Forpligtelser i forhold til databeskyttelseslovgivningen

Udgivet i af

Det er jeres ansvar som virksomhed og dataansvarlig at leve op til Databeskyttelsesforordningens regler, som fremgår af Datatilsynets hjemmeside.

For at leve op til den databeskyttelseslovgivningen skal man gøre følgende……..

  • vise god databehandlingsskik og overholde de grundlæggende principper for behandling af personoplysninger, som fremgår af forordningen, herunder have forsvarlige sikkerhedsforanstaltninger
  • sikre, at der er nødvendig hjemmel til behandlingen af persondata, både i forhold til typer af personoplysninger og formålet med behandlingen af dem
  • opfylde alle forpligtelser i forhold til de registrerede personer. Det gælder bl.a. oplysning om behandlingen af personoplysninger, og efterlevelse af de registrerede personers ret til indsigt og indsigelse
  • kunne dokumentere, hvilke personoplysninger, man opbevarer, med hvilket formål, hvad de anvendes til, hvem de deles med og, at de slettes, når der ikke længere er formål med at gemme dem
  • kunne bevise, hvordan man lever op til alle krav, når Datatilsynet kommer på inspektion.

For at sikre ovenstående, skal man have følgende på plads:

  1. Privatlivspolitik

    Privatlivspolitikken skal sikre, at man overholder sin pligt til at informere medarbejdere og (privat-) kunder om, hvordan man behandler deres personoplysninger. Vi anbefaler, at privatlivspolitikken gøres kendt i virksomheden og det kan være en god ide at lægge den på sin hjemmeside og/eller intranet.
    En sådan politik er ikke et lovkrav, men udledes af kravet om, at man som dataansvarlig skal leve op til forpligtelsen om ansvarlighed og skal kunne dokumentere ‘gennemsigtighed’ i databehandlingen.

  2. Man skal have lov til at behandle personoplysninger

    Det er vigtigt, at man har hjemmel til at behandle oplysninger. Det kan f.eks. være i form af kontrakt, lovregler, legitime interesser eller samtykke fra de registrerede personer. Der stilles krav til, hvordan et samtykke formuleres, og man skal kunne bevise, at man har fået samtykke fra de registrerede.

  3. Oplysningspligt overfor de registrerede

    Et krav i forordningen er, at man skriftlig oplyser de registrerede privatpersoner (f.eks. medarbejdere og kunder) om de persondata, man behandler om dem og med hvilken hjemmel. Det er fastlagt hvilke oplysninger, der som minimum skal gives. F.eks. skal oplyses hvilke typer af oplysninger, man behandler og med hvilket formål, samt hvor længe de gemmes og hvilke rettigheder, de registrerede har.

  4. Opfyldelse af registreredes rettigheder

    Som individ har man nogle personlige rettigheder, bl.a. ret til at få indsigt i alle de personoplysninger en virksomhed behandler. Man har også indsigelsesret, som dækker over en privatpersons ret til at få urigtige oplysninger rettet eller slettet og i visse tilfælde ret til at modtage de registrerede persondata i et ’struktureret, almindeligt anvendt og maskinlæsbart format’.

    Som  virksomhed bør man overveje, hvordan det praktisk kan lade sig gøre at leve op til disse forpligtelser, således at det er muligt at besvare anmodning fra de registrerede indenfor 1 måned med oversigt over hvilke oplysninger, organisationen ligger inde med – og samtidig kunne bevise, at det er sket.

  5. ”Slette-procedurer”

    En vigtig del af databeskyttelseslovgivningen er ”slettepligten”. Det betyder, at man som virksomhed har pligt til at indføre regler for, hvornår og hvordan man sletter personoplysninger. Det gælder både fremtidig regelmæssig sletning af oplysninger, og sletning af alle de filer og mails, man har liggende med persondata tilbage i tid. Det er formålet, der afgør, hvor længe man må gemme personoplysninger; for  medarbejdere f.eks. gælder som udgangspunkt opbevaring af oplysninger i 5 år.

    Man bør ikke stole blindt på, at sletteprocedurer fungerer og, at data slettes planmæssigt uden fejl. For at være sikker på at slettekørsler er udført korrekt, og at der ikke fortsat opbevares oplysninger, der burde have været slettet, skal man også fastlægge regler for opfølgning på sletning. 

  6. Databehandleraftaler

    Man har som dataansvarlig pligt til at indgå databehandleraftaler med de leverandører, som behandler persondata på vegne af virksomheden og efter instruks.

    Det er vigtigt, at den dataansvarlige virksomhed løbende kontrollerer, om databehandleren overholder forordningens krav, har sikkerhedsforanstaltninger på plads til at passe på de registreredes oplysninger og stiller samme krav til underleverandører, der behandler persondata på vegne af databehandleren.
    Når persondata videregives til tredjelande, gælder der specielle krav til hjemmel.

  7. Fortegnelse

    Forordningen bygger på et princip om ”egen-kontrol”. Det indebærer bl.a. at man skal have fuldt overblik over, om behandlingen af persondata er i overensstemmelse med lovgivningen. I den sammenhæng skal der udarbejdes en ’Artikel 30 Fortegnelse’, som bl.a. skal vises til Datatilsynet, hvis de kommer på besøg. Datatilsynet har i september 2020 besluttet, at oplysningerne i fortegnelsen fremover skal være mere detaljerede.

  8. Tekniske og organisatoriske sikkerhedsforanstaltninger

    Sikkerheden omkring opbevaring af persondata skal være på plads, både fysisk og elektronisk. Det betyder, at alle oplysninger på papir skal være forsvarlig aflåst, og der skal være elektronisk sikkerhed i form af passwords, firewalls, viruskontrol m.v. på alle computere og andre elektroniske medier.

    Jo mere sensitive personoplysninger, man behandler, jo større er kravene til sikkerheden. Datatilsynet har skærpet kravene til kryptering, når fortrolige og følsomme personoplysninger sendes via e-mail. Man skal også sikre, at kun medarbejdere med et sagligt behov har adgang til personoplysningerne.

    Persondatabeskyttelse er i bred forstand risikobaseret og før behandling af personoplysninger skal der foretages en risikovurdering. Dvs. at man skal kortlægge risikoen for datalæk og konsekvensen for de registrerede i forhold til de forholdsregler, der er indført for at sikre personoplysningerne.

  9. Procedure for brud på datasikkerheden

    Det er ikke alle sikkerhedsbrud, der nødvendiggør information til Datatilsynet og til de personer, hvis data bliver kompromitteret, men i nogle situationer gælder en sådan underretningspligt. Der er i den forbindelse fastsat meget stramme tidsfrister (”uden unødigt ophold og inden for 72 timer til Datatilsynet”). Så det er vigtigt på forhånd at overveje og nedskrive, hvordan man som virksomhed skal handle, hvis der skulle ske f.eks. hacking af data.

  10. Cookies

    Hvis man bruger cookies på en hjemmeside, skal man informere om formålet med brugen af de enkelte cookies og give de besøgende mulighed for aktivt til- eller fravalg (samtykke).
    GDPR-reglerne regulerer behandlingen af de informationer, en besøgende efterlader sig på hjemmesiden.