Persondata

Alle virksomheder skal forholde sig til persondata. Nye regler træder i kraft på området 25. maj 2018. Vi giver et kort overblik over, hvad du som mindre virksomhed skal lave.

Forskel på virksomheder

Nogle virksomheder registrerer masser af data. Det kan fx være Facebook, udlejningsvirksomheder, advokater, revisorer, bogholdere, banker mv. Og andre virksomheder er ikke i besiddelse af data, fx en bager hvor kunderne kommer ind fra gaden, og man aldrig hører deres navn eller andet. De to typer virksomheder skal reagere helt forskelligt på kravene til persondata, som skal tilpasses den enkeltes forhold. Vi tager udgangspunkt i en mindre virksomhed, som indsamler data om både kunder og medarbejdere:

Persondatapolitik

Alle virksomheder som behandler persondata, skal have en politik for, hvordan de behandler persondata. Den kan fx omfatte sikringspolitik, slettepolitik, hvordan man sikrer den registreredes rettigheder, hvordan man orienterer datatilsynet ved brud på sikkerheden osv.

Fortegnelse

Stort set alle virksomheder skal have en fortegnelse over de databehandlinger der sker i virksomheden. Denne kaldes en databehandlingsfortegnelse. Der findes mange leverandører af systemer som tilbyder dette, og den kan også laves i regneark eller tekstbehandling eller andet. Fortegnelse skal indeholde navn på og kontaktoplysninger for den dataansvarlige, formålene med behandlingen, beskrivelse af kategorierne af registrerede personer, og kategorierne af personoplysninger, kategorier af modtagere som personoplysningerne bliver videregivet til, angivelse af overførselssted hvis data videregives udenfor EU, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger og en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.

Databehandleraftale

Der skal være skriftlige (kan herunder være elektroniske) aftaler, med de virksomheder som behandler personoplysninger på vegne af din virksomhed. Det kunne fx være Economic eller Dataløn.

Risikovurdering

Der skal være en vurdering af risikoen ifm. persondata. Hvis der høj risiko ifm. behandlingsaktiviteterne, skal der være handlingsplaner på området.

Samtykke

Der skal være en række samtykker, hvor den registrerede (fx en kunde eller medarbejder), giver lov til at data indsamles og behandles. Det gælder fx samtykke til nyhedsbreve, lov til at bruge medarbejderbillede på hjemmesiden eller virksomhedens LinkedInprofil, lov til at indsamle oplysninger om straffeforhold ved ansættelse, osv.

Oplysning

Der skal ske oplysning til fx medarbejdere om indsamling og behandling af data, fx sporing via GPS i virksomhedens biler, emailsystemer ved fratrædelse, medarbejderens rettigheder mv.

Privatlivspolitik/cookiepolitik

Hvis din virksomhed har en hjemmeside der anvender cookies, eller som behandler persondata via hjemmesiden (fx kunden skal indtaste sine personoplysninger), skal der være en privatlivspolitik/cookiepolitik som redegør for behandlingen, den registreredes rettigheder osv. Denne kan typisk ligge på hjemmesiden.

Afslutning

Alt dette virker overvældende, især hvis man er en mindre virksomhed. Det skal principielt være på plads den 25. maj 2018, og der er givet mulighed for større bøder, hvis reglerne ikke overholdes.

Kontakt os, hvis du vil høre mere.

Kurt Lægård og Jørn Møller Christoffersen, Tlf. 3525 6220

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *