Persondata

Hvad går det ud på?

Foråret 2018 markerede startskuddet til en ændring i måden vi behandler persondata.

De fleste har i dag hørt om “GDPR” og persondataforordningen, som er EU’s nye regelsæt, der skal beskytte privatpersoners persondata og retten til privatlivets fred.

Men hvad går det hele ud på? Og hvad betyder det for dig?

Vi har lavet en række videoer, der forklarer dig, hvordan du kommer godt i gang med arbejdet.

Vil du læse om compliancearbejdet, har vi også beskrevet arbejdet trin for trin nedenfor.

Hvordan kommer jeg videre?

Vejen til at blive compliant er individuel. Der findes  derfor ikke en standard løsning, der passer alle. Derfor er det nødvendigt, at du sætter dig ind i virksomhedens individuelle situation, og selv aktivt overvejer, om der bør indarbejdes særlige tiltag.

Det er dog vores oplevelse, at compliancearbejdet typisk kan deles op i tre “trin”.

Fortegnelse

Det første du skal gøre er at kortlægge, hvilke data virksomheden har og hvor oplysningerne er opbevaret. Dette gør du ved at lave en såkaldt fortegnelse, også kaldet en “datamapping”, hvor du kortlægger alle de persondata virksomheden opbevarer.

Fortegnelsen har det overordnede formål at give et overblik over virksomhedens behandling af personoplysninger. Fortegnelsen skal som minimum indeholde oplysninger om:

  • Hvem virksomheden behandler personoplysninger om,
  • Hvilke personoplysninger virksomheden har,
  • Hvor virksomheden opbevarer personoplysningerne,
  • Formålet med virksomhedens behandling,
  • Lovgrundlaget for behandlingen,
  • Hvor personoplysningerne kommer fra,
  • Den forventede opbevaringstid, og
  • Hvem personoplysningerne videregives til.

Det er vores erfaring, at en grundigt udarbejdet fortegnelse danner det bedste udgangspunkt for det videre compliancearbejde. Vi anbefaler derfor, at du investerer en væsentlig mængde tid og energi i at undersøge  og besvare ovenstående spørgsmål i fortegnelsen. Dette gør virksomhedens videre arbejde lettere og mere overskueligt.

Vi anbefaler, at fortegnelsen udarbejdes i et Excel ark, da Excel er et simpelt og universalt værktøj, som er velegnet til at danne et overblik. Der findes også andre digitale løsninger på markedet, der kan hjælpe dig med at udarbejde en fortegnelse – typisk mod betaling.

Når du har fået et overblik over virksomhedens persondata, er du klar til at gå videre til det næste trin.

Når de forskellige persondata er kortlagt i fortegnelsen (data mapping), skal der udfærdiges en risikoanalyse, interne og eksterne politikker, samt procedurer og kontroller for virksomhedens behandling af personoplysningerne.

Risikoanalyse

Du skal udfærdige en risikoanalyse for virksomhedens behandling af personoplysninger – er der en lav, mellem eller høj risiko for et databrud ved virksomhedens behandling af personoplysningerne? Analysen tager udgangspunkt i fortegnelsen fra det første trin, og analysen bør udarbejdes i dialog med virksomhedens IT-afdeling/ IT-mand.

Risikoanalysen er et værktøj, som du skal bruge, når der skal udarbejdes de interne tekniske og organisatoriske politikker, som skal være gældende i virksomheden. Med andre ord – du skal kende de risici og IT-svagheder virksomheden har, før du kan indføre tiltag, der mindsker risikoen for databrud. 

Den interne datapoltik

Den interne datapolitik er det regelsæt, som virksomheden forpligter sig til at følge, når virksomheden behandler personoplysninger.

Det betyder i praksis, at virksomheden skal lave et regelsæt for behandlingen af personoplysninger i virksomheden. Regelsættet skal udleveres til virksomhedens medarbejdere. Den interne datapolitik skal indeholde en beskrivelse af virksomhedens tekniske og organisatoriske regler og procedurer

Interne datapolitikker kan variere fra virksomhed til virksomhed, og du skal derfor altid lave en individuel vurdering af, om de løsninger du har indarbejdet i virksomhedens interne datapolitik, er tilstrækkelige til at opfylde forordningens krav.

