5 spørgsmål til dataindsamling og -opbevaring, du skal kunne svare på
I forlængelse af de seks principper for god dataetik har vi samlet fem grundlæggende spørgsmål om den data, som I indsamler og opbevarer. Spørgsmålene kan bruges som rettesnor til at skrive en privatlivspolitik og ”disclaimer” (ansvarsfraskrivelse) til f.eks. samarbejdspartnere.
#1: Hvilke data opbevarer I?
Start med at skabe et overblik, hvis I ikke allerede har det, med en oversigt over hvilke data I ligger inde med, og gruppér det efter om det f.eks. er besøgende, eventdeltagere, talere, leverandører, medarbejdere osv. Vær opmærksom på, om det er almindelige personoplysninger eller følsomme personoplysninger.
#2: Hvor opbevarer I jeres data?
Beskriv hvor jeres data samles og opbevares. Det kan være lige fra Google Drev til digitale services til jeres bogholder – husk, at lave en databehandleraftale (skabelon kan findes på Datatilsynets hjemmeside). Det er en god øvelse både til at skabe særlig adgang og evt. slette data, der ikke længere er nødvendigt.
Læs også: 6 principper for god dataetik
På baggrund af Datatilsynets retningslinjer har vi udarbejdet seks principper for god dataetik, som I kan bruge som rettesnor i jeres arbejde med data og privatliv.
#3: Hvem har adgang til hvad?
Sørg for at have et overblik og en sund kritisk tilgang til, hvem der har adgang til data. Det kan være en god idé at have niveauer af adgang.
I vil typisk have flere og følsomme personoplysninger (CPR, adresser, køn osv.) på jeres medarbejdere end på jeres gæster – sørg for, at det kun er de nødvendige personer i teamet, der har adgang til de forskellige data i stedet for en ”access all”-løsning. Beskyt din data – både den I har liggende digitalt og fysisk – med kodeord eller andre former for sikkerhed.
Hvis der sker et læk af data, skal I kunne rapportere, hvem der er berørt, hvor længe lækket stod på, og hvem der havde adgang til de berørte systemer. I skal indrapportere læk af data til Datatilsynet senest 72 timer efter, I er blevet opmærksom på det.
#4: Hvilke data må du gemme?
Du skal have en gyldig grund til at lagre data fra f.eks. et event. Husk at bede dine gæster om samtykke, hvis du ønsker at gemme og bruge data. Ønsker I f.eks. at gemme deres e-mailadresse, skal det fremgå tydeligt i jeres samtykkeskriv, hvilken type e-mails, I ønsker at sende dem (f.eks. reklame, markedsføring, nyheder eller opdateringer).
#5: Har du en plan for retten til dataoverblik og retten til at blive glemt?
Modtager I en forespørgsel fra personer, der ønsker at se hvilken data, I har på dem, eller som ønsker, at deres data bliver slettet, vil I ofte have 30 dage til det. Det kan derfor være et effektivt værktøj at have et samlet overblik over hvilke data, I har, og hvor I har dem.
En sidste god tommelfingerregel: Tag altid kontakt til Datatilsynet eller eksperter i GDPR og databehandling, hvis I er i tvivl.