Persondata: Sådan kommer din virksomhed i gang
Fra den 25. maj 2018 skal alle virksomheder være klar til at overholde en række nye krav i EUs persondataforordning. Her er en kort guide fra ADVODAN, der kan hjælpe din virksomhed i gang med det vigtige arbejde.
Reglerne om håndtering af persondata er relevante for alle virksomheder, uanset hvilke typer af personoplysninger virksomheden håndterer. Reglerne gælder derfor også for en virksomheds behandling af almindelige personoplysninger om medarbejdere og kunder, forklarer advokat og specialist i persondata Karina Lind Bertelsen fra ADVODAN Glostrup.
To typer persondata
Overordnet skelnes der mellem to typer af persondata: Følsomme personoplysninger og almindelige personoplysninger. Alle former for følsomme oplysninger er nævnt i forordningen og omfatter eksempelvis oplysninger om religion, race, politisk tilhørsforhold, helbred mv.
Almindelige personoplysninger spænder bredt over helt almindelige kontaktoplysninger som eksempelvis navn, adresse, telefonnummer mv. til oplysninger om private forhold, fx gældsforhold og lignende.
”Uanset om din virksomhed behandler den ene eller den anden slags personoplysninger, så skal I overholde en række grundlæggende regler i persondataforordningen. Eksempelvis skal I nu overveje jeres formål med behandlingen af personoplysninger, ligesom I også skal tage stilling til, hvor længe oplysningerne skal opbevares. Hvad angår følsomme personoplysninger, gælder der endnu strengere krav til jeres håndtering og opbevaring af oplysningerne,” påpeger Karina Lind Bertelsen.
Nye krav i persondataforordningen
Udover krav om formål og periode for opbevaring af persondata indfører Persondataforordningen en række øvrige nye og skærpede krav til virksomheders håndtering og opbevaring af persondata. Fx:
- Udvidelse af de oplysninger, der skal gives til personer, virksomheden behandler oplysninger om
- Nye dokumentationskrav for, at virksomheden overholder reglerne
- Skrappere krav til databehandleraftaler med leverandører mv.
Som virksomhed skal I derfor have 100 procent styr på jeres interne processer med håndtering af persondata, herunder interne retningslinjer og procedurer, som skal foreligge skriftligt og kunne dokumenteres over for Datatilsynet. Hvis I overtræder reglerne, risikerer virksomheden store bøder på op til 4 procent af den årlige (koncern)omsætning.
Fakta: Sådan kommer din virksomhed i gang
Både små og store virksomheder er forpligtede til at overholde de nye regler. Her er et bud på en handlingsplan, der kan hjælpe din virksomhed i gang med det vigtige arbejde:
- Udpeg relevante nøglepersoner som tovholdere
- Afsæt tid og økonomi til arbejdet
- Få kortlagt persondata i virksomheden, herunder overblik over:
* Hvilke typer personoplysninger behandles?
* Hvilke personer behandles der oplysninger om?
* Hvad er formålet med behandlingen?
* Er der samtykke eller andet lovligt grundlag for behandlingen?
* Hvor opbevares personoplysningerne?
* Deles personoplysninger med tredjemand?
* Hvor længe gemmes de forskellige typer personoplysninger?
- Få skriftlige databehandleraftaler på plads. Fx med leverandører af lønsystem, it eller lign.
- Få udarbejdet persondatapolitikker for relevante funktioner, fx personaleadministration, salg/marketing mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav
- Få gennemgået virksomhedens it-sikkerhed og få implementeret de nødvendige tekniske foranstaltninger
Implementér organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata på vegne af virksomheden
- Få udviklet processer, der sikrer, at de berørte personers (medarbejdere, kunder mv.) rettigheder bliver overholdt. Fx oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke
- Få udarbejdet en procedure og et beredskab til håndtering af databrud
Ifølge Karina Lind Bertelsen er det nu, man som virksomhed skal tage fat på arbejdet.
”Start med at kortlægge jeres data og find ud af, hvad jeres behov er. Herefter kan I – eventuelt sammen med en advokat – lave en handlingsplan, hvor I tager fat på de forskellige opgaver i prioriteret rækkefølge. På den måde får I skabt overblik og kan komme godt i gang uden at drukne i opgaverne.”
