Preben Meinecke-Søes

Preben Meinecke-Søes

Advokat(L)
og mediator

7741 1567

Kim Koch

Kim Koch

Konsulent og advokat

kko@tekniq.dk

7741 1592

6010 7600

Persondataforordningen

Her kan du læse om det, du skal vide, og det, du skal gøre, når Persondataforordningen træder i kraft i maj 2018.

  1. Persondataforordningen
  2. Persondata
  3. Principper for behandling af persondata
  4. Lovlig behandling
  5. Samtykke
  6. Dataansvarlig
  7. Databehandler
  8. Data Protection Officer
  9. Personoplysningssikkerhed
  10. Den registreredes rettigheder
  11. Sådan kommer du i gang

1. Persondataforordningen

Persondataforordningen træder i kraft den 25. maj 2018. De endelige danske regler er endnu ikke vedtaget. Forslaget om persondataloven fremsættes i efteråret 2017.

Formålet med reglerne

Formålet med persondatareglerne er bl.a. at beskytte fysiske personer mod unødvendig registrering af personhenførbare oplysninger, hvis der ikke er et udtrykkeligt krav herom, en særlig grund hertil eller der er givet samtykke til registreringen. Reglerne skal også sikre den registreredes ret til indsigt og til at blive glemt.

Bødeniveauet forhøjes væsentligt

Overtrædelse af de nye regler i persondataforordningen straffes med bøde på op til 20 mio. EURO eller 4 % af den årlige omsætning i det foregående regnskabsår. Det er en væsentlig skærpelse i forhold til i dag.

Overholdelse af reglerne

Omfanget og karakteren af kravene i persondataforordningen gør, at virksomhederne allerede nu bør forberede sig på de nye krav.

2. Persondata

Persondata er enhver personoplysning, der gør det muligt at identificere en fysisk person. 

Almindelige personoplysninger er fx navn, id-nummer, journalnummer, kontaktoplysninger, køn og alder, interesser, geografisk position, online-id, IP-adresser, fysiske eller mentale kendetegn, psedonymiserede oplysninger, kundeprofil, købshistorik, kreditoplysninger, ansatte, stillingsansøgere eller samarbejdspartneres ansatte. Oplysninger, man indsamler via cookies på sin hjemmeside, er også omfattet. 

Følsomme personoplysninger er forhold vedrørende race, etnisk oprindelse, religion, fagforeningsmæssige tilhørsforhold, genetiske og biometriske data, helbredsoplysninger med mere. Behandlingen af de følsomme oplysninger kræver, at der er et lovligt formål og et samtykke fra den registrerede. Uden et samtykke må disse oplysninger ikke behandles. 

CPR-numre er almindelige oplysninger, men i Danmark forventes persondataloven at føre til, at CPR-numre skal behandles som følsomme oplysninger. 

Anonymiserede oplysninger gør en identifikation umulig. De er derfor ikke omfattet af begrebet personoplysninger.

3. Principper for behandling af persondata

Persondata skal
  • Behandles lovligt, rimeligt og på en gennemsigtig måde
  • Indsamles til udtrykkeligt angivne og lovlige formål
  • Være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt
  • Være korrekte og om nødvendigt ajourførte
  • Kun opbevares, så længe det er nødvendigt i henhold til formålet
  • Behandles på en måde, der sikrer tilstrækkelig sikkerhed for personoplysningerne

4. Lovlig behandling

Behandling af persondata er lovlig, hvis det sker ud fra en af følgende begrundelser:

  • Den registrerede har givet samtykke hertil til et eller flere specifikke formål
  • Behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i
  • Behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige
  • Behandling er nødvendig for at beskytte den registreredes vitale interesser
  • Behandling er nødvendig af hensyn til udførelsen af en opgave, som er i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt
  • Behandling er nødvendig, for at den dataansvarlige kan forfølge en lovlig interesse, med mindre den registreredes interesser går forud

5. Samtykke

Et samtykke er betinget af følgende:
  • Den dataansvarlige skal kunne påvise, at der er givet samtykke fx skriftligt eller ved afkrydsning i et felt eller på anden teknisk måde, og at det er frivilligt, specifikt og informeret
  • En anmodning om skriftligt samtykke skal klart kunne skelnes fra andre forhold, være i letforståelig og lettilgængelig form og i klart og enkelt sprog for at være bindende
  • Et samtykke kan til enhver tid tilbagekaldes, og der skal gives oplysning herom, inden samtykke gives
  • Det skal være lige så let at tilbagekalde et samtykke som at give dette
  • Opfyldelse af en kontrakt må ikke være betinget af samtykke til behandling af persondata, der ikke er nødvendig for opfyldelsen af kontrakten.

