RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM … · 2016-11-10 · 4 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Når en kunde eksempelvis foretager

DANSK ERHVERV ERHVERVSJURA

RETNINGSLINJER FOR

OVERHOLDELSE AF REGLER OM

PERSONDATABESKYTTELSE

fremtiden starter her...

§

2 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

Introduktion 3

Grundlæggende om persondatabeskyttelse 3

Hvad gælder for køb, salg og videregivelse af personoplysninger til brug ved markedsføring? 12

Virksomhedens loyalitets- og bonusklubber 12

Hvordan skal du beskytte personoplysninger? 13

Hvilke krav gælder for virksomhedens risikovurdering og sikkerhedspolitik 15

Hvad gælder når du anvender Cookies? 15

Hvornår må du foretage tv-overvågning? 16

Fremtidsperspektiver og hvordan du får styr på persondata compliance 18

Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 3

INTRODUKTION

Indsamling og behandling af personoplysninger er en integreret del af driften af en moderne virk-somhed og er i stigende omfang også et egentlig forretningsområde. Indsamling og behandling af personoplysninger er underlagt de persondataretlige regler og overtrædelse af disse kan i fremtiden medføre væsentlige bøder.

Det er dog ikke altid let at navigere i de reglerne, og opgaven kan forekomme uoverstigelig.

Dansk Erhverv har udarbejdet denne pjece for at give dig et kort overblik over de regler, der gælder for din behandling af personoplysninger, samt de tiltag som du kan tage for at overholde reglerne.

Dansk Erhverv henviser endvidere til PrivacyKompasset, der er udarbejdet af Erhvervsstyrelsen, hvor du også kan finde yderligere vejledning om, hvordan du kan sikre, at din virksomhed overhol-der reglerne på området.

PrivacyKompasset kan findes på privacykompasset.erhvervsstyrelsen.dk.

GRUNDLÆGGENDE OM

PERSONDATABESKYTTELSE

HVAD ER PERSONOPLYSNINGER?

Personoplysninger er enhver form for oplysning, som kan henføres til en person. Det vil sige, at alle oplysninger, der vedrører en identificerbar fysisk person er personoplysninger, eksempelvis oplysningerne om en kunde. Der er stadig tale om personoplysninger selvom det kræver særligt kendskab, adgang og/eller information for at kunne identi-ficere personen, eksempelvis brug af kundenumre i stedet for -navne.

Personligeoplysninger

• Navn og adresse

• Telefonnummer eller e-mailadresse

• Kundenummer eller ordrenummer

• Oplysninger om kundens præferencer – eksempelvis hvilken størrelse tøj

kunden bruger, eller hvilken bil kunden har

• Kundens købshistorik

• Kundens IP-adresse

• Kundens CPR-nummer


Når en kunde eksempelvis foretager et køb via din webshop, eller tilmelder sig et nyhedsbrev, og kundens navn, adresse, kreditkortoplysninger, e-mail adresse, eller hvilke varer kunden har købt, registreres, er der altså tale om personoplysninger, der er omfattet af persondatalovens regler.

CPR-NUMRE

Du må som altovervejende hovedregel kun registrere en kundes CPR-nummer, hvis kunden har gi-vet sit samtykke. Det er eksempelvis ikke lovligt at benytte kundens CPR-nummer som kundenum-mer, med mindre kunden har givet sit samtykke, og der skal samtidig være tungtvejende grunde til, at der ikke kan benyttes en anden form for kundenummer.

Dog er det lovligt at videregive en kundes CPR-nummer uden samtykke, når videregivelsen er et naturligt led i den normale drift af din virksomhed, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af kunden eller kræves af en offentlig myndighed.

Dette betyder eksempelvis, at hvis du leverer hjælpemidler til kunder, der er henvist af deres kom-muner, og du i den forbindelse modtager en kundes CPR-nummer, vil du skulle have kundens

FIGUR 1.: PERSONOPLYSNINGER KAN OPDELES I FIRE KATEGORIER AF OPLYSNINGER:

PERSONOPLYSNINGER

ALMINDELIGE PERSONOPLYSNINGER

SEMI-FØLSOMME PERSONOPLYSNINGER

FØLSOMME PERSONOPLYSNINGER

CPR-NUMRE

• Oplysninger der ikke har følsom karakter.

• Navn, adresse, telefonnummer, e-mailadresse eller oplysninger om køb af varer eller ydelser (købshistorik)

• Oplysninger om straf bare forhold, væsentlige sociale problemer og andre rent private forhold.