    Den eksterne datapolitik

    Hvis oplysninger om en person indsamles, skal der udleveres en række oplysninger om bl.a. virksomhedens kontaktoplysninger, formålene med indsamlingen, den registrerede persons rettigheder, modtagerne af oplysningerne, klageadgang m.v.

    Datapolitikken skal  skrives i et lettilgængeligt sprog, som virksomheden skal udlevere til de personer, som virksomheden behandler oplysninger om. 

    Ofte er der behov for at udarbejde flere forskellige datapolitikker, da datapolitikkens indhold vil variere afhængigt af, hvem (er det medarbejdere, kunder, samarbejdspartnere eller andre?virksomheden behandler oplysninger om og til hvilket formål behandlingen sker. 

    Samtykke

    Det er ikke alle typer persondata virksomheden må behandle uden at spørge den registrerede om lov først. Dette er typisk tilfældet, hvis virksomheden behandler “følsomme personoplysninger”. Du bør allerede havde taget stilling til, om virksomheden behandler følsomme personoplysninger i fortegnelsen fra det første trin. Du bør også i første trin have undersøgt virksomhedens lovgrundlag for behandlingen. Såfremt virksomheden ikke har et lovgrundlag for behandlingen, må virksomheden anmode den registrerede om et samtykke.

    Derudover skal der i de fleste tilfælde udfærdiges en samtykkeerklæring til virksomhedens medarbejdere, hvis virksomheden bruger billeder af medarbejdere til markedsføring på internettet, eksempelvis på virksomhedens hjemmeside. 

    Det er meget vigtigt, at samtykket udformes korrekt, da det ellers ikke er gyldigt. Derfor anbefaler vi, at samtykket udfærdiges af en advokat.

    Databehandleraftaler

    Virksomheden skal have en databehandleraftale med de af virksomhedens samarbejdspartnere, hvor virksomheden overfører persondata til. Det kunne f.eks. være virksomhedens lønbureau eller det firma, der opbevarer eller laver backup af virksomhedens data.

    For at undgå faldgruber anbefaler vi, at eksisterende databehandleraftaler gennemgås af en advokat. Skal der udfærdiges en ny databehandleraftale, er det vigtigt, at denne opfylder kravene i forordningen samt tager højde for, om virksomheden er dataansvarlig eller databehandler. Vi anbefaler derfor, at en advokat udfærdiger disse aftaler. Derudover skal sikkerheden være tilstrækkelig beskrevet, hvorfor det i mange tilfælde er nødvendigt, at der udfærdiges et bilag til aftalen om de tekniske krav til databehandleren, hvilket et IT-sikkerhedsfirma kan være behjælpelig med.

    Undervisning

    Det er derudover et krav i persondataforordningen, at virksomheden løbende underviser/træner medarbejdere i persondata og beskyttelse heraf. Denne del kan med fordel varetages af en advokat og/eller et IT-sikkerhedsfirma, så både de juridiske og sikkerhedsmæssige forhold blive formidlet til medarbejderne.

    Har du brug for hjælp?

    WTC advokaterne er godt klar over, at det ikke er nemt, hverken at forstå eller arbejde med persondataforordningen. 

    WTC advokaterne har specialiseret sig i persondatalovgivningen, og har allerede hjulpet mange både store og små virksomheder med at få helt styr på persondataforordningen. 

    Derfor tager vi gerne hånd om din virksomheds compliancearbejde.

    Medarbejdere med dette speciale

    Advokat og partner (H)

    M glm@wtc.dk
    T +45 48 22 00 40
    D +45 48 22 00 13

    Advokatfuldmægtig

    sms@wtc.law.dk
    T  +45 48 22 00 40
    D +45 48 22 00 11

    Relaterede artikler