Erfarenheter från senaste halvårets GDPR arbete – Vissa företag har mycket kvar att göra andra har det mycket enklare. Alla känner till grundtankarna med PUL, få har kontroll på detaljinnehållet men vissa har väldigt god kontroll ändå medan andra får det att fungera mycket väl ändå. Oavsett så kommer införandet av GDPR att påverka företagen med väldigt stor sannolikhet.

Ett av de område som många företag har ”slarvat med”, är uppgiftsminimering och till vilket ändamål och syfte som informationen har samlats in. En konsekvens av detta är att det hos alla företag sparas mer information än vad som verkligen är nödvändigt för att dagens verksamhet ska rulla på.

I artikel 5.1b i Dataskyddsförordningen kan vi läsa följande:

Vid behandling av personuppgifter ska följande gälla: De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.

Läser vi vidare under 5.1c skriver man

De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering)”.

Men alla behöver ju också tänka på morgondagen. Det är ofta här överinformationen kommer in i bilden – den används för att söka efter morgondagens affärsmöjligheter. Är det så illa? Syftet med GDPR är ju att förhindra kränkning av personlig integritet. Om insamlad information anonymiseras till oigenkännlighet, utan möjlighet att återskapa ursprunget, hur stora är riskerna då?

I artikel 89.1 kan vi läsa följande:

Behandling för … statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Vi kan alltså använda persondata för att hitta nya affärsmöjligheter. Men vi måste uppfylla de krav på skyddsåtgärder som beskrivs i 89.1.

Men kan samtycket bestå av insamling av ospecificerade data för att söka efter framtida affärsmöjligheter? Som vi nämner ovan står det i Artikel 5.1b:

Vid behandling av personuppgifter ska följande gälla: De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.

 


General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.

 

Please feel free to share