• Oplysninger om race, etnicitet, politisk eller fagforeningsmæssigt tilhørsforhold, religiøs eller filosofisk overbevisning.

• Oplysninger, der angiver eller indikerer, at en person har en sygdom (eksempelvis oplysninger om køb af medicin eller hjælpemidler).

• Oplysninger, der angiver eller indikerer en persons religiøse overbevisning (eksempelvis at en person ønsker kosher mad).

• Brug af CPR-numre er særligt reguleret i persondataloven.

• Persondatalovens regler om CPR-numre gælder alene, hvis det fulde CPR-nummer registreres. Hvis det alene er de fire første cifre i kundens CPR-nummer, der registreres, er der tale om almindelige personoplysninger.


FIGUR 2.: PERSONDATALOVEN GÆLDER ALTID HVIS ALLE KRAVENE NEDENFOR ER OPFYLDT:

DIN VIRKSOMHED ER ETABLERET I DANMARK

DE PERSONOPLYSNINGER, DU INDSAMLER OG BEHANDLER ER ELEKTRONISKE ELLER EN DEL AF ET REGISTER

INDSAMLINGEN OG BEHANDLINGEN AF PERSONOPLYSNINGER FINDER STED INDEN FOR EU/EØS OMRÅDET

PERSONDATALOVEN GÆLDER FOR DIN VIRKSOMHED

samtykke til at benytte dette til din egen registrering af kunden. Dog vil du godt kunne videregive CPR-nummeret til kommunen, hvis dette kræves af kommunen. I praksis vil du eksempelvis kunne bede kunden om at give sit samtykke til din registrering af kundens CPR-nummer som en del af en eventuel formular som kunden udfylder med sine oplysninger.

HVORNÅR GÆLDER PERSONDATALOVEN?

Persondataloven gælder altid, hvis alle kravene i figur 2 er opfyldt. Der foretages en behandling af personoplysninger, hver gang oplysningerne håndteres enten manuelt eller elektronisk. Når per-sondataloven taler om behandling skal dette altså forstås bredt. Behandling er ikke betinget af, at du aktivt vælger at anvende, systematisere eller læse personoplysninger

Behandling af personoplysninger

Din virksomhed anses for at behandle personoplysninger, hver gang der indsamles,

opbevares, systematiseres, ændres, tilpasses eller slettes personoplysninger.

Eksempelvis vil det være behandling af personoplysninger, når oplysningerne

lægges ind i virksomhedens it-systemer.

HVORNÅR KAN PERSONOPLYSNINGER BEHANDLES LOVLIGT?

Det er et grundlæggende krav i persondataloven, at personoplysninger altid skal behandles i over-ensstemmelse med god databehandlingsskik. Kravet gælder altid og for al form for behandling af personoplysninger. Eksempelvis gælder kravet også, selvom en person har givet sit samtykke til behandlingen af personoplysninger.

Ligesom ”god markedsføringsskik” er begrebet ”god databehandlingsskik” en dynamisk størrelse og det er derfor en god ide, at undergive din virksomheds persondatapolitik et juridisk tjek med jævne mellemrum.


God behandlingsskik betyder at personoplysninger behandles i

overensstemmelse med :

tydeligt angivne formål (eksempelvis oprettelse af en brugerprofil), og at senere

behandling af oplysningerne ikke er

uforenligt med det oplyste formål.

At der ikke må indsamles flere oplysninger end hvad der er nødvendigt og relevant

(eksempelvis er CPR-nummer ikke altid relevant).

At behandlingen af oplysningerne tilrettelægges så oplysningerne kan ajourføres,

berigtiges og slettes når behandling af oplysningerne ikke længere er nødvendig.

Hvis du eksempelvis ønsker at etablere en online kundeklub, vil du skulle definere det specifikke formål, hvortil oplysninger om kunder indsamles (eksempelvis oprettelse af profiler og markeds-føring af specifikke tilbud til kunder). Samtidig skal du sikre, at der ikke indsamles oplysninger, der ikke er nødvendige for at opfylde disse formål. Det vil eksempelvis være relevant at indsamle oplysninger om kundens præferencer i forbindelse med, at kunden handler på din webshop. Deri-mod vil det kun sjældent være relevant at indsamle oplysninger om kundernes privatøkonomi eller civilstand.

Du må kun behandle personoplysninger, hvis der er bemyndigelse til det.

