Forpligtelser i forhold til databeskyttelseslovgivningen

Det er jeres ansvar som virksomhed og dataansvarlig at leve op til Databeskyttelsesforordningens regler, som fremgår af Datatilsynets hjemmeside.

For at leve op til den nye databeskyttelseslovgivning skal man gøre følgende……..

  • udvise god databehandlingsskik og overholde de grundlæggende principper for behandling af personoplysninger, som fremgår af Databeskyttelsesforordningen
  • sikre, at der er fornøden hjemmel til behandlingen af persondata i forhold til typen af personoplysninger og formålet med behandlingen
  • opfylde alle forpligtelser i forhold til de registrerede personer omkring oplysning om behandlingen og overholdelse af deres rettigheder
  • kunne dokumentere, hvilke personoplysninger, man opbevarer i sin virksomhed, hvad de anvendes til, hvem de deles med og hvornår de slettes
  • kunne bevise, hvordan man lever op til alle lovkrav, når og hvis Datatilsynet kommer på inspektion.

For at sikre ovenstående, skal man have følgende på plads:

  1. Privatlivspolitik

    Privatlivspolitikken skal sikre, at man overholder sin pligt til at informere medarbejdere og (privat-) kunder om, hvordan man behandler deres personoplysninger. Vi anbefaler, at privatlivspolitikken gøres kendt i virksomheden og det kan være en god ide at lægge den på sin hjemmeside og/eller intranet.
    En sådan politik er ikke et lovkrav, men udledes af kravet om, at man som dataansvarlig skal leve op til forpligtelsen om ansvarlighed og skal kunne dokumentere ‘gennemsigtighed’ i databehandlingen.

  2. Indhentelse og dokumentation af samtykker

    I visse tilfælde skal man have samtykke fra de registrerede til at behandle personlige oplysninger, f.eks. til modtagelse af nyhedsbreve eller brug af medarbejderes foto på firmaets hjemmeside.
    Man skal kunne bevise, at man har fået samtykke fra de registrerede.

  3. Oplysningspligt overfor de registrerede

    Et krav i forordningen er, at man skriftlig oplyser de registrerede privatpersoner (f.eks. medarbejdere og kunder) om de persondata, man behandler om dem og med hvilken hjemmel. Det er fastlagt hvilke oplysninger, der som minimum skal gives. F.eks. skal oplyses hvilke typer af oplysninger, man behandler og med hvilket formål, samt hvor længe de gemmes og hvilke rettigheder, de registrerede har.

  4. Opfyldelse af registreredes rettigheder

    Som individ har man nogle personlige rettigheder, bl.a. ret til at få indsigt i alle de personoplysninger en virksomhed behandler. Man har også indsigelsesret, som dækker over en privatpersons ret til at få urigtige oplysninger rettet eller slettet og i visse tilfælde ret til at modtage de registrerede persondata i et ’struktureret, almindeligt anvendt og maskinlæsbart format’.

    En virksomhed bør overveje, hvordan det praktisk kan lade sig gøre at leve op til disse forpligtelser, således at det er muligt at besvare anmodning fra de registrerede indenfor 1 måned (jfr. forordningen) – og samtidig kunne bevise, at det er sket.

  5. ”Slette-procedurer”

    En vigtig del af databeskyttelseslovgivningen er ”Right-to-be-forgotten”. Det betyder, at man som virksomhed har pligt til at fastlægge regler for, hvornår og hvordan man sletter personoplysninger.

    Det gælder både fremtidig regelmæssig sletning af oplysninger, og sletning af alle de filer og mails, man har liggende med persondata tilbage i tid. Det er formålet, der afgør, hvor længe man må gemme personoplysninger; for f.eks. medarbejdere gælder som udgangspunkt opbevaring af oplysninger i 5 år.

  6. Databehandleraftaler

    Man har som dataansvarlig pligt til at indgå databehandleraftaler med de leverandører, som behandler persondata på vegne af virksomheden og efter instruks.

    Det er vigtigt, at den dataansvarlige virksomhed løbende kontrollerer, om databehandleren overholder forordningens krav, har sikkerhedsforanstaltninger på plads til at passe på de registreredes oplysninger og stiller samme krav til underleverandører, der behandler persondata på vegne af databehandleren.

  7. Fortegnelse

    Forordningen bygger på et princip om ”egen-kontrol”. Det indebærer bl.a. at man skal have fuldt overblik over, om behandlingen af persondata er i overensstemmelse med lovgivningen. I den anledning skal der udarbejdes en ’Artikel 30 Fortegnelse’, som skal vises til Datatilsynet, hvis de kommer på besøg.

  8. Tekniske og organisatoriske sikkerhedsforanstaltninger

    Sikkerheden omkring opbevaring af persondata skal være på plads, både fysisk og elektronisk.
    Det betyder, at alle oplysninger på papir skal være forsvarlig aflåst, og der skal være elektronisk sikkerhed i form af passwords, firewalls, viruskontrol m.v. på alle computere og andre elektroniske medier.

    Man kan lave en risikovurdering over hvilke områder, der er størst risiko for datalæk og, hvor læk af oplysninger vil have de alvorligste konsekvenser for de registrerede. Det er her, der skal være størst fokus på sikkerhed. Jo mere sensitive personoplysninger, man behandler, jo større er kravene til sikkerheden.

    Endelig skal man sikre, at kun de medarbejdere, der har et sagligt og velbegrundet behov, har adgang til personoplysningerne.

  9. Procedure for brud på datasikkerheden

    Det er ikke alle sikkerhedsbrud, der nødvendiggør information til Datatilsynet og de personer, der er registreret, men i nogle situationer gælder en sådan underretningspligt. Der er i den forbindelse fastsat meget stramme tidsfrister (uden unødigt ophold og inden for 72 timer til Datatilsynet). Så det er vigtigt at overveje og nedskrive, hvordan man skal handle, hvis der skulle ske f.eks. hacking af data.
    Datatilsynet har udarbejdet en vejledning om håndtering af brud på datasikkerheden.

Hvad siger Persondatakonsulenten om persondataforordningen?

Måske tror du ikke, at persondataforordningen vil betyde noget for din virksomhed, men så kan du tro om igen. Den nye lov, der indføres til næste år, vil nemlig påvirke langt de fleste virksomheder. Også selv om du ikke er en stor international koncern.

Læs hele artiklen

De rette værktøjer til at overholde persondataloven

  • Er I forvisset om, at I håndterer jeres kunders og medarbejderes persondata helt lovligt?
  • Har I de rette værktøjer til at sikre, at persondatalovgivningen følges?
  • Ved jeres kunder og medarbejdere, om I overholder reglerne?
  • Hvad vil I gøre, hvis der sker hacking eller anden læk af nogle af de vigtigste aktiver – nemlig oplysninger om firmaets kunder eller medarbejdere?

Et stigende antal sager om misbrug og læk af virksomheders persondata trækker overskrifter i medierne. Det skader virksomhedens omdømme, giver mistillid fra kundernes side og kan medføre erstatningskrav.

Kontakt PersondataKonsulenten på 2326 3141 - vi kan hjælpe jer med at sikre efterlevelse af lovgivningen.