Der er masser af personoplysninger i danske virksomheder, store som små, aktieselskaber og enkeltmandsvirksomheder. Og det er der ikke noget forkert i. Som udgangspunkt. For persondata udgør grundstammen i enhver virksomhed – uden persondata, ingen virksomhed.
Men har du helt styr på de personoplysninger, der er i din virksomhed? Både de helt almindelige personoplysninger (fx navn, tlf., fødselsdato, titel) og de følsomme (fx helbredsoplysninger).
Kan du helt præcist svare på, hvilke personoplysninger virksomheden ligger inde med, hvor de enkelte persondata kommer fra, hvad virksomheden gør med dem, hvem der har adgang til dem, hvor længe I gemmer dem og hvem I videresender dem til?
For skal du kunne svare på – ligesom der er masser af andre spørgsmål, du også skal kunne besvare og masser af dokumentation, du skal have på plads.
Compliance tjek
Få et compliance tjek og få styr på, hvad der skal til, før din virksomhed overholder EU persondataforordningen.
Som udgangspunkt indeholder processen fire elementer:
- kortlægning af opgavens omfang, herunder virksomhedens organisatoriske opbygning og kerneydelse(r),
- analyse og kortlægning af virksomhedens persondata, herunder dataflow
- tilstandsrapport
- anbefalinger til det videre arbejde.
Du kan også få hjælp til hele dokumentationsdelen. Det vil sige udarbejdelse af politikker og retningslinjer, databehandleraftaler m.v.
Send en mail mail@gitteaaberg.dk, så ringer jeg dig op.
Hvis I selv vil gennemføre fx analysefasen er der naturligvis mulighed for det – se eksemplet i min persondata-pakke.
FAQ
Hvad er formålet med de nye regler?
EU har ønsket at styrke den enkelte borgers rettigheder ved bl.a. at give os alle større kontrol over egne data.
Desuden har der været ønske om at styrke muligheden for udveksling af arbejdskraft, ydelser og produkter ved at indføre mere ensartede regler i hele EU.
Hvor ensartede reglerne så rent faktisk bliver, må tiden vise. Der er i forordningen lukket op for rigtig mange nationale særregler.
Er det vigtigt for min virksomhed?
Ja, det er vigtigt. Hvis din virksomhed behandler persondata. Og det gør alle virksomheder. Også den enkeltmandsdrevne konsulentvirksomhed.
Forordningen åbner for, at Datatilsynet kan pålægge danske virksomheder bøder på op til 20 mio. EUR eller 4 % af den årlige globale koncernomsætning, hvis dette beløb er højere.
Ingen tror på, at det vil ske. Men der er ikke tvivl om, at danske virksomheder skal til at tage reglerne mere alvorligt end hidtil – hvor kun de få har haft fokus på beskyttelse af persondata og overholdelse af reglerne. For langt de fleste regler i forordningen og “den nye danske persondatalov” er gengangere og allerede gældende i dag.
Danmark er i en eller anden grad nødt til at følge EU-praksis hvad angår bødestørrelse. Og det betyder en væsentlig skærpelse.
Noget helt andet – men ikke mindre vigtigt – er individets øgede interesse for at passe på egne persondata. Fokus på sikkerheden skærpes, og virksomheder der ikke kan leve op til kravene om sikker håndtering af persondata, risikerer udstilling i det hav af forskellige medier, vi har i dag.
Hvilke persondata er omfattet af forordningen?
EU persondataforordningen omfatter alle personoplysninger.
De helt almindelige oplysninger som eksempelvis navn, adresse, fødselsdato, e-mailadresse, stilling m.v.
Og de følsomme oplysninger som eksempelvis helbredsoplysninger, fagforeningsmæssigt tilhørsforhold, race og etnisk oprindelse.
Hvad skal være på plads 25. maj 2018?
Noget af det, der skal være på plads, kan du læse om her:
Virksomheder, der har som kerneaktivitet at behandle følsomme oplysninger, samt virksomheder, der har som kerneaktivitet regelmæssigt og systematisk at overvåge personer i stort omfang, skal udpege en databeskyttelsesrådgiver. Det samme gælder offentlige myndigheder.
Der kan være tale om en intern eller en ekstern person. Det er et krav at vedkommende har et vist kendskab til databeskyttelsesret og -praksis.
Databeskyttelsesrådgiveren har bl.a. følgende opgaver:
- At underrette og rådgive virksomheden om forpligtelser i henhold til forordningen og anden EU-ret eller national ret om databeskyttelse.
- At overvåge overholdelsen af persondataforordningen samt virksomhedens politikker om beskyttelse af persondata.
- At samarbejde med Datatilsynet
- At fungere som Datatilsynets kontaktpunkt
Den dataansvarlige har pligt til at indberette brud på datasikkerheden til Datatilsynet senest efter 72 timer og i visse tilfælde skal de registrerede informeres.