Der er bemyndigelse til behandling af almindelige personoplysninger,

hvis et af følgendekrav er opfyldt:

• Kunden har givet sit udtrykkelige samtykke

• Behandlingen sker for at opfylde en aftale med den registrerede

(det er eksempelvis nødvendigt for en webshop at kende kundens navn og

adresse for at kunne sende varen).

• Behandlingen finder sted for at opfylde en retlig forpligtelse for din virksomhed

(eksempelvis bogføring).

• Behandlingen er nødvendig for, at din virksomhed kan forfølge en berettiget

interesse, og at hensynet til den kunde, hvis oplysninger behandles, ikke

overstiger denne interesse.

Eksempelvis vil din virksomhed kunne have en berettiget interesse i at behandle

oplysninger om kunders adfærd, når kunderne besøger din webshop for at

forbedre funktionalitet og brugeroplevelse. Denne interesse vil som hovedregel

overstige hensynet til kunderne. Omvendt vil hensynet til kunden overstige din

interesse i at offentliggøre kundernes navne og information om kundens køb i

din webshop.


HVAD ER ET GYLDIGT SAMTYKKE?

Hvis din behandling af personoplysninger er baseret på et samtykke fra den person som oplysnin-gerne vedrører, skal du sikre, at samtykket er frivilligt, specifikt og informeret.

Det betyder, at den person, der afgiver samtykket, skal være i stand til at gennemskue (og forstå) omfanget og konsekvenserne af samtykket.

Eksempel på et samtykke, der ikke er tilstrækkeligt præcist: ”Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger i for-bindelse med aktiviteter vedrørende salg og markedsføring. Virksomhed A/S er endvidere beret-tiget til at videregive mine oplysninger til Virksomhed A/S’ leverandører og samarbejdspartnere til brug for tilsvarende formål”.

Eksempel på et samtykke, der er tilstrækkeligt præcist:”Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger til brug for administrationen af min profil på Virksomhed A/S’ online kundeklub. I det omfang jeg eksplicit har accepteret dette, er Virksomhed A/S endvidere berettiget til at benytte mine oplysninger i forbindelse med fremsendelse af særlige tilbud og events”.

Behandling af følsomme og semi-følsomme oplysninger

Følsomme og semi-følsomme oplysninger må som udgangspunkt alene

behandles af din virksomhed, hvis kunden giver udtrykkeligt samtykke eller

oplysninerne er gjort offentlige af kunden selv.

Oplysninger om fagforeningsmæssigt tilhørsforhold (følsom oplysning)

kan godt behandles, hvis det er nødvendigt for at overholde din virksomheds

arbejdsretlige forpligtelser eller specifikke rettigheder.

Samtykke kan altid tilbagekaldes

Adgangen til at tilbagekalde et samtykke skal være let og umiddelbar. Dette krav vil

eksempelvis kunne opfyldes ved at angive følgende i forbindelse med, at kunden

afgiver sit samtykke. Eks.:

”Du kan til enhver tid tilbagekalde dit samtykke ved at kontakte os på

[email protected] eller telefonnummer +45 12345678. Hvis du

vælger at tilbagekalde dit samtykke vil dette eventuelt kunne medføre, at du

ikke længere kan anvende vores kundeklub.”

HVAD ER DEN REGISTREREDES/KUNDENS RETTIGHEDER?

Som kunde har man en række rettigheder:• Man har ret til at blive oplyst om, at ens personoplysninger behandles.• Man har ret til løbende at få indsigt i, hvordan ens personoplysninger behandles• Man har ret til at klage over, at ens personoplysninger behandles.

Du er derfor ansvarlig for at sikre, at disse rettigheder overholdes. Rettighederne gælder i relation til alle former for indsamling og behandling af personoplysninger.


RETTEN TIL AT BLIVE OPLYST

Retten til at blive oplyst om behandlingen af personoplysninger betyder, at du skal oplyse om følgende, når du indsamler personoplysninger:• Din virksomheds identitet (dvs. din virksomheds CVR-nummer, adresse og øvrige kontaktoplysninger).• Formålene med indsamlingen og behandlingen af personoplysningerne.• Reglerne om indsigt i og om berigtigelse af personoplysningerne.• Hvilken type oplysninger der indsamles, og hvem der modtager oplysningerne.

Denne oplysningspligt gælder også selvom det ikke er nødvendigt at indhente kundens samtykke. Eksempelvis kan oplysningerne gives til kunder via din virksomheds persondatapolitik eller i for-bindelse med, at kunden selv angiver oplysningerne (eksempelvis hvor kunden indtaster oplysnin-gerne online).

