”Det här är en spännande produkt. Låt oss skicka ut information om detta till alla tidigare kunder!” En pigg marknadsföringsidé som många av oss säkert känner igen.
Men riktlinjerna från ansvariga myndigheter är tydliga: Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål”. Det innebär att vi i varje projekt behöver ha klart för oss varför, till vad och hur länge vi ska behandla personuppgifter.
Dessutom måste ändamålen vara specifika och konkreta, inte luddiga eller otydliga. Det räcker inte att ändamålet enbart är att "förbättra användarnas upplevelse", "it-säkerhet" eller "framtida forskning". Det är alltför brett uttryckt, och de registrerade kan inte bedöma vad sådan personuppgiftsbehandling kan innebära. Det är inte heller tillräckligt att ange "kontroller" som ändamål för loggning och övervakning, utan att också ange syftet med kontrollen.
Ändamålet måste också vara berättigat. Detta innebär att personuppgiftsbehandlingen dels ska ha en rättslig grund i dataskyddsförordningen, dels ska ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper.
Behandla redan insamlade personuppgifter på nya sätt?
Det är såklart svårt att tänka in alla möjliga scenarios i början av ett projekt där personuppgifter samlas in. Inte så sällan dyker det upp behov som var svåra att förutse.
Om de nya behoven ryms inom de ursprungliga ändamålen räcker det att informera de registrerade om den nya personuppgiftsbehandlingen innan den påbörjas.
Om det däremot handlar om att använda personuppgifterna på ett nytt sätt, är det fråga om en helt ny personuppgiftsbehandling. Och då måste vi börja om från början och finna en rättslig grund för personuppgiftsbehandlingen, stämma av så att den sker i enlighet med de grundläggande principerna och så vidare…
Vi har nu lanserat 2024 års kurs i integritetsskydd & GDPR för alla anställda. En helt ny kurs med uppdaterat innehåll, färre lektioner men fler interaktiva kursmoment för att ge er organisations DPO en bättre förståelse för organisationens kunskaps- och medvetenhetsnivå.
För att öka engagemanget och medvetenheten fokuserar den här nya kursen också på varför GDPR och integritet är viktigt både på jobbet och i ditt privatliv.
