Seks principper for god dataetik
21.11.2022Med udgangspunkt i Datatilsynets retningslinjer har vi samlet seks principper for arbejdet med persondata, som I kan bruge til inspiration og rettesnor, når I behandler data for gæster, samarbejdspartnere, leverandører og medarbejdere.
For at sikre EU-borgernes data og privatliv blev der i 2018 vedtaget GDPR-lovgivning (General Data Protection Regulation/Persondataloven). Den nye persondataforordning bestemmer, hvordan virksomheder, organisationer og lignende skal behandle personoplysninger, og er dermed også relevant for kulturaktører. Det gælder både i forbindelse med kulturarrangementer eller markedsføring, hvor der potentielt opnås adgang til gæsternes oplysninger, og i udviklingsarbejde, hvor brugere involveres i f.eks. brugertest og evaluering.
Vær opmærksom på, at der findes to kategorier af persondata:
- Personoplysninger
- Følsomme personoplysninger.
Sidstnævnte kan f.eks. omhandle personers religion, politiske overbevisning, seksuelle orientering og helbred, og er beskyttet af strengere krav end almindelige (ikke-følsomme) personoplysninger, som f.eks. navn, alder, uddannelse, bopæl og arbejdsområde. Læs mere om personoplysninger her.
Nedenstående guide tager udgangspunkt i Datatilsynets retningslinjer, men beskriver ikke alle datalovgivningens aspekter. Den enkelte aktør er selv ansvarlig for at arbejde på den rigtige side af lovgivningen. Opstår der tvivl, skal spørgsmål rettes til Datatilsynet, som er det ansvarlige organ i Danmark.
Husk, at I ikke kun skal sikre god data-etik for jeres digitale brugere, gæster og testpersoner, men også for samarbejdspartnere, leverandører og medarbejdere.
#1: Definer jeres privatlivspolitik
For at overholde reglerne og sikre gennemsigtighed skal I blandt andet skrive en privatlivspolitik og lægge den på jeres hjemmeside. I privatlivspolitikken skal I give lettilgængelig og letlæselig information om hvilke personoplysninger, I har og opbevarer på besøgende, samarbejdspartnere, medarbejdere, leverandører og andre.
Derudover skal der stå, hvad I bruger denne data til – f.eks. at I bruger e-mailadresser til at sende digitale billetter, program og aflysninger – samt hvor længe I opbevarer personoplysninger (maksimalt fem år).
Endelig skal det stå klart og tydeligt hvem, der er ansvarlig for behandlingen data, hvad formålet med denne brug er, og hvordan de personer, I berører, kan få overblik over og evt. få slettet deres oplysninger. Sørg for at oplyse en kontaktperson, som det er muligt at rette henvendelse til, hvis man har spørgsmål til jeres datahåndtering.
#2: Hav et klart og begrænset formål
I må kun behandle personoplysninger, hvis I har et klart og sagligt formål. I skal derfor sikre jer rimelighed i jeres data-opbevaring. Der er f.eks. ingen grund til at bede om fysiske adresser, hvis I kun kontakter deltagere elektronisk.
#3: Dataminimering og samtykke
I må ikke behandle flere oplysninger end nødvendigt, og I må kun bruge data til det, som I har erklæret og bedt om samtykke til. Skal I f.eks. skrive en e-mail senere hen i forbindelse med spørgeskemaer, evalueringer eller eventinvitationer, der ikke har direkte med deres tidligere deltagelse at gøre, skal I sørge for at have eksplicit samtykke til dette. Tænk derfor over hvilke formål, der vil være relevante igennem hele jeres proces, når I indsamler samtykke.
#4: Ret og slet data
De oplysninger, I behandler, skal altid være korrekte og ajourførte. I skal derfor løbende rette og/eller slette forkerte oplysninger. For tilbagevendende arrangementer og værditilbud kan der være nye teams hvert år og en vis omskiftelighed. Det er derfor en god ide at starte og slutte med at indsamle korrekte oplysninger.
#5: Begræns opbevaring af jeres data
Når det ikke længere er nødvendigt for jer at have personoplysningerne, skal I slette eller anonymisere dem. I skal derfor altid vurdere, hvor længe det er nødvendigt og relevant, at I opbevarer personoplysninger. Vær f.eks. opmærksom på at slette info om eksempelvis forhenværende medarbejdere, partnere og leverandører.
Opbevaringstiden af jeres data skal fremgå tydeligt, når I indsamler samtykke hos de pågældende personer. Vær opmærksom på, at det i de fleste tilfælde ikke er tilladt at opbevare personoplysninger længere end i en periode på fem år.
#6: Integritet og fortrolighed
I skal sikre og beskytte de personoplysninger, som I opbevarer, mod uautoriseret og ulovlig behandling, samt at oplysningerne ikke går tabt eller bliver ødelagt. Tænk derfor over, hvor I opbevarer jeres data.
Sørg for at opbevare personoplysninger et sted, hvor det kræver adgangskode at få adgang, og begræns den fysiske adgang til der, hvor I opbevarer data. Vær kritisk i forhold til hvem og hvor mange, der har brug for adgang til oplysninger – både på computer, mobile enheder eller på nettet. Og opbevarer I f.eks. data gennem platforme som Google og Microsoft, skal I lave databehandleraftale med dem (disse ligger tilgængelige på deres hjemmeside).
Læs også
5 spørgsmål til dataindsamling og opbevaring, du skal kunne svare på
I forlængelse af de seks principper for god dataetik har vi samlet fem grundlæggende spørgsmål om den data, som I indsamler og opbevarer.