Desuden skal du oplyse om alle yderligere oplysninger, der konkret er nødvendige for, at kunden kan varetage sine interesser. Det omfatter eksempelvis oplysninger om, hvilke konsekvenser det vil have, hvis kunden ikke afgiver de efterspurgte personoplysninger (eksempelvis at det begrænser muligheden for at gøre brug af tjenester eller købe produkter).

RETTEN TIL INDSIGT

Foruden de oplysninger, som du skal oplyse kunden om i forbindelse med indsamlingen af op-lysninger om kunden, er kunden også berettiget til løbende at få indsigt i, hvilke oplysninger du behandler om kunden

Retten til at få indsigt i behandlingen af personoplysninger betyder, at du på anmodning skal oplyse en kunde om:• Hvilke oplysninger der behandles?• Hvad formålet er med behandlingen?• Hvem der får adgang til de indsamlede oplysninger?• Information om, hvor personoplysningerne stammer fra.

Hvis en person retter henvendelse til din virksomhed og anmoder om indsigt, skal du besvare an-modningen inden for 4 uger efter modtagelse.

Hvis det ikke er muligt, skal du inden for 4 uger underrette den pågældende om grunden hertil, samt om, hvornår den endelige besvarelse kan forventes at foreligge.

Ved omfattende anmodninger kan du undersøge muligheden for at opkræve et mindre gebyr for en skriftlig besvarelse.

RETTEN TIL INDSIGELSER

En kunde kan til enhver tid over for din virksomhed gøre indsigelse mod, at oplysninger om ved-kommende behandles. Hvis indsigelsen er berettiget, er du forpligtet til ikke længere at behandle de pågældende oplysninger.

Anmodning om indsigt

Har du besvaret en anmodning om indsigt, har kunden ikke krav på indsigt før efter 6

måneder, medmindre personen godtgør en særlig interesse heri.


HVAD GÆLDER NÅR DU OVERFØRER PERSONOPLYSNINGER UDEN FOR EU/EØS

Persondatalovgivningen i EU er baseret på et EU Direktiv. Det betyder, at alle medlemsstater, samt EØS landende, har det samme grundlæggende niveau for beskyttelse af personoplysninger. Derfor gælder der også et princip om, at personoplysninger frit kan overføres til andre lande inden for EU/EØS området.

Lande uden for EU/EØS området betragtes som ikke-sikre tredjelande og personoplysninger kan derfor, som udgangspunkt, ikke overføres til disse lande. Der er dog alligevel en række muligheder for at overføre personoplysninger til sådanne tredjelande.

Når du overvejer at overføre personoplysninger til et land uden for EU/EØS området, er det vigtigt at være opmærksom på, at både faktisk og potentiel overførsel af personoplysninger betragtes som overførsel. Det betyder eksempelvis, at der vil være tale om overførsel af personoplysninger, hvis en it-leverandør i et tredjeland har fjernadgang til personoplysninger i et it-system i Danmark. Det er uanset om it-leverandøren ikke faktisk tilgår personoplysningerne.

SAMTYKKE TIL OVERFØRSEL

Persondataloven opstiller en række undtagelser til hovedreglen om, at du ikke kan overføre person-oplysninger til tredjelande, som gør, at du kan overføre personoplysninger til lande uden for EU/EØS området. Den, i praksis, mest relevante undtagelse er situationen, hvor der er givet samtykke til overførslen.

Hvis overførslen af personoplysninger sker løbende, eksempelvis i forbindelse med din brug af et HR system, vil overførslen som udgangspunkt ikke kunne baseres på et samtykke. Grunden til dette er, at du som udgangspunkt ikke kan forvente, at den person hvis oplysninger behandles kan over-skue konsekvenserne af et samtykke til løbende overførsel. Du vil derfor skulle sikre dig et andet grundlag for overførslen – typisk ved indgåelse af Kommissionens Standardkontrakter.

KOMMISSIONENS STANDARDKONTRAKTER

Kommissionens Standardkontrakter er en standardaftale, der kan indgås mellem en virksomhed beliggende inden for EU/EØS området og en virksomhed beliggende i et tredjeland. Ved at indgå standardkontrakten påtager den virksomhed, der er beliggende i et tredjeland, at beskytte oplys-ningerne som de ville være beskyttet inden for EU/EØS.

Hvis en virksomhed beliggende inden for EU/EØS området og en virksomhed beliggende i et tred-jeland har indgået en dataoverførselsaftale baseret på standardkontrakt, kan EU/EØS-virksomhe-den lovligt overføre personoplysninger til virksomheden i tredjelandet, uden at indhente samtykke til overførelsen hos de enkelte persondatasubjekter. Hvis der er tale om følsomme personoplysnin-ger, vil du dog skulle informere de berørte kunder om overførslen.

