Har du det sorte bælte i GDPR?

Du har allerede opsat en privatlivspolitik på din virksomheds hjemmeside og sørget for at slå den værste tracking fra i diverse plug-ins. Din kode på mailen rummer både små og store bogstaver, og du er overbevist om, at den præinstalleret antivirus på PC’en værner mod ondsindede IT-trusler og ransomware. Der er da slet ikke så svært, det der GDPR. Eller er det?

Virkeligheden forholder sig dog en anelse anderledes og er knap så simpel. GDPR har betydet omfattende omlægninger af arbejdsgange og databehandling for små såvel som store virksomheder. Efter en årrække med krav til GDPR synes det stadigvæk at være en stor udfordring at skabe gennemsigtighed i, hvad GDPR betyder for den enkelte virksomhed.

GDPR handler om mere end at sætte en privatlivspolitik på hjemmesiden. Du kan altså ikke undgå at forholde dig til GDPR, men du kan undgå at fare vild i GDPR-junglen.

Det kan være omfattende at sætte sig ind i reglerne om personoplysninger, men det er nødvendigt og ikke mindst lovpligtigt. Det er altid dit ansvar som virksomhedsejer eller dataansvarlig at have styr på de gældende regler, lovgivningen på området og sikkerhedsforanstaltninger, som skal være i overensstemmelse med GDPR.

Læs med og få et overskueligt og hurtigt indblik i GDPR og håndtering af personoplysninger.

Hvad er GDPR?

GDPR, også kaldet persondataforordning eller databeskyttelsesforordning, er en lov vedtaget af EU. GDPR står for General Data Protection Regulation. Loven har til formål at beskytte og sikre personoplysninger.

Danmark, herunder danske virksomheder, er indbefattede af persondataforordningen, og dermed forpligtet til at overholde de gældende regler. Det betyder, at virksomheder skal have styr på, hvordan de behandler og opbevarer data om personer.

Definition af personoplysninger

For at kunne vide, hvordan din virksomhed skal håndtere personoplysninger, så er det afgørende, at du har det fulde overblik over hvilke personoplysninger, som du har at gøre med. Men hvordan defineres personoplysninger egentlig?

Hvis en virksomhed kan identificere en person ud fra en eller flere informationer, så er der tale om personoplysninger. Relaterede informationer, som er tilknyttede personer, betegnes også som personoplysninger. Det er oplysninger, som skal beskyttes og behandles korrekt med tilladelse.

Almindelige og følsomme personoplysninger

Det stiller krav til din virksomhed at behandle personoplysninger. Det er ikke tilladt at foretage denne handling uden samtykke fra personen, som skal afgive sine oplysninger. Virksomheder skal derfor være bevidste om hvilke personoplysninger, som de behandler, og hvordan disse oplysninger anvendes.

Personoplysninger kan opdeles i almindelige og følsomme oplysninger.

Eksempler på almindelige oplysninger:

  • Navn
  • Adresse
  • Økonomi
  • Skat
  • Gæld
  • Bolig
  • Bil
  • Arbejdsområde
  • CV

Eksempler på følsomme oplysninger:

  • Politisk overbevisning
  • Race og etnisk oprindelse
  • Helbred
  • Seksuel orientering
  • Religion
  • Genetik
  • Fagforeningstilknytning

Der sker en opdeling, fordi behandlingen af henholdsvis almindelige og følsomme personoplysninger, vil være forskellig. Bemærk, at der også er personoplysninger som kategoriseres som strafbare forhold. Du kan læse mere om de forskellige behandlingsformer og finde flere informationer om strafbare forhold her.

Behandling af personoplysninger

Et er at identificere hvilke personoplysninger, virksomheden har at gøre med, noget andet er behandlingen af informationerne. Hvornår må en virksomhed indsamle, registrere og anvende disse personoplysninger eller med andre ord behandle dem?

Det sker først og fremmest ved at have indhentet samtykke med personen, der besidder oplysningerne, og som virksomheden ønsker at behandle.

Samtykke

Det er som udgangspunkt muligt at foretage en behandling af persondata, hvis der er afgivet samtykke til det.

Det betyder blandt andet, at samtykket skal være frivilligt, informeret og specifikt. Personen, som afgiver samtykke til behandling af personoplysninger, må ikke få negative konsekvenser som følge af samtykket.

Virksomheder skal være opmærksomme på, at personen altid kan trække sit samtykke tilbage, hvis det ønskes.

Virksomheders forpligtelser

En virksomhed og den dataansvarlige er forpligtede til at overholde regler, der har til formål at beskytte personers oplysninger.

Det betyder blandet andet, at virksomheder skal sikre, at følgende opfyldes:

  • Har tilladelse til behandling af personoplysninger
  • Efterlever regler om den registreredes rettigheder
  • Indberetter eventuelle brud
  • Fører en fortegnelse over behandlingsaktiviteter

Principper indenfor persondataforordningen

I henhold til persondataforordningen er der følgende principper, som virksomheder og dataansvarlige skal overholde:

Formålsbegrænsning: Det skal stå klart, hvad formålet er med behandlingen af personoplysningerne.

Dataminimering: Indsaml relevante informationer om personen til det specifikke formål, altså ikke mere end nødvendigt.

Lovlighed, rimelighed og gennemsigtighed: Det skal være lovligt at behandle oplysningerne. Desuden skal det være gennemsigtigt, hvordan oplysningerne behandles.

Rigtighed: Personoplysninger, som behandles, skal være rigtige. Hvis ikke det er tilfældet, skal de slettes.

Integritet og fortrolighed: Ingen uvedkommende må få kendskab til personoplysningerne, ej heller må de beskadiges eller tabes.

Opbevaringsbegrænsning: Når det ikke længere er nødvendigt at behandle oplysninger på personer, skal de anonymiseres eller slettes.

Afsluttende ord om GDPR

Bemærk, at denne artikel ikke dækker alle aspekter af GDPR. Det er komplekst og reglerne og lovkravene kan ændre sig over tid. Du kan med fordel læse yderligere op på GDPR og altid sørge for at holde dig ajour om reglerne på andre relevante sider.