Preben Meinecke-Søes

Preben Meinecke-Søes

Advokat(L)
og mediator

7741 1567

Kim Koch

Kim Koch

Konsulent og advokat

kko@tekniq.dk

7741 1592

Persondataforordningen

Persondataforordningen afløser den nugældende persondatalov den 25. maj 2018

De endelige danske regler er endnu ikke vedtaget, men omfanget og karakteren af kravene gør, at virksomhederne allerede nu bør forberede sig på de nye krav.

Formålet med persondatareglerne er blandt andet at beskytte individet mod registrering af personfølsomme oplysninger, hvis der ikke er et udtrykkeligt krav herom eller en særlig grund hertil og der er givet samtykke til registreringen. Reglerne skal også sikre den registreredes ret til at blive glemt.

Bødeniveauet forhøjes væsentligt

Overtrædelse af de nye regler i persondataforordningen straffes med bøde på op til 20 mio. EURO eller 4 % af den årlige omsætning i det foregående regnskabsår. Det er en væsentlig skærpelse i forhold til i dag.

Yderligere information fra TEKNIQ

I dette medlemsnyt forklares en række grundbegreber, som virksomheden skal kende som et led i sine forberedelser.

TEKNIQ udsender løbende mere detaljeret information om personoplysninger, om det retlige grundlag for og samtykke til registreringen, om dokumentationskrav og den registreredes ret til indsigt i de registrerede oplysninger og om retten til at blive glemt.

Persondata

Persondata er enhver personoplysning, der gør det muligt at identificere en person – navn, cpr- eller id-nummer, geografisk position, online-id, fysiske eller mentale kendetegn, psedonymiserede oplysninger, kunder, ansatte, stillingsansøgere eller samarbejdspartneres ansatte. Oplysninger, man indsamler via cookies på sin hjemmeside, er også omfattet.

Anonymiserede oplysninger gør en identifikation umulig og er derfor ikke omfattet af begrebet personoplysninger.

Virksomhederne indsamler, opbevarer og videregiver (det vil sige behandler) således store mængder af persondata.

Nye begreber

Persondataforordningen anvender en række begreber, som er grundlæggende for at forstå rettigheder og pligter under Persondataforordningen.

Den registrerede eller dataobjektet er betegnelsen for den person, hvis oplysninger behandles af en dataansvarlig/datasubjekt. Det kan være en ansat, nuværende eller tidligere ansat eller en kunde.

Krypterede oplysninger foreligger, når man ved hjælp af en teknologisk løsning sikrer en fortrolig kommunikation, som kræver en krypteringsnøgle, før oplysningerne kan anvendes. Metoden indgår i vurderingen af, om behandlingen er lovlig, og om det fornødne sikkerhedsniveau er på plads. Når en medlemsvirksomhed sender en meddelelse via E-boks eller Nem-id, er den krypteret - sendes den samme meddelelse med en almindelig mail, svarer det til at sende et åbent postkort.

Personoplysninger kan være almindelige – det vil sige alle de oplysninger om en person (navn, telefonnummer med mere), der ikke er personfølsomme oplysninger.

De personfølsomme oplysninger er forhold vedrørende race, etnisk oprindelse, religion, fagforeningsmæssige tilhørsforhold, helbredsoplysninger med mere. Behandlingen af de følsomme oplysninger kræver et samtykke fra den registrerede. Uden et samtykke må disse oplysninger ikke behandles.

Behandling af persondata
er enhver form for aktivitet(er), som personoplysningerne bruges til – eksempelvis udbetaling af løn eller indberetning til SKAT.

Den dataansvarlige er den fysiske eller juridiske person, der afgør, til hvilket formål og med hvilke midler personoplysningerne behandles. Den dataansvarlige er således den personlige indehaver i små og mellemstore virksomheder eller det juridiske selskab (A/S eller ApS), der driver virksomheden.

En databehandler er den fysiske eller juridiske person, der behandler personoplysningerne på den dataansvarliges vegne. Det kan være interne eller eksterne medarbejdere, der forestår lønudbetalingen, håndtering af lønrefusion fra kommunen ved barsel eller sygdom med videre.

Et samtykke er efter forordningen enhver frivillig, specifik, informeret og utvetydig viljeserklæring, hvor den registrerede erklærer klart og utvetydigt samtykke til behandlingen af oplysningerne.

Brud på persondatasikkerheden er en hændelse, som fører til en hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne.

Den dataansvarliges pligter

Den dataansvarlige skal træffe passende foranstaltninger til at give enhver oplysning til den registrerede om den registreredes ret til berigtigelse, indsigelsesret, ret til sletning (retten til at blive glemt), samt at kunne give underretning ved brud på persondatasikkerhed.

Pligten gælder, uanset hvor oplysningerne indsamles fra. Foranstaltningerne om behandling skal gives til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form, samt i et klart og enkelt sprog. Oplysningerne skal gives skriftligt eller elektronisk læsbart, hvis henvendelsen fra den registrerede er sket elektronisk.

Sådan kommer du videre

Datatilsynet har oplistet en række spørgsmål, som den dataansvarlige person i den enkelte virksomhed med fordel kan forholde sig til for at forberede sig på den nye persondataforordning. Du skal gerne kunne besvare følgende spørgsmål:

Hvilke personoplysninger behandler din virksomhed? (Spørgsmålet går på at skabe et overblik over de foreliggende personoplysninger.)

Hvilke kategorier af data behandler virksomheden (kundedata, medarbejderdata, kontaktoplysninger fra samarbejdspartnere mv.)? Er der eventuelt tale om følsomme oplysninger?

Hvilken information giver virksomheden til de registrerede?

Hvordan håndterer virksomheden de registreredes rettigheder?

På hvilket retligt grundlag behandler virksomheden personoplysninger?

Hvordan indhenter virksomheden et samtykke?

Hvad skal virksomheden gøre ved brud på persondatasikkerheden?
Har virksomheden tænkt databeskyttelsen ind i sine it-systemer?

Virksomheden skal have overblik over, om behandlingen er lovlig. Er der hjemmel i loven eller forordningen? Er der fx indhentet et samtykke fra de registrerede, eller kan behandlingen ske på andet grundlag.

Virksomheden kan tage udgangspunkt i følgende vurderinger:

Hvilken rolle har virksomheden i forhold til databehandling (dataansvarlig, databehandler eller måske underdatabehandler)?

Sker databehandling af eksterne databehandlere, og på hvilket aftalegrundlag?

Hvilke sikkerhedstiltag har virksomheden i forhold til persondata?

Hvilke politikker har virksomheden, fx it-politik, social media-politik, retningslinjer om håndtering af sikkerhedsbrud med videre?

Yderligere information

Der udsendes løbende mere detaljeret information.

(T-05/2017)

TEKNIQ er den eneste organisation med klart fokus på teknik-og installationsbranchen. Som medlem får du en lang række fordele, der er tilpasset netop dine behov.