Kommissionens Standardkontrakter

Der findes grundlæggende to typer kontrakter. Den ene version er bestemt til

overførsel af personoplysninger fra en EU/EØS-virksomhed til en virksomhed i et

tredjeland, med henblik på denne virksomheds behandling af personoplysninger på

vegne af EU/EØS-virksomhed (dataansvarlig til databehandler).

Den anden version er bestemt til overførsel af personoplysninger fra en EU/EØS-

virksomhed til en virksomhed i et tredjeland med henblik på denne virksomheds

selvstændige brug af personoplysninger (dataansvarlig til dataansvarlig).


Hvis overførsel af personoplysninger er baseret på indgåelse af en dataoverførselsaftale, som er baseret på en standardkontrakt uden ændringer, er det ikke nødvendigt at få Datatilsynets godken-delse for at overførslen er lovlig.

Standardkontrakter skal indgås direkte mellem din virksomhed og den virksomhed, der behandler eller får adgang til personoplysninger uden for EU/EØS. Hvis du eksempelvis har en aftale med en dansk it-leverandør, der benytter en indisk underleverandør til behandling af personoplysnin-ger, skal du altså indgå standardkontrakten direkte med den indiske underleverandør. Du kan ikke indgå en standardkontrakt direkte med en it-leverandør, der er beliggende inden for EU/EØS. Standardkontrakterne dækker alene overførsel af personoplysninger til leverandører eller underle-verandører, der er beliggende uden for EU/EØS og som derfor ikke er underlagt EU’s databeskyt-telsesregler. Du kan med fordel kræve, at din it-leverandør udarbejder og indhenter underskrift på standardkontrakterne.

Standardkontrakten kan også anvendes, hvis du overfører personoplysninger til selskaber inden for din koncern, der er beliggende uden for EU/EØS. Ek-sempelvis vil standardkontrakten kunne anvendes, hvis du overfører HR-oplysninger til dit moderselskab i USA, i forbindelse med, at du anvender moderselskabets centrale HR-system.

BINDENDE VIRKSOMHEDSREGLER

Bindende virksomhedsregler (Binding Corporate Rules) er en model, der kan anvendes af større koncerner med henblik på at sikre lovlig overførsel af personoplysninger inden for koncernen til de af koncernens virksomheder, der er beliggende uden for EU/EØS området. For at etablere bin-dende virksomhedsregler, skal du udarbejde et bindende regelsæt for koncernens virksomheder, der skal godkendes af datatilsynene i de EU lande, hvor koncernens virksomheder er beliggende.

Det er normalt en omfattende proces, at etablere bindende virksomhedsregler og du vil som oftest have brug for at kontakte en ekstern rådgiver, der kan hjælpe med processen.

SAFE HARBOR

Safe Harbor-ordningen er i oktober 2015 blevet kendt ugyldig af EU Domstolen i forbindelse med en sag anlagt mod Facebook. Derfor kan danske virksomheder ikke længere basere overførsel af personoplysninger til USA på Safe Harbor-ordningen. Hvis leverandører eller samarbejdspartnere tilbyder dette, som en del af deres vilkår, bør du derfor indgå en standardkontrakt i stedet.

Der er blevet indgået en aftale mellem EU og USA om en ny ordning betegnet EU-US Privacy Shield. Denne ordning forventes at træde i kraft i foråret 2016. Det er i skrivende stund ikke klart, hvordan ordningen kommer til at fungere, men det må forventes, at ordningen i lighed med Safe Harborord-ningen vil gøre det lovligt at overføre personoplysninger til virksomheder i USA, der har tilsluttet sig ordningen.

HVILKE KRAV ER DER TIL INDGÅELSE AF IT-, OUTSOURCING- OG CLOUD-AFTALER?

Der anvendes ofte it-leverandører i forbindelse med din virksomheds daglige drift. Hvis du vælger

Download Kommissionens Standardkontrakter

Kommissionens Standardkontrakter kan hentes gratis via EU Kommissionens

hjemmeside eller via Datatilsynets hjemmeside (datatilsynet.dk).


at lade dele af it-driften outsource, eller anvender du online applikationer/tjenester, vil det ofte også betyde, at personoplysninger behandles af en ekstern it-leverandør. Det kan eksempelvis være ved anvendelse af elektroniske betalingstjenester, mailtjenester, online kundekartoteker, webho-sting eller ved helt eller delvis outsourcing at din virksomheds it-drift.

