Den nye EU-databeskyttelsesforordning træder snart i kraft. For mange virksomheder kan det virke svært og uoverskueligt at tage stilling til alle de persondataretlige regler og deres konsekvenser. Her er svar på de 10 spørgsmål om persondata, vi oftest møder.
16. april 2018 | IMMATERIALRET
TVC Advokatfirmas specialister arbejder dagligt med de udfordringer, som den nye persondataforordning giver anledning til. I denne artikel har vi derfor – med henblik på at afmystificere databeskyttelsesforordningen – udvalgt 10 af de spørgsmål, som vi regelmæssigt støder på. Få svarerne her:
Databeskyttelsesforordningen gælder for alle aktører, der indsamler og behandler persondata. Dette betyder, at forordningen reelt set omfatter alle virksomheder, såvel som offentlige myndigheder og organisationer.
Med dette in mente, er det nødvendigt for alle virksomheder at få fastlagt omfanget af den persondata, der behandles i virksomheden. En dataflowanalyse kan med fordel benyttes i denne henseende.
Persondata er alle de oplysninger, der kan føres tilbage til en person. Det kan være alt fra navn, alder og telefonnummer til seksuel overbevisning og fagforeningsmæssige tilknytningsforhold.
Databeskyttelsesforordningen skelner overordnet set mellem almindelige og personfølsomme oplysninger.
Almindelige personoplysninger omfatter f.eks. identifikationsoplysninger, herunder oplysninger om medarbejderens navn, adresse, telefonnummer, e-mail- og IP-adresser.
Følsomme personoplysninger omfatter derimod bl.a. helbredsforhold, oplysninger om racemæssig og etnisk baggrund samt religiøse, politiske og seksuelle tilknytningsforhold.
Den nye databeskyttelsesforordning regulerer alle typer af persondata. Det er således en udbredt misforståelse, at den nye forordning kun regulerer personfølsomme oplysninger.
Forordningen betyder, at den registrerede får ret til en større kontrol over sine persondata. Dette gøres bl.a. ved at understrege betydningen af, at virksomheder skal have faste procedurer for overholdelse af den registreredes rettigheder.
Mange af reglerne gælder allerede i dag i kraft af den nugældende persondatalov. Med databeskyttelsesforordningen kommer imidlertid et øget fokus på, at reglerne rent faktisk overholdes. Et udpluk af den registreredes rettigheder er:
I forlængelse af ovenstående introducerer forordningen en række nye begreber, som virksomheder skal forholde sig til. Blandt disse er begreber som privacy-by-design og dataportabilitet.
Privacy-by-design angiver det forhold, at virksomheder skal implementere databeskyttelse i deres IT-systemer, mens dataportabilitet udtrykker den registreredes ret til at få flyttet data fra en virksomhed eller leverandør til en anden.
Udover ovenstående stiller forordningen krav til, at virksomheder klarlægger, hvorvidt de behandler persondata som dataansvarlig eller databehandler, samt om man er opmærksom på at indgå databehandleraftaler med eventuelle samarbejdspartnere, der forestår behandlingen af ens persondata.
Du kan læse mere om dataansvarlige og databehandlere her.
Begrebet ”indsamling” dækker over enhver indsamling af persondata. Indsamling af persondata sker hver gang du indhenter oplysninger, der kan henføres til den registrerede.
Indsamling af persondata sker i mange forskellige forretningsmæssige situationer. F.eks. sker dette ved indhentelse af CV’er samt dataindsamling ved brug af cookies på hjemmesider eller videoovervågning af butikker og lign.
Det er vigtigt at være opmærksom på, at virksomheder skal kunne begrunde og dokumentere den indsamling af persondata, de foretager. Som virksomhed bør I derfor altid undersøge, hvilken hjemmel og hvilket formål der ligger til grund for indsamlingen og behandlingen af persondata.
Det er en udbredt misforståelse, at der altid skal forelægge samtykke, når I behandler persondata. Behandlingen af ikke-følsomme persondata kan ligeledes begrundes med én af følgende hjemler:
Samtykke kan dog være en god og effektiv måde at holde styr på, at I imødekommer den registreredes rettigheder, samt at I ikke indsamler flere oplysninger, end hvad nødvendigt er.
Læs mere om kravene til samtykke her.
Uanset hvilken hjemmel du benytter, bør du altid afveje formålet med behandlingen over for den registreredes interesser.
Mange virksomheder gør brug cloud-baserede løsninger og backup-services fra eksterne IT-leverandører. Brugen af disse tjenester betyder imidlertid, at ens data behandles af tredjeparter.
En direkte konsekvens heraf er, at virksomheder skal sørge for at indgå databehandleraftale med de respektive IT-leverandører. Mange af de store spillere på markedet må formodes at have standardaftaler klar, som skal tiltrædes ved brug af deres services.
Det er dog alligevel altid relevant at vurdere omfanget af den data, der f.eks. lagres i skyen, samt hvordan I som virksomhed er stillet ved de databehandleraftaler, der foreligger. Det er i sidste ende den dataansvarliges ansvar.
