Business Analyst efter GDPR – uppgiftsminimering eller överinformation?

Erfarenheter från senaste halvårets GDPR arbete - Vissa företag har mycket kvar att göra andra har det mycket enklare. Alla känner till grundtankarna med PUL, få har kontroll på detaljinnehållet men vissa har väldigt god kontroll ändå medan andra får det att fungera mycket väl ändå. Oavsett så kommer införandet av GDPR att påverka företagen med väldigt stor sannolikhet.

Ett av de område som många företag har ”slarvat med”, är uppgiftsminimering och till vilket ändamål och syfte som informationen har samlats in. En konsekvens av detta är att det hos alla företag sparas mer information än vad som verkligen är nödvändigt för att dagens verksamhet ska rulla på.

I artikel 5.1b i Dataskyddsförordningen kan vi läsa följande:

Vid behandling av personuppgifter ska följande gälla: De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.

Läser vi vidare under 5.1c skriver man

De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering)”.

Men alla behöver ju också tänka på morgondagen. Det är ofta här överinformationen kommer in i bilden – den används för att söka efter morgondagens affärsmöjligheter. Är det så illa att samla in information, anonymiseras till oigenkännlighet utan möjlighet att återskapa ursprunget? Syftet med GDPR är ju inte att försvåra affärsutvecklingen utan att förhindra kränkning av personlig integritet., hur stora är riskerna då?

I artikel 89.1 kan vi läsa följande:

Behandling för … statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Vi kan alltså använda persondata för att hitta nya affärsmöjligheter. Men vi måste uppfylla de krav på skyddsåtgärder som beskrivs i 89.1 och vi måste ange ändamål och syfte med insamlingen. I vissa lösningar avseende säkerhet används beteende som en förstärkning av identifieringen – dvs vi samlar in hur du beter dig när du använder våra redskap inom vår domän. Fungerar det att samla in ett samtycke bestående av ospecificerade data för att söka efter framtida förbättringar och affärsmöjligheter? Som vi nämner ovan står det i Artikel 5.1b:

Vid behandling av personuppgifter ska följande gälla: De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.

Det gäller att ha koll på sin information, dvs var den finns och hur den hanteras. Brister i detta avseende förstör möjligheten att med trovärdighet argumentera för att samla på sig någon som helst information med ett ändamål som kan härledas till ett eventuellt framtida behov.

GDPR

General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.  

Please feel free to share