Enligt GDPR får man bara samla in personuppgifter för ett angivet syfte. Om det huvudsakliga syftet frångås kan det leda till att du åsidosätter GDPR. Till personuppgifter räknas de uppgifter som direkt eller indirekt kan identifiera en nu levande fysisk person. Till fysisk person räknas även enskilda firmor.
I systemet hittar ni personuppgifter i fält och kolumner som har ett förutbestämt syfte, men det kan också finnas på ställen där det finns möjlighet att lagra godtycklig information. Det kan till exempel vara i fritextfält och kommentarer. Tänk på att denna typ av information kan vara svår att söka efter och analysera.
När man samlar in personuppgifter har man en informationsskyldighet gentemot den enskilde individen. Bland annat är ni skyldig att informera om vilka ni är, syftet med insamlingen, vilken rättslig grund ni stödjer er på, om ni tänker dela uppgifterna med någon och när uppgifterna kommer att raderas. Individen måste också ges möjlighet att få tillgång till de personuppgifter som är lagrade om denne.
Observera att för samtliga dessa data är ni personuppgiftsansvarig (se frågan om ansvarsfördelning), och här gäller reglerna för GDPR oavsett om data spridits på normal sätt, eller om det har skett i form av en otillåten handling, till exempel att någon kopierat en säkerhetskopia av en databas och sedan skickat den för analys eller support hos en utomstående aktör.
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.