Personlig dataopbevaring og GDPR
Enhver virksomhed er ansvarlig for at holde styr på, hvilke data de opbevarer og behandler.
Det står der i artikel 30 i Databeskyttelsesforordningen (GDPR).
Artikel 30
Fortegnelser over behandlingsaktiviteter:
1. Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar.
Det betyder, at du som DPO eller compliance manager skal vide præcis, hvilke personlige data din virksomhed gemmer om kunder, leads, medarbejdere, tidligere medarbejdere etc.
Og i dette tilfælde er personlige data alt fra cpr-numre, sundhedsjournaler, telefonnumre, til billeder fra sidste års juelfrokost, hvor personer indgår.
Det er rigtig meget data.
Så lad os se på, hvilke data GDPR siger du skal have styr på.
Hvilke data er du forpligtet til at kunne dokumentere i henhold til artikel 30 - GDPR?
Når din virksomhed indsamler, opbevarer og behandler persondata, er du ansvarlig for, at denne proces er i overensstemmelse med GDPR.
Ser vi specifikt på artikel 30 i GDPR, står der, at det er lovpligtigt for dataansvarlige (som dig) at registrere, hvilke persondata I behandler og hvorfor.
Det er vigtigt, at du kan dokumentere følgende:
- Din virksomheds navn og kontaktoplysninger.
- Hvorfor I behandler personoplysninger (formål).
- Hvilken type persondata I behandler (kategorier).
- Hvem I deler dataene med (tredjepart).
- Hvor I overfører dataene til (tredjelande).
Derfor er det vigtigt, at du ved, hvor din virksomhed opbevarer personlige data, så de nemt kan findes, kategoriseres og tilgås.
Navn og kontaktoplysninger er nemme nok.
Men hvordan finder du alle de personlige data, I gemmer på tværs af mange forskellige systemer og platforme?
Og hvad er personlige data egentligt?
Hvad er persondata ifølge GDPR
Personoplysninger kan være enhver information, der kan føre til identifikation af en person.
Eller enhver type information, der kan føre til identifikation af en person, når den er forbundet med en anden information.
Fra det åbenlyse:
- Navn
- Telefonnummer
- Adresse
- CPR nummer
- Billeder
Til mere følsomme personoplysninger:
- Sundhedsinformation
- Religiøse synspunkter
- Seksuel orientering
- Politiske holdninger/tilhørsforhold
Til de mere abstrakte:
- IP-adresse
- Device ID
- Cookie ID
- Geo-lokation
- Profilingsdata
Det er mange forskellige slags data og datakategorier, som I som virksomhed kan opbevare om en person.
Når nogen har været i kontakt med jeres virksomhed – fx en kunde, et lead, en partner eller måske en (tidligere) medarbejder, så efterlader det spor af personlige data.
Men hvordan finder du nogensinde al den information i jeres systemer? Hvor skal du overhovedet starte med at lede?
Data Discovery
Hvad er Data Discovery?
Data Discovery er en proces der har til formål at finde og kategorisere personlige oplysninger på tværs af forskellige systemer og platforme.
Det gør det derfor muligt for din virksomhed at opbygge og administrere store mængder persondata, så du altid ved præcist, hvor alle data er og hvorfor I gemmer dem.
Data Discovery er også vigtigt i forhold til hele complianceprocessen, specielt med henblik på at overholde artikel 30 i GDPR.
Hvorfor er Data Discovery vigtigt?
Jeres virksomhed kan være vokset gennem årene. I har indsamlet mere og mere data. Og den data er lagret på forskellige systemer.
Den kan være spredt ud over mailprogrammer, HR-platforme, lønsystemer, hjemmeside og andre steder.
Måske bruger I den data, måske ikke. Måske er den blevet glemt eller gemt i mapper, som ingen længere bruger.
Data Discovery hjælper dig med at finde – og klassificere – persondata, så I som virksomhed har overblik over, hvilke data I opbevarer og behandler.
Især når GDPR’s artikel 30 kræver det!
Men også, hvis I nu modtager en Data Subject Request eller skal udføre en DPIA.
