Databeskyttelsesforordningen 

Alt du behøver at vide om databeskyttelse samt professionel hjælp til overholdelse af reglerne 

Lever din virksomhed op til kravene i Databeskyttelsesforordningen (GDPR)?

Skärmklipp5

   Af Persondataforordningen følger det at virksomheden skal indbygge persondata sikkerhed.

  1. Jeg hjælper med  at kortlægge, hvor alle personlige data i din virksomhed kommer fra og identificer hvor alt data findes, hvem der har adgang hertil og om data er tilstrækkeligt beskyttet. 
  2.  Jeg undersøger på om der gemmes information der ikke er nødvendigt og hjælper med at fjerne data der ikke bliver brugt og derfor ikke skal opbevares. 
  3.  Jeg gennemgår din dokumentation, da enkeltpersoner skal give samtykke til både indsamling og behandling af deres data samt etablerer retningslinjer og procedurer for hvordan virksomheden håndterer kunde situationer, som opstår i forbindelse med overholdelse af forordningen. 


Databeskyttelsesloven sætter forbrugeren i førersædet og det er virksomhedens opgave at leve op til de krav den loven stiller. Det betyder at virksomheder små som store, der håndterer personlige data, skal udpege en ansvarlig for databeskyttelse. Der er altså virksomhedens opgave at se til at GDPR bliver overholdt.

Persondatatesten 

Persondatatesten giver dig et hurtigt overblik over hvor du står i forhold til Databeskyttelsesforordningens krav
Testen er gratis, den hurtige tager 10 min. og mens den grundige tager 30 min. 

 

Databeskyttelsesforordningen vil uden tvivl kræve mange nye arbejdsmetoder og tankegange. Jeg har i de efterfølgende afsnit uddybet de forskellige emner i de grundlæggende principper.

Det er afgørende, at de personer, der behandler persondata i virksomheden, er bekendt med og efterlever de grundlæggende principper for god databehandling. Det betyder, at tankegangen skal være, at man i databehandlingen ikke må gå længere, end det er nødvendigt for at varetage det konkrete formål med behandlingen, og at der bliver taget hensyn til de personer, det drejer sig om – de registrerede. Det er derfor nødvendigt at overveje virksomhedens nuværende fremgangsmåde med henblik på både at optimere behandlingen og overholde forordningens krav.

Lovlighed

Behandling af persondata skal være lovlig. For at være lovlig, skal behandlingen have såkaldt hjemmel i et af punkterne i forordningens artikel 6. Der kan være seks grunde til at en behandling er lovlig, og hvis ingen af disse seks grunde er passende, så er databehandlingen simpelthen ulovlig.

Den fulde ordlyd kan findes i forordningen, men de seks hjemler er:

  • Samtykke, behov for at kunne opfylde kontrakt,
  • behov for at overholde en retlig forpligtelse,
  • behov for at beskytte f.eks. kundes vitale interesser,
  • samfundets interesse og
  • endelig interesseafvejning.

For virksomheder vil det som oftest være samtykke, kontraktindgåelse og interesseafvejning, som vil være de mest relevante hjemler.

Du skal være opmærksom på, at selvom din virksomhed overholder forordningen i sin databehandling, kan der være mulighed for, at en anden lov er overtrådt.

Rimelighed

Enhver behandling af persondata skal være rimelig. Det betyder, at behandlingen af data skal ske på rimelig vis og dette betyder ikke bare at loven skal overholdes. En databehandling kan godt være urimelig, selvom den er lovlig. Rimelighed kan vurderes af tilsynsmyndigheden på basis af den i samfundet på den tid herskende opfattelse af, hvad der er rimeligt, så det er en vurdering du med fordel selv kan foretage, når der skal behandles data.

Gennemsigtighed

Gennemsigtighed gør det nemmere for enhver at gennemskue, hvorfor de afgiver deres personlige oplysninger. Der er krav om, at man ikke må kræve unødige oplysninger og dermed skal angive hvorfor og til hvilket formål, man indsamler de pågældende oplysninger.

Den registrerede må ikke på noget tidspunkt være i tvivl om, at der behandles data om vedkommende. Samtidig skal det være let gennemskueligt for den registrerede, hvilke rettigheder, der tillægges personen i forbindelse med behandlingen.

Formålsbegrænsning

Der må ikke opbevares data, der ikke har noget reelt formål. Hvis dette sker, skal det slettes øjeblikkeligt. Alt data må kun benyttes til formål, der ikke strider imod indsamlingens oprindelige formål, og der må samtidig ikke indsamles data uden samtykke fra den registrerede. Dette skyldes, at det skal være muligt for den registrerede at kunne forudse, hvad de givne oplysninger kan blive brugt til og hvilke oplysninger, der er adgang til.