Du er forpligtet til at sikre, at den behandling af personoplysninger, der foretages af eksterne it-le-verandører, er i overensstemmelse med persondatalovens regler og alene sker under instruks fra din virksomhed. Det betyder i praksis, at der skal indgås en databehandleraftale mellem din virk-somhed og it-leverandøren. Det kan enten ske i form af en selvstændig aftale eller indeholdt som et afsnit i serviceaftalen/leveranceaftalen mellem din virksomhed og it-leverandøren. Bagerst i disse retningslinjer kan du finde et eksempel på, hvilke bestemmelser du kan anvende i aftaler med leve-randører, der behandler personoplysninger på vegne af din virksomhed.

Hvis der anvendes en it-leverandør, som behandler og/eller tilgår personoplysninger fra lande uden for EU/EØS, skal reglerne om afsnit: ”Hvad gælder når du overfører personoplysninger uden for EU/EØS”, ”Samtykke til overførsel” og afsnit ”Kommisionens standartkontrakter” på s.9 følges. Dette er særligt vigtigt at være opmærksom på i forhold til online- og cloud-tjenester, da disse typisk leveres ud af flere globale lokationer. Det vil ofte ikke være muligt, eller vanskeligt, for leverandø-ren at begrænse, hvor oplysningerne er lagret geografisk eller hvorfra oplysningerne tilgås. Dette skyldes, at cloud-tjenester ofte er bygget op omkring et globalt leverancesetup for at optimere og minimere omkostninger. De enkelte servere eller services kan derfor ikke udskilles til mindre lokale enheder, da dette ødelægger selve den forretningsmodel, som systemet er opbygget efter.

Reglsæt ved indgåelse af it-, outsourcing- og cloud-aftaler

Det skal af databehandleraftalen tydeligt fremgå, at it-leverandøren er underlagt

samme regelsæt for behandling af personoplysninger som din virksomhed, og at

it-leverandøren kun foretager behandling af personoplysningerne på instruks fra

din virksomhed.

FIGUR 3.: HVAD SKAL DU VÆRE OPMÆRKSOM PÅ, NÅR DU INDGÅR IT-AFTALER:

Lagres eller behandles der overhovedet personoplysninger i de it-systemer eller cloud tjenester, der hostes, vedligeholdes eller leveres af eksterne it-leverandører?

Er der indgået en databehandlingsaftale eller indeholder aftalen med it-leverandøren bestemmelser, der forpligter it-leverandøren til alene at behandle personoplysninger i henhold til din virksomheds instruks og sikre, at personoplysninger opbevares og behandles sikkert?

Ved du, hvor it-leverandøren og dennes underleverandører opbevarer og tilgår personoplysninger fra?

Hvis personoplysninger opbevares eller tilgås af it-leverandøren fra lande uden for EU/EØS, er der så indgået en dataoverførselsaftale (Kommissionens Standardkontrakt) mellem din virksomhed og it-leverandøren?

Har du mulighed for at kontrollere it-leverandørens behandling af dine personoplysninger(eksempelvis via revision).


HVAD GÆLDER FOR KØB, SALG OG

VIDEREGIVELSE AF PERSONOPLYSNINGER

TIL BRUG VED MARKEDSFØRING?

Du må ikke videregive personoplysninger om en kunde til en anden virksomhed. Heller ikke til brug for markedsføring. Du må heller ikke anvende oplysningerne på vegne af en anden virksomhed til brug for markedsføring af denne virksomheds vare eller ydelser.

Det betyder, at virksomheder ikke må sælge eller videregive personoplysninger om en forbruger til samarbejdspartnere eller associerede virksomheder. Det er kun tilladt, hvis kunden (forbrugeren) har samtykket til, at oplysningerne bliver videregivet. Det gælder også inden for virksomhedens egen koncern. Uden samtykke er det ikke lovligt at dele personoplysninger om en kunde (forbru-ger), der eksempelvis er mobilabonnent hos et selskab, med søsterselskabet, som forhandler inter-netløsninger.

Det er derfor vigtigt, at virksomheden allerede i forbindelse med indsamling af oplysningerne sikrer et samtykke, som dækker din virksomheds behov

1. Er der givet samtykke til markedsføring og givet samtykke til overførslen? - Hvis ja, til markedsføring af hvilke ydelser/produkter?

2. Giver samtykket mulighed for at videregive oplysningerne til en anden erhvervsdrivende? - Giver samtykket mulighed for at videregive oplysningerne til en datter/søsterselskab?