Såfremt I flytter data ud af EU, skal I endvidere vurdere, om de lande, oplysningerne flyttes til, er datasikre, dvs. lande som ifølge Kommissionen sikrer et tilstrækkeligt beskyttelsesniveau. Du kan læse mere om dette på Datatilsynets hjemmeside.
Det bør afslutningsvist fremhæves, at persondata skal opbevares i overensstemmelse med databeskyttelsesforordningen, hvad end oplysninger opbevares i fysiske eller elektroniske arkiver. Dette betyder bl.a., at I bør sørge for, at visse fysiske dokumenter opbevares aflåst.
Det er vigtigt at få kortlagt den persondata, I behandler i din virksomhed. Dette skyldes et krav om, at I som virksomhed bl.a. skal kunne dokumentere behandlingens omfang, formål og hjemmel, når/hvis Datatilsynet banker på døren.
Fremadrettet vil det endvidere i højere grad, som anført ovenfor, være muligt for den registrerede at få adgang til sine oplysninger samt udøve kontrol herover.
Samlet set stiller dette krav til, at I som virksomhed kortlægger jeres behandling af personoplysninger. Det betyder, at der som minimum skal føres fortegnelser på en sådan måde, at de kan opfylde den registreredes rettigheder. Stort set alle virksomheder vil derfor skulle lave fortegnelser.
E-mailsystemer skal ligeledes være i overensstemmelse med de nye regler. Dette betyder bl.a., at du skal foranstalte sletning af mails, der ikke længere er hjemmel til at opbevare.
Til dette formål er det relevant at udarbejde faste procedurer for, hvordan I håndterer persondata i jeres respektive e-mailsystem. Nedenfor følger et par konkrete eksempler på, hvor dette kan være aktuelt, samt hvordan I sikrer compliance.
I bør f.eks. altid have retningslinjer for sletning af fratrådte medarbejderes e-mailkonti. Et problem i denne forbindelse kan være, at der på medarbejderens e-mailkonto er data, der også er relevant for virksomheden efter medarbejderens fratrædelse.
I kan dog komme problemet i forkøbet, hvis I løbende sørger for, at medarbejdere gemmer vigtige korrespondancer og dokumenter på et sikkert drev uden for e-mailsystemet. Det er derfor en god idé at lave faste retningslinjer for, hvordan medarbejderne håndterer den data, der kommer ind pr. e-mail.
Derudover kan det være en god idé ved rekrutteringsforløb, hvor I bl.a. indsamler persondata i form af CV’er, at inddele sin mailboks i mapper, f.eks. en mappe til ”gode ansøgninger”. Dette giver overblik over den data, I indsamler og letter den efterfølgende sletning.
Som afsluttende bemærkning skal det fremhæves, at det er vigtigt at have både indbakken og sendt-bakken for øje, idet e-mails logges begge steder.
Databeskyttelsesforordningen formodes at ville medføre et skærpet tilsyn på det persondataretlige område. Konsekvenserne ved overtrædelse er dertil væsentligt større end tidligere.
Forordningen lægger helt konkret op til, at virksomheder fremover kan blive idømt bøder på op til € 20.000.000 eller 4 % af virksomhedens globale omsætning.
Selvom bødeniveauet vil være noget lavere for små og mellemstore virksomheder, forventes det stadig, at der også i denne kategori vil ske en forøgelse af det bødeniveau, vi kender fra i dag.
Udover ovenstående følger risikoen for at ifalde et erstatningsansvar, få negativ medieomtale eller utilfredse medarbejdere og kunder. Samlet set kan det være ødelæggende for den gode forretning, hvis I ikke ajourfører jer med reglerne.
Alt dette kan lyde skræmmende for de virksomheder, der endnu ikke har sikret fuld compliance på området. Det er derfor vigtigt at fremhæve, at der endnu er tid til at sikre overholdelsen af reglerne.
Dertil bør det understreges, at fokus fremadrettet må formodes at blive rettet mod de virksomheder, der ikke aktivt forsøger at sikre compliance på området.
Med den rette vejledning og complianceanalyse behøver databeskyttelsesforordningen slet ikke at være så skræmmende. TVC Advokatfirma anbefaler derfor, at virksomheder søger professionel og kompetent rådgivning.
TVC Advokatfirma har persondataretten helt inde under huden. Vores specialister, der er certificerede persondatarådgivere, arbejder dagligt med persondataretlige problemstillinger, og de står altid klar til en uforpligtende drøftelse af din konkrete case.
TVC Advokatfirma har bl.a. udarbejdet dataflowanalyser og indgået samarbejdsaftaler med førende virksomheder på området. Samlet set sikrer dette, at du og din virksomhed kan komme sikkert og effektivt i mål med overholdelsen af forordningens krav.
Har du andre spørgsmål? Kontakt vores rådgivere for en uforpligtende drøftelse.