Dataminimering

En virksomhed er kun berettiget til at indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet, samtidig med at behandlingen af data skal ske på et egnet grundlag. Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af, hvilke data, der er relevante for at opfylde formålet med indsamlingen.

Rigtighed

Der må ikke forefindes urigtige oplysninger, og den dataansvarlige er forpligtet til at rette dem omgående. Samtidig har enhver person også ret til at få rettet deres oplysninger omgående, hvis de finder ud af, at der er fejl.

Opbevaringsbegrænsning

Der stilles i Persondataforordningen krav om, at persondata ikke må opbevares længere tid end nødvendigt for at kunne opfylde det formål, dataene er indsamlet til. Dette kræver i det fleste tilfælde en konkret vurdering af dataenes relevans, da der sjældent kan redegøres for, at data i samme kategori er nødvendige i lige lange perioder. Det anbefales derfor, at der fastsættes perioder for, hvornår der skal ske en revurdering af datas tilstrækkelighed og relevans.

Integritet og fortrolighed

Integritet er et overordnet udtryk for et systems evne til at nå frem til dets formål, det vil sige, om det system, der benyttes, generelt når frem til sit mål uden at beskæftige sig med unødvendige emner og dermed kun inkluderer relevant data. Det betyder også, at dataene skal behandles med ansvarlighed og dermed er det også vigtigt, at det kun er relevante personer, der har adgang til disse.

Under fortrolighed er det væsentligste fokus, at den registrerede kan vide sig sikker på, at den personlige data, som personen videregiver, behandles med fortrolighed og uvæsentlige personer hermed ikke får adgang til dataene.

Behandlingsbetingelser (hjemmelskrav)

For at behandling af persondata er lovlig, skal man have hjemmel, det vil sige, at der skal være belæg for behandling i forordningen. Sagt med andre ord: Der er ifølge forordningen seks gode grunde (hjemler) til at behandle data. Hvis ingen af disse grunde passer på virksomhedens databehandling, så er behandlingen ulovlig.

De seks hjemler er følgende:

  • Samtykke Samtykke betyder kort fortalt, at den registrerede selv har indvilliget i, at vedkommendes data behandles.
  • Nødvendig for opfyldelse eller forberedelse af kontrakt, det vil f.eks. sige, hvis en kunde ønsker at købe en vare. Ved alt andet en kontant køb kan det ikke lade sig gøre at indgå i køb og salg, med mindre man kan behandle persondata.
  • Nødvendig for at overholde en retlig forpligtelse. Ved retlige forpligtelser af enhver art er dette punkt hjemmel for behandling af persondata.
  • Nødvendig for at beskytte den registreredes, f.eks. kundens, vitale interesser. Dette kan f.eks. gøre sig gældende, hvis en kunde skal beskyttes mod et stort økonomisk tab og kunden ikke selv er i stand til at reagere.
  • Nødvendig af hensyn til udførelse af opgave i samfundets interesse eller offentlig myndighedsudøvelse. Hvis en given opgave er blevet pålagt en virksomhed af det offentlige system, skal hjemlen findes i dette punkt.
  • Nødvendig for at forfølge legitim interesse, så længe denne ikke overstiger eksempelvis kundes interesse eller grundlæggende rettigheder (interesseafvejningsreglen). Denne hjemmel er vigtig, men potentielt meget farlig at bruge, for hvornår overgår virksomhedens interesse i f.eks. salg, kundens interesse i f.eks. privatliv? Det er nødvendigt at overveje dette i hvert tilfælde, hvor man vil gøre brug af denne hjemmel og det ville være en rigtig god ide at dokumentere sine overvejelser, hvis hjemlen skulle blive anfægtet.

Virksomheden skal foretage et bevidst valg om, hvilken eller hvilke hjemler, man vil basere sin persondatabehandling på. Der SKAL som sagt være hjemmel, ellers er behandlingen (og det inkluderer også opbevaring og sletning) ulovlig. Og hjemlen skal kunne holde til at blive målt og vejet af jurister.

Ansvarlighed

Ansvarlighed handler i bund og grund om, at behandle data på ansvarlig vis. Det betyder, at brug af sund fornuft, når man er i omgang med en anden persons personlige oplysninger, er helt centralt. Dette ansvar ligger hovedsageligt hos den dataansvarlige, hvis primære ansvar er, at alt data behandles i overensstemmelse med loven, uanset om det er den dataansvarlige selv, eller en anden databehandler, der håndterer dataene.

 

Vil du ringes op ?

Giv os besked om hvornår du har til til at tale. Så ringer vi op til dig.

 

Udfyld nedenstående formular, så ringer vi dig op – ganske gratis og uforpligtende.