For at kunne overholde denne frist, og for at kunne dokumentere, at fristen kan overholdes, bør der udarbejdes retningslinjer der beskriver ansvar og proces.
Den registreredes rettigheder med hensyn til indsigt i egne data styrkes og virksomhederne skal senest en måned efter anmodning om indsigt, sletning, rettelser m.v. besvare henvendelsen.
Der bør derfor udarbejdes en politik eller et sæt retningslinjer, der beskriver processen og hvem der har ansvar for hvad samt hvor de forskellige behandles og opbevares. Desuden kan der med fordel udarbejdes skabeloner til besvarelsen.
Hvis I bruger samtykke som hjemmel for behandling af persondata, skal I sikre jer, at jeres samtykkeerklæringer opfylder kravene i persondataforordningen.
Forordningen definerer kravene til et samtykke sådan: Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede.
Når det skal vurderes, om et samtykke har været frivilligt, lægges der bl.a. vægt på “magtforholdet” mellem den der afgiver og den der får et samtykke. Derfor kan man fx stille spørgsmål ved, om der overhovedet kan gives samtykke i et ansættelsesforhold. Praksis i Danmark er indtil videre, at det kan der godt – men i EU sammenhæng er man ikke nær så begejstret for disse samtykker.
Under alle omstændigheder, vil det være en god idé at begrænse brugen af samtykke mest muligt og finde anden hjemmel til behandling af personoplysninger. I ansættelsesforhold vil selve ansættelsesforholdet være hjemmel til behandling af langt de fleste af de personoplysninger, der er belæg for at indhente, og rækker det ikke, kan interesseafvejningsreglen undersøges.
Ud over ovennævnte skal I kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger – og I skal kunne påvise, at den registrerede ved og har været vidende om, nøjagtigt hvad der er givet samtykke til. I skal således have fuldstændig styr på jeres samtykkeerklæringer.
Bruger I samtykkeerklæringer, hvor den registrerede giver samtykke til mere end ét forhold, skal disse forhold klart kunne adskilles og skelnes fra hinanden, og det skal ske i “en letforståelig og lettilgængelig form og i et klart og enkelt sprog”. Hvis hele eller dele af samtykkeerklæringen ikke overholder disse krav, er der tale om en overtrædelse af forordningen og samtykket er ikke gældende.
Den registrerede skal til enhver tid kunne trække sit samtykke tilbage – og det skal være lige så nemt som at give det. Denne ret skal den registrerede oplyses om, inden samtykket afgives. Og I skal naturligvis kunne påvise, at den registrerede er blevet oplyst om denne ret.
I skal have styr på jeres databehandlere – og på jeres databehandleraftaler.
Hvis I eksempelvis gør brug af et lønsystem, der ligger hos udbyderen, eller I har jeres it-systemer liggende hos jeres it-leverandør – så er disse virksomheder databehandlere for jer. I skal således blandt andet sikre jer, at de passer godt på de data, som de låner af jer.
I følge persondataforordningen må i udelukkende bruge databehandlere, der kan “stille de fornødne garantier for” at de kan overholde forordningen og dermed at de gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Det er et krav i forordningen, at jeres forhold er reguleret af en skriftlig kontrakt. Denne kontrakt skal blandt andet indeholde den instruks, der fortæller databehandleren, hvad denne må gøre med de data, som databehandleren låner af jer.
Databehandleren skal også sikre, at de personer, der behandler jeres personoplysninger, har forpligtet sig til fortrolighed – et forhold I skal have med i jeres databehandleraftale.
I skal også sikre jer, at jeres databehandlere er indforstået med, at de skal slette eller tilbagelevere alle personoplysninger til jer, når de ikke længere skal fungere som jeres databehandler.
Der er en lang række yderligere krav til disse databehandleraftaler – og det er alt for omfattende at komme ind på det hele her. Men det er klart et af de områder, hvor man bør sikre sig professionel hjælp.
Når eksempelvis en medarbejder giver jer de oplysninger, som I skal bruge i forbindelse med den almindelige personaleadministration, skal I give medarbejderen en række informationer.
I skal blandt andet oplyse om:
- hvem skal medarbejderen kontakte angående sine personoplysninger
- hvad er baggrunden for, at netop disse oplysninger skal gives (retsgrundlaget) og hvad skal de bruges til
- er der andre virksomheder, som får de afgivne personoplysninger
- bliver oplysningerne overført til et tredjeland
- hvor længe gemmer I oplysningerne – eller hvilke kriterier anvender I til bestemmelse af, hvornår de skal slettes (fx x antal år efter fratrædelse)
- retten til indsigt, berigtigelse og sletning
- retten til at klage