Hvis samtykke ikke allerede er givet, skal du være opmærksom på, at et efterfølgende samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens § 6 (spam reglerne). Det betyder eksempelvis, at du ikke må rette henvendelse til forbrugeren via e-mail for at indhente samtykket.

VIRKSOMHEDENS LOYALITETS-

OG BONUSKLUBBER

Mange virksomheder opretter loyalitets- eller bonusklubber, hvor medlemmer opnår særlige rabat-ter og tilbud. Der indsamles og behandles i den forbindelse oplysninger om kundernes købshistorik, kundeprofil mv. Sådanne oplysninger er personoplysninger, hvis de kan henføres til en specifik kunde.

Dette betyder også, at virksomheden skal informere kunderne om og sikre samtykke til den spe-cifikke behandling af personoplysninger. Hvis oplysningerne skal bruges til markedsføring, skal kravene i ”Hvad er et gyldigt samtykke” s.7 også overholdes.


Hvis virksomheden som en del af loyalitetsklubben foretager markedsføring på vegne af andre virksomheder, eksempelvis i form af tilbud fra disse virksomheder, skal virksomheden opfylde følgende krav:

• Der skal være en naturlig sammenhæng mellem loyalitetsklubben og de ydelser, der markedsføres via loyalitetsklubben.

• Der skal gives præcis information om de andre virksomheder, som virksomheden vil foretage markedsføring på vegne af.

• Virksomheden skal informere om, hvorvidt der senere kan blive tilknyttet yderligere samarbejdspartnere til loyalitetsklubben..• Hvis der kommer nye samarbejdspartnere til, så skal medlemmerne informeres og gives 14 dages frist til at gøre indsigelse.

Det er eksempelvis lovligt at oprette en loyalitets- og bonusklub, hvor oplysninger om kundernes køb registreres og kunderne herefter tilbydes særlige rabatter eller fordelagtige tilbud ud fra kun-dens tidligere køb, når blot kunden har givet sit samtykke og er blevet informeret om behandlingen af kundens personoplysninger. Det er dog vigtigt at bemærke, at kundens samtykke altid er påkrævet.

HVORDAN SKAL DU BESKYTTE

PERSONOPLYSNINGER?

Virksomheder, der behandler personoplysninger, skal ifølge persondataloven træffe fornødne tek-niske og organisatoriske sikkerhedsforanstaltninger for at beskytte de personoplysninger, der behandles af virksomheden. Persondatalovens bestemmelser om sikkerhed er blandt persondata-lovens mest grundlæggende krav.

I praksis er sikkerhed en dynamisk størrelse, der udvikler sig i takt med teknologien og det aktuelle trusselsbillede. De sikkerhedsforanstaltninger der i dag er nødvendige for at sikre en tilstrækkelig sikkerhed, er ikke de samme som de foranstaltninger, der var nødvendige og tilgængelige i går.

Loven foreskriver ikke de specifikke foranstaltninger, der skal træffes og du skal derfor løbende sikre, at din virksomheds beskyttelse af personoplysninger er tilstrækkelig ud fra de konkrete risici forbundet med din virksomheds brug af personoplysninger.

Det er vigtigt, at du gør dig klart, at overholdelse af persondatalovens sikkerhedsregler er en opgave, der involverer hele virksomheden. Selv om mange af de foranstaltninger, der er nødvendige for at sikre tilstrækkelig sikkerhed i praksis, ofte vil være tæt knyttet til din virksomheds it-infrastruktur, er etableringen af fornødne sikkerhedsforanstaltninger ikke blot et anliggende for it-afdelingen. Det kan også betyde ændring af arbejdsgange eller omlægning af administrative opgaver for virk-somhedens øvrige afdelinger.


Ulovlig adgang og

misbrug af data

Tab eller

beskadigelse

af data

Uretmæssig

adgang

til virksomheden.

Overblik over

persondata-

behandling

Processer og

retningslinjer

Undervisning af

medarbejdere

TABEL 1.: HVILKE ELEMENTER BØR INDGÅ I VIRKSOMHEDENS BESKYTTELSE AF PERSON-

OPLYSNINGER?

Tekniske

Fysiske

SIKKERHED EMNER HVAD SKAL DIN VIRKSOMHED GØRE

Du bør sikre, at din virksomheds it-systemer er beskyttet mod

ulovlig indtrængen eller misbrug af personoplysninger. Sikkerhed

der bør overvejes er eksempelvis adgangskontrol (password)

til it-systemer og applikationer (programmer/apps), sikring af

netværk (eksempelvis password til wifi eller intranet, firewall,

intrusion detection), logning af brug af it-systemer og kryptering

af følsomme data.

