Indsatser: Kategorier
Der er en række steder i forordningen, hvor ordet kategori bliver nævnt. Det drejer sig om
- kategorier af personoplysninger
- kategorier af modtagere af personoplysninger
- kategorier af behandlinger
- kategorier af dataansvarlige
- kategorier af registrerede
Jeg har måske lidt svært ved at se begrundelsen for en gruppering af disse entiteter, især i en tidsalder hvor det reelt er muligt at sortere/filtrere data på så mange andre mere intelligente måder, men alright!
Personoplysninger
I præambel/betragtning 10 i indledningen til forordningen nævnes kategorier af personoplysninger, her især behandlingen af særlige personoplysninger, der på dansk er blevet til "følsomme oplysninger".
Kategoriseringen af personoplysninger kan i udgangspunktet deles op i 2 kategorier - almindelige og særlige/følsomme.
Billeder, hvor mennesker optræder på, er ikke som udgangspunkt følsomme, men viser billedet navngivne personer, vil det strengt taget være en følsom oplysning.
Følsomme oplysninger er - efter Artikel 9 - personoplysninger om race, etnisk oprindelse, biometriske oplysninger, politisk, religiøs eller filosofisk overbevisning, mfl.
Modtagere
En kategorisering af modtagere bør som udgangspunkt være en inddeling i modtagere i virksomheden hhv udenfor virksomheden. I begge kategorier kan der herefter være tale om modtagere indenfor EU hhv udenfor EU. Dernæst kan det give mening at inddele modtagere i kategorier som er relaterede til de enkelte oplysninger/kategorier af oplysninger - eller relateret til behandlingskategorien - eller hvorvidt modtageren er en offentlig institution (som ofte vil kan være omfattet af en række undtagelser fra de skærpede hensyn til den registrerede).
Behandlinger
Kategorierne af behandlinger kan være er nemmere at udrede. Fra 'fødsel til død' er behandlinger i grove træk:
- indsamling hos den registrerede
- indsamling andre steder end hos den registrerede
- oprettelse
- validering
- strukturering (klassificering, indeksering, filtrering, sortering)
- korrigering
- aggregering (analyse, oparbejdning, fortolkning, summering, sammenstilling, reduktion)
- profilering
- fastholdelse (arkivering, hensættelse,
- formidling (udlån, udleje, udbringning, omdeling, offentliggørelse)
- fjernelse (bortlodning, devaluering, sletning, bortkastelse)
En anden måde at betragte kategorier af behandlinger, er i stedet at se på hvilken proces den enkelte oplysning gennemløber
- efterprøvning af cpr-nr
- udregning af ferie/fridage
- kontrol af seneste fremmøde i konsultation
- osv
Dataansvarlige
"Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere" nævnes eksempelvis i Artikel 40, men der er ikke i forordningen en bestemt definition af, hvordan dataansvarlige/databehandlere bør kategoriseres; én måde at inddele dataansvarlige kunne være efter hvilken funktion i virksomheden, de behandler for (indkøb, HR, salg, mm) en anden måde kunne være at se, hvilken type tjenesteleverandør, de er (hosting firma, leverandør af cloud-løsning, osv)
Registrerede
Kategorisering af registrerede bør du være varsom med, fordi det spekulativt kan anfægtes hvorvidt du alene ved en kategorisering af registrerede, har foretaget en art profilering!
Ellers vil en opdeling af registrerede typisk læne sig op af de sammenhænge hvor data skal bruges, altså eksempelvis til omdeling af nyhedsbreve til kunder, fremsendelse af lønsedler til medarbejdere, indkaldelse til undersøgelse af patienter, osv