Hvis du ikke ved, hvor jeres data er, kan det være praktisk talt umuligt at svare på en Data Subject Request.
Så hvordan kommer du i gang med at bruge Data Discovery?
Hvordan bruger du Data Discovery i jeres virksomhed?
1. Find personlige data
Først er det vigtigt du får fundet og identificeret de personlige oplysninger I gemmer i jeres systemer. Og disse data kan altså være spredt over flere platforme og programmer.
Outlook, HubSpot, Teams, Gmail eller andre dokumenter.
Det kan være rigtig besværligt at kigge alt dette igennem. For ikke at snakke om mængden af arbejdstimer du skal lægge i det!
2. Kategoriser personlige data
Nu hvor du har fundet de personlige data, som gemte sig rundt i jeres systemer, er det tid til at få kategoriseret dem.
Det er vigtigt, at du ved:
- Hvilken type data det er (kategori).
- Hvilket format det er gemt i.
- Hvor det opbevares.
- Følsomheden af data (fx sundhedsjournaler).
- Hvor det kommer fra (kilde).
Det er meget nemmere at arbejde med persondata, når de er korrekt kategoriseret.
Og når der er styr på kategorier og data, så er det også meget nemmere at udføre en Data Subject Request.
3. Administrer personlige data
Når alle personlige data er klassificeret efter kategori, format, kilde og følsomhed, kan du nu begynde også at få styr på eventuelle overtrædelser af GDPR.
Og det er nødvendigt at holde styr på alle de data om kunder, leads, medarbejdere etc., der kan klassificeres som persondata.
Ikke kun på grund af artikel 30 i GDPR (registrering af personlige data).
Men også på grund af artikel 5.1(c) (dataminimering), som siger, at behandlingen af data skal være relevant og begrænset til, hvad der er nødvendigt for at opfylde formålet med behandlingen.
Men hvordan finder du nogensinde al den information? Hvor begynder du overhovedet at lede?
Og er du parat til at gennemgå tusindvis af filer og mapper manuelt?
Automatisk data discovery
Der er i bund og grund 2 måder, hvorpå du kan finde personlige data på tværs af jeres systemer:
- Manuelt
Søg selv gennem tonsvis af regneark og dokumenter, lister og emails for at finde alle oplysninger, der kan kategoriseres som personlige oplysninger. Kategoriser omhyggeligt hver enkelt information for, hvad det er, hvem den er forbundet til og saml til slut det hele i et excelark eller andet dokument.
- Automatiseret
Automatisering gør egentligt al det hårde arbejde for dig. AI data mapping sikrer, at jeres virksomheds personlige data bliver fundet og kategoriseret uden at du skal gøre noget aktivt. Det hele bliver derefter vist i én platform, og relevante medarbejdere får besked, hvis de kan/skal løse en overtrædelse.
Cookie Informations automatiske Data Discovery
Cookie Informations Data Discovery finder og klassificerer automatisk filer med personlige data i jeres systemer.
Med et enkelt klik kan du forbinde systemer og platforme og øjeblikket efter er du i gang med at finde non-compliant data.
Alle personlige data klassificeres i deres respektive kategorier ved hjælp af AI data mapping.
Ja! Vi bruger machine learning og kunstig intelligens til at finde og kategorisere data.
Og det er sådan, du gør compliancearbejdet mere simpelt. Det er hurtigt, effektivt og sikkert at bruge Data Discovery fra Cookie Information.
Her er hvad du får med Cookie Informations Data Discovery:
-
En løsning, der klarer det hårde arbejde for dig. Den kortlægger og klassificerer personlige data (så du ikke behøver gøre det!)
-
En complianceproces der sikrer du når dine og virksomhedens mål for compliance.
Du behøver aldrig mere lede gennem gamle emails eller glemte filer igen. Lad computeren gøre det for dig.
Så lad os finde de personlige data din virksomhed gemmer, så I kan vedblive at overholde GDPR.
Få Data Discovery
Og led aldrig efter en eneste fil igen. Find automatisk alle de persondata din virksomhed opbevarer og de bliver samlet og vist i én platform. På den måde kan du hurtigt reagere på risici og overtrædelser.
