af persondata kræver et aktivt, frivilligt og detaljeret tilsagn fra brugeren.
Behandling af persondata kræver i langt de fleste tilfælde et aktivt tilsagn fra brugeren. Dette gælder også cookies, som dannes på din hjemmeside. Et sådan tilsagn kan ske i forbindelse med registreringen af data, men også via databehandleraftaler, hvis behandlingen sker på vegne af en anden virksomhed. Hvis du ikke allerede råder over sådanne tilsagn, så stop bare med at læse denne artikel, brug et par måneder og vend tilbage til læsningen.
Ifølge Databeskyttelsesforordningen (GDPR) artikel 17 er borgere, privatkunder, mv. berettiget til at få deres persondata fjernet fra dine it-systemer. Dette skal ske uden ugrundet ophold og uden begrænsninger grundet tekniske hindringer, manglende tid og hvad virksomheden selv kan støde ind i. Kun andre myndighedskrav til f.eks. bevarelse af transaktionsspor har juridisk forrang for denne GDPR-bestemmelse.
Hvor dannes dine persondata?
Persondata dannes fra mange forskellige kilder. De mest oplagte er systemer, der håndterer dialog med dine brugere. Her bør man kigge på it-systemer, der håndterer kommunikation med omverdenen og egne brugere. De mest oplagte kandidater er it-systemer, som registrerer persondata, som brugeren har oplyst (fx navn, adresse, telefonnummer, mv.). De mere skjulte kandidater er it-systemer, der behandler data, som juridisk betragtes som personhenførbare. Det kan være et kundenummer, en tcp/ip-adresse, eller andet, som kan kobles med andre data og derved bliver personhenførbare.
Hvilke af dine systemer lagrer persondata?
Her vil kontraktcenteret, e-mail, CRM og ERP-systemer være de mest oplagte steder at starte. Da persondata blot er data, som er personhenførbare, kan selv dit netværks overvågningssystem, eller andre it-administrative systemer, der også er kandidater som systemer til persondata behandling. Hvis din HR-afdeling, eller indkøbsafdeling modtager CV’ere, skal disse dokumenter også betragtes som persondata.
Hvor findes de specifikke persondata i dine it-systemerne?
1. Find dem: Foretag en granskning af, hvilke persondata, der behandles i dine it-systemer og hvor de lagres.
2. Find relationerne: Undersøg, hvordan disse persondata indgår i de samlede registreringer, herunder om de er nødvendige for data som lagres i andre it-systemer.
3. Find undtagelserne: Undersøg, om de specifikke persondata kan være underlagt andre regelsæt, som kan have forrang for GDPR.
Hvad skal jeg gøre med mine persondata?
1. Behandling: Undersøg, hvordan persondata behandles i systemerne og kontroller at behandlingen er i overensstemmelse med tilsagnet om databehandling.
2. Lagring og kassation: Undersøg om logikken for lagring og kassation af persondata er i overensstemmelse med GDPR, eller om der er undtagelser grundet andre regler og aftaler.
3. Automatisering: Du har allerede nu brugt en masse tid på at nå så langt. Så du kan med fordel udvikle/anskaffe værktøjer, der kan:
a. foretage udtræk af specifikke persondata til udlevering til brugeren
b. foretage masseændringer af persondata – f.eks. sletning, eller anonymisering af data
Denne artikel er skrevet efter at jeg oplevede en meget inspirerende præsentation fra et Polsk it-virksomhed, som udvikler GDPR-relaterede automatiseringer til MS Dynamics platformen. Hvis du vil vide mere, eller sætte din DPO i kontakt med mig, så kontakt mig endeligt.