Persondataregler

Har din virksomhed endnu ikke helt styr på persondatareglerne, så læs her, hvordan du håndterer disse.

De nye persondataregler kan være en stor mundfuld for mindre virksomheder. Ikke desto mindre er det lige så vigtigt at få styr på reglerne for mindre virksomheder som for store, da reglerne gælder uanset din virksomheds størrelse.

Det kan virke som en uoverskuelig proces at få styr på implementering af reglerne, men får du et overblik over de vigtigste regler, og hvordan behandlingen foregår i din virksomhed, er du godt på vej. Denne artikel giver et overblik over, hvordan din virksomhed skal håndtere personoplysninger, og hvad du skal være opmærksom på.

Hvilke oplysninger behandler din virksomhed?

Personoplysninger er informationer, som kan henføres til bestemte fysiske personer. Det omfatter således oplysninger som navn, adresse, fødselsdato og andre oplysninger, som kan identificere disse personer. For virksomheder er det vigtigt både at være opmærksom på oplysninger, som behandles om virksomhedens kunder, men også oplysninger, som behandles om virksomhedens ansatte.

Begrebet ”behandling” omfatter enhver form for håndtering af personoplysninger, og din virksomhed behandler derfor oplysninger både når der indsamles oplysninger, men også når disse registreres, opbevares og slettes.

Hvis du ikke har overblik over, hvilke personoplysninger der behandles i din virksomhed, gælder det først og fremmest om at få kortlagt, hvilke oplysninger der behandles, og hvordan disse bruges i virksomheden.

Hvilke regler gælder for din virksomhed?

Det er vigtigt at gøre dig klart, hvilke regler der gælder for behandling af personoplysninger i din virksomhed. Reglerne skelner mellem, om du er dataansvarlig eller databehandler. I de tilfælde, hvor det er din virksomhed, som afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af oplysninger, vil du være dataansvarlig.

Det er først og fremmest vigtigt, at du har en lovlig adgang til at behandle oplysninger. Persondatareglerne giver forskellige grundlag for, hvornår din virksomhed må behandle oplysninger. Dette kan bl.a. være på baggrund af et samtykke fra den registrerede, såfremt behandling er nødvendig for opfyldelse af en kontrakt, som den registrerede er part i eller på baggrund af en legitim interesse. Det er vigtigt, at du har klarlagt, på hvilke grundlag din virksomhed behandler personoplysninger, formålet med behandlingen, og at du er stand til at dokumentere dette.

Persondatareglerne stiller også krav om, at du oplyser de registrerede om, hvad din virksomhed bruger oplysningerne til, hvorfor din virksomhed har lov til at behandle oplysninger, og hvor længe oplysningerne skal gemmes. Du skal på baggrund heraf sørge for at få fastlagt, hvordan disse oplysninger skal gives til de registrerede i forbindelse med indsamlingen.

Mange virksomheder bruger IT-programmer til opbevaring eller registrering af personoplysninger, og har du ikke allerede fået styr på aftaler med din IT-leverandør, er det vigtigt at komme i mål med dette. Persondatareglerne stiller nemlig krav om, at alle virksomheder indgår databehandleraftaler med de IT-leverandører, som behandler oplysninger på vegne af dem. Mange af disse leverandører har udarbejdet databehandleraftaler, og kan ofte være behjælpelige med at få en aftale på plads.

It sikkerhed

En vigtig del af beskyttelsen af personoplysninger handler om behandlingssikkerheden. Dette betyder, at alle virksomheder skal foretage tekniske og organisatoriske sikkerhedsforanstaltninger til sikring af beskyttelsen af personoplysninger. Hvad der ligger i dette, er forskelligt fra virksomhed til virksomhed alt efter hvilke oplysninger virksomheden behandler, og hvordan oplysningerne bruges. Det er dog for alle virksomheder vigtigt, at der tænkes IT-sikkerhed ind i alle processer. Du bør derfor gøre dig overvejelser om, om din virksomheds systemer og procedurer for håndtering af personoplysninger lever op til nutidens krav til persondatasikkerhed. Du bør herudover sørge for at have fastlagt en procedure for, hvordan eventuelle brud på din virksomheds IT-systemer håndteres, da du i visse tilfælde kan være forpligtet til at anmelde sådanne brud på persondatasikkerheden til Datatilsynet. Tag eventuelt en snak med din IT-leverandører, såfremt du er i tvivl om, om din virksomheds IT-sikkerhed er god nok.

Ret til at se egne oplysninger

De personer, som din virksomhed behandler personoplysninger om, har en række rettigheder. Disse rettigheder omfatter bl.a. retten til at få indsigt i, hvilke oplysninger din virksomhed behandler om dem, retten til i visse tilfælde at få slettet personoplysninger og retten til at få urigtige personoplysninger rettet. Du bør derfor gøre dig overvejelser om, hvordan sådanne anmodninger imødekommes.

Sletning

Et af de bærende principper for behandling af personoplysninger er, at disse ikke må behandles længere tid end nødvendigt, dvs. at din virksomhed kun må bruge oplysningerne, så længe der findes et sagligt formål med behandlingen. Dette betyder, at oplysningerne skal slettes, når din virksomhed ikke har et lovligt grundlag for behandlingen, men også når der ikke længere foreligger en legitim interesse i at behandle oplysningerne.

Hvor længe din virksomhed har ret til at opbevare oplysningerne, vil afhænge af, hvor længe der findes et sagligt formål med behandlingen. I nogle tilfælde, som f.eks. efter bogføringsloven, kan din virksomhed dog være forpligtet af anden lovgivning til at opbevare oplysninger i et bestemt tidsrum. Såfremt dette er tilfældet, vil der både være et lovligt grundlag og et sagligt formål med opbevaring af oplysningerne i dette tidsrum.

Dokumentation

Alle virksomheder er forpligtet til at kunne dokumentere, at de overholder persondatareglerne. Hvordan denne dokumentation skal foreligge, er i høj grad op til de enkelte virksomheder, men det er vigtigt, at din virksomhed får udarbejdet materiale, som kan dokumentere implementering af reglerne.

Selv for mindre virksomheder kan der med fordel udarbejdes procedurer for den interne håndtering af personoplysninger, herunder dokumentation for behandlingsgrund, formål med behandlingen, overholdelse af oplysningspligten samt en intern sletteprocedure. Derudover kan det være en god idé i samarbejde med din IT-leverandører at udarbejde en procedure for sikkerhedsbrud og andre relevante IT-procedure.

Virksomheder som beskæftiger under 250 personer, er som udgangspunkt undtaget for kravet om at føre fortegnelse over behandlingsaktiviteterne i virksomheden. Dette gælder dog ikke, såfremt din virksomheds behandling af personoplysninger ikke er lejlighedsvis, og derfor vil mange mindre virksomheder også være forpligtet til at føre en fortegnelse over virksomhedens behandlingsaktiviteter.

Såfremt du har spørgsmål eller brug for hjælp til at sikre dig, at din virksomhed kommer i mål med persondatareglerne, kan du kontakte advokat Flemming Voldby (fv@abel.dk) eller advokatfuldmægtig Anne Buus Christensen (abc@abel.dk).

ABEL & SKOVGÅRD LARSEN
Advokatfirma
Sønder Allé 9
8000 Aarhus C

Tel. +45 89 31 90 00
abel@abel.dk
Linkedin

TILMELD NYHEDSBREV

MEDLEMSKABER

Danske AdvokaterEjendomsforeningen DanmarkForeningen af advokater med ejendomsadministration

© 2019 Abel & Skovgård Larsen