6. Dataansvarlig

Den dataansvarlige er en fysisk eller juridisk person, der indsamler persondata, typisk kapitalselskabet eller ejeren af en personligt ejet virksomhed. 

Den dataansvarlige skal:

  • Gennemføre passende tekniske og organisatoriske foranstaltninger
  • Implementere passende databeskyttelsespolitikker
  • Overholde godkendt adfærdskodekser eller certificeringsordninger
  • Være i stand til at påvise overholdelsen af den dataansvarliges forpligtelser efter persondataforordningen

Passende tekniske og organisatoriske foranstaltninger omfatter fx standardindstillinger der sikrer, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, indsamles og behandles. Forpligtelsen gælder mængden af personoplysninger, der indsamles, omfanget af behandlingen, opbevaringsperioden og personoplysningernes tilgængelighed. 

Det skal sikres, at personoplysninger ikke stilles til rådighed for et ubegrænset antal fysiske personer automatisk.

7. Databehandler

En databehandler er den fysiske eller juridiske person, der behandler personoplysningerne på den dataansvarliges vegne. 

Hvis databehandleren er en ekstern part – fx en anden virksomhed – skal der indgås en databehandleraftale mellem den dataansvarlige og databehandleren.

8. Data Protection Officer

Det er ikke nødvendigt at udpege en Data Protection Officer (DPO) i en traditionel el- og vvs-virksomhed, da installatører ikke behandler personoplysninger som hovedaktivitet. Alarmvirksomheder, der behandler videooptagelser eller andre overvågningsdata på vegne af deres kunder, kan dog være nødsaget til at udpege en DPO. 

En DPO er virksomhedens interne medarbejder eller en eksternt antaget, der varetager ansvaret for, at forordningen overholdes i overensstemmelse med virksomhedens interne retningslinjer og kontrolfunktioner. DPO’en skal referere til den øverst ansvarlige i virksomhedens organisation.

9. Personoplysningssikkerhed

Behandlingssikkerhed

Den dataansvarlige og databehandleren skal gennemføre passende foranstaltninger for at sikre et højt sikkerhedsniveau der passer til behandlinger. Det omfatter fx: 
  • Pseudonymisering og kryptering af personoplysninger 
  • Sikring af vedvarende fortrolighed, tilgængelighed og robusthed af systemer
  • Rettidig genopretning af tilgængeligheden og adgangen til peronoplysninger ved hændelser
  • Procedure for regelmæssig test og vurdering af effektiviteten af sikkerhedsforanstaltningerne og at disse opfylder begrebet databeskyttelse gennem design af systemet

Anmeldelse af brud på persondatasikkerheden til datatilsynet

Brud på persondatasikkerheden skal anmeldes til datatilsynet uden unødig forsinkelse, og om muligt senest 72 timer efter at denne er blevet bekendt med bruddet. Der er en række specifikke krav til indholdet af anmeldelsen. 

Anmeldelse er dog ikke nødvendig, hvis det er usandsynligt, at bruddet indebærer en risiko for fysiske personer rettigheder eller frihedsrettigheder

Underretning om brud på datasikkerheden til den registrerede

Hvis et brud på persondatasikkerheden indebærer en høj risiko for den fysiske persons rettigheder eller frihedsrettigheder, skal den dataansvarlige underrette den registrerede uden unødig forsinkelse. 

Underretningen skal beskrive karakteren af bruddet i et klart og forståeligt sprog. 

I nogle tilfælde er der ikke underretningspligt, ligesom datatilsynet kan pålægge den dataansvarlige at underrette registrerede, hvis datatilsynet bedømmer, at bruddet indebærer en høj risiko.

10. Den registreredes rettigheder

Den registreredes rettigheder omfatter især oplysningspligt ved indsamling af personoplysninger, ret til indsigt i registrerede og behandlede personoplysninger, ret til berigtigelse, ret til sletning og ret til indsigelse. 

Den dataansvarlige skal give den registrerede enhver oplysning eller meddelelse i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningerne skal gives inden en måned, og som udgangspunkt kan der ikke beregnes gebyr herfor.

Oplysning om indsamling af personoplysninger

Den dataansvarlige skal give følgende oplysninger til den registrerede ved indsamling af personoplysninger, med mindre den registrerede er bekendt med oplysningerne:

  • Identitet og kontaktoplysninger for den dataansvarlige
  • Formålene med behandlingen og retsgrundlaget for behandlingen
  • De lovlige interesser der forfølges af den dataansvarlige eller en tredjemand
  • Eventuelle modtagere eller kategorier af modtagere af personoplysningerne
  • At den dataansvarlige agter at overføre oplysningerne til tredjemand 
Endvidere skal der gives oplysning om
  • Det tidsrum hvor personoplysningerne vil blive opbevaret
  • Retten til indsigt, berigtigelse, sletning, begrænsning og indsigelse
  • Retten til dataportabilitet
  • Retten til at trække et samtykke tilbage på ethvert tidspunkt
  • Retten til at indgive klage til en tilsynsmyndighed
  • Om meddelelser af peronoplysninger er lovkrav eller kontraktkrav, om der er pligt til afgivelse deraf, og konsekvenserne hvis den registrerede ikke afgiver oplysningerne
  • Forekomsten af automatiske afgørelser, herunder profilering samt de forventede konsekvenser for den registrerede
Hvis personoplysningerne ikke er indsamlet hos den registrerede, skal den dataansvarlige give den registrerede følgende yderligere oplysninger, med mindre den registrerede er bekendt med oplysningerne:
  • De berørte kategorier af personoplysninger
  • De legitime interesser der forfølges ved behandling baseret på afvejningsreglen
  • Hvilken kilde peronoplysningerne hidrører fra

Den registreredes indsigtsret

Den registrerede har ret til bekræftelse på, om personoplysninger behandles og i givet fald til personoplysningerne. Den registrerede kan også anmode om information om:
  • Formålene med behandlingen
  • De berørte kategorier af peronoplysninger
  • De modtagere som personoplysningerne er eller vil blive videregivet til
  • Det påtænkte tidsrum hvor personoplysningerne vil blive opbevaret
  • Retten til berigtigelse, sletning, begrænsning eller indsigelse
  • Retten til at indgive en klage til en tilsynsmyndighed
  • Enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede
  • Forekomsten af automatiske afgørelser, herunder profilering samt de forventede konsekvenser for den registrerede

Retten til berigtigelse af personoplysninger

Den registrerede har ret til at få urigtige, herunder ufuldstændige, personoplysninger om sig selv berigtiget uden unødig forsinkelse.

Retten til sletning af personoplysninger

Den registrerede har ret til at få personoplysninger om sig selv slettet uden unødig forsinkelse hvis:
  • Personoplysningerne ikke længere er nødvendige for at opfylde de formål, de blev indsamlet til eller behandlet
  • Den registrerede trækker sit samtykke tilbage, og der ikke er et andet grundlag for behandlingen
  • Den registrerede gør indsigelse mod behandlingen, og der ikke er lovlige grunde til behandlingen, der går forud for indsigelsen
  • Personoplysningerne er blevet behandlet ulovligt
  • Personoplysningerne skal slettes for at overholde en retlig forpligtelse for den dataansvarlige
  • Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester
Den registrerede har dog ikke ret til sletning af personoplysninger, hvis behandlingen er nødvendig for at udøve retten til ytrings- og informationsfrihed eller for at overholde en retlig forpligtelse.

Retten til begrænsning af personoplysninger

Den registrerede har ret til at kræve, at den dataansvarlige skal begrænse behandlingen af personoplysninger hvis:
  • Rigtigheden af personoplysningerne bestrides af den registrerede
  • Behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet anmoder om, at behandlingen heraf begrænses
  • Den dataansvarlige ikke længere har brug for peronoplysningerne til behandling, men de er nødvendige, for at retskrav kan fastlægges, gøres gældende eller forsvares
  • Den registrerede har gjort indsigelse mod behandlingen i perioden, mens det kontrolleres, om den dataansvarliges lovlige interesser går forud for den registreredes lovlige interesser
Efter begrænsning må sådanne personoplysninger opbevares, men kun behandles med samtykke eller for at fastlæge retskrav

Retten til dataportabilitet

Den registrerede har ret til at transmittere personoplysninger til en anden dataansvarlig, når behandlingen er baseret på den registreredes samtykke eller opfyldelsen af en kontrakt, og behandlingen af personoplysningerne foretages automatisk. Den dataansvarlige må derfor ikke hindre dette, men skal forsyne den registrerede med en kopi af personoplysningerne i et struktureret, almindeligt anvendt og maskinlæsbart format.

Retten til indsigelse og automatiske individuelle afgørelser

Den registrerede har til enhver tid ret til at gøre indsigelse mod behandling af personoplysninger baseret på samfundsinteresser, myndighedsudøvelse eller afvejningsreglen, med mindre den dataansvarlige påviser vægtige lovlige grunde til behandlingen, der går forud for den registreredes interesser med henblik på direkte markedsføring, herunder indsigelse mod profilering. 

Den registrerede har som udgangspunkt ikke pligt til at være genstand for en afgørelse alene baseret på automatisk behandling, herunder profilering, hvis afgørelsen har retsvirkning eller betydeligt påvirker den registrerede.

11. Sådan kommer du i gang

En meget brugt metode til at sikre sig, at persondatareglerne over holdes, er:

a) Skab klarhed over, hvilke data virksomheden har

Personoplysninger skal forstås bredt i form af både oplysninger om fx de ansatte og oplysninger om kunder og leverandører. Oplysningerne kan være eksempelvis logning af nøglebrikker og registrering af brugen heraf, navn og adresse, telefonnummer, e-mailadresse, registrerings- og kontonummer, cpr-nummer, nummerplade på biler, som anvendes af de ansatte, løn-/medarbejdernummer, helbredsoplysninger og mange, mange flere. 

I forbindelse hermed kan man også se på, hvorfra data modtages og i hvilken form.

b) Hvem behandler dataene?

Det kan fx være virksomhedens ejer eller direktør, regnskabsfunktionen, projektledere og overmontører. Det kan også være eksterne databehandlere.

c) Hvad er formålet med behandlingen af dataene?

Det kan fx være lønadministration, kunderegister til salgsaktiviteter og kontaktpersoner i kontrakter.

d) Hvilket grundlag behandles data på?

Det kan fx være efter et lovkrav, som en del af opfyldelsen af en kontrakt eller efter samtykke.
Hvis det er efter samtykke, skal det også tjekkes, om samtykket overholder reglerne.

e) Hvem har adgang til dataene?

Dette spørgsmål angår både, hvilke personer der har adgang til oplysningerne, og hvor og hvordan data opbevares, samt hvem disse er tilgængelige for.

f) Videregives data?

Det kan fx være til en ekstern lønadministrator eller administrationssystem. Er der i givet fald indgået databehandleraftale med den eksterne behandler?

g) Vurdering af om behandlingen af personoplysningerne er lovlig

Når analysen under punkt a-e er gennemført, vurderes det i hvert enkelt tilfælde, om behandlingen af personoplysningerne er lovlig. Hvis den ikke er, skal data enten slettes, eller behandlingen skal gøres lovlig fx ved at indhente samtykke eller få et nyt samtykke, der opfylder reglerne.

h) Hvilke procedurer og systemer anvendes for at opfylde kravet om retten til indsigt og sletning?

Der er en række krav til oplysningspligt ved indsamling, indsigelsesret, berigtigelse og sletning. I den forbindelse ses på, om der gives de nødvendige oplysninger, og hvordan virksomheden og dens systemer understøtter opfyldelsen af forpligtelserne.

i) Retningslinjer og dokumentation

Samtidig med vurderingen af om behandlingen af personoplysningerne er lovlig, kan det være en fordel dels at udarbejde retningslinjer for indsamling, opbevaring, ajourføring og sletning af data, og dels at afslutte arbejdet med en intern dokumentation for at kravene er overholdt.




Senest opdateret 09-10-2017

TEKNIQ er den eneste organisation med klart fokus på teknik-og installationsbranchen. Som medlem får du en lang række fordele, der er tilpasset netop dine behov.