Du bør sikre, at personoplysninger ikke fortabes, beskadiges eller

ændres utilsigtet. Derfor bør du sikre, at der tages nødvendig

back-up af data.

Tilstrækkelig sikkerhed betyder også, at virksomheden skal sikre

det ydre værn mod ulovlig indtrængen både i virksomheden og i

virksomhedens systemer.

Du skal have overblik over virksomhedens behandling af person-

oplysninger og de funktioner i virksomheden, der behandler

personoplysninger (eksempelvis HR, Salg).

Du bør sikre, at der er klare processer og retningslinjer for,

hvordan din virksomheds enkelte funktioner behandler person-

oplysninger. Eksempelvis bør der være klare retningslinjer for,

hvem der har adgang til kundeoplysninger og hvordan

oplysningerne kan anvendes.

Du bør sikre, at de medarbejdere, der behandler personoplysninger

er uddannet i din virksomheds retningslinjer og ved hvilke regler,

der gælder.

Organisatoriske

Du kan overveje at søge vejledning i en anerkendt sikkerhedsstandard. Som eksempel kan nævnes ISO 27001, der er en generel standard for informationssikkerhed, der kan rekvireres via iso.org.

Det er vigtigt at være opmærksom på, at det altid er dig, der er ansvarlig for, at din virksomhed behandler personoplysninger sikkert. Dette ansvar gælder også selv om din virksomhed benytter en ekstern leverandør (eksempelvis en it-leverandør) til behandlingen. Du skal derfor altid sikre dig, at du er bekendt med de sikkerhedsforanstaltninger, der er implementeret for at beskytte din virksomheds personoplysninger.


HVILKE KRAV GÆLDER FOR VIRKSOMHEDENS

RISIKOVURDERING OG SIKKERHEDSPOLITIK

Virksomhedens sikring af et tilstrækkeligt beskyttelsesniveau bør tage udgangspunkt i en risikovur-dering af virksomhedens datasikkerhed.

Den typiske fremgangsmåde, der anvendes i forbindelse med gennemførelsen af en risikoanalyse, omfatter en overordnet vurdering af de risici, der er forbundet med virksomhedens persondatabe-handling og brug af informationsteknologi.

Et eksempel på en risiko, der bør behandles i en risikoanalyse er risikoen for, at personoplysnin-ger behandles til formål, der ikke er forenelige med det formål, de er indsamlet til (eksempelvis at virksomheden har indsamlet oplysningerne til brug for et log-in, men nu bruges de til at målrette annoncerne på hjemmesiden, hver gang brugeren er logget ind). Ved at afdække denne risiko gennem risikoanalysen, kan du lave en procedure for dokumentation af de formål, som personoplysninger er indsamlet til og sikre, at efterfølgende behandlinger af op-lysningerne ikke er uforenelige med det formål.

Du bør gennemgå risikoanalysen regelmæssigt for at sikre, at din virksomheds foranstaltninger til sikring af sikkerhed, afspejler det aktuelle trusselsbillede.

HVAD GÆLDER NÅR DU ANVENDER

COOKIES?

Cookies er små tekstfiler, der gemmes på brugerens computer, tablet, telefon eller andet it-udstyr, når en bruger besøger en hjemmeside. Cookies gør det muligt at indsamle information om bru-gerens adfærd på hjemmesiden. Det kan være alt fra statistisk data, eller data, der hjælper til at optimere markedsføringen på hjemmesiden, til data der vedrører brugerens sprogpræferencer eller brug af en ”indkøbskurv”. Data indsamlet fra Cookies vil derfor som udgangspunkt være person-oplysninger. Brugen af Cookies reguleres derfor foruden af cookiebekendtgørelsen også af person-dataloven.

Cookies er almindelig anvendt og indgår som en integreret del af de fleste hjemmesideløsninger. Bannerannoncer på hjemmesider vil ofte placere Cookies, ligesom links i form af ”like”-henvisnin-ger til eksempelvis Facebook, Twitter eller Instagram ofte også vil placere en Cookie som en del af linket. Brugeren af en hjemmeside skal acceptere, at der placeres Cookies på brugerens udstyr.

Cookievejledning

Der henvises i øvrigt til Erhvervsstyrelsens cookievejledning, der kan hentes på

Erhvervsstyrelsens hjemmeside: www.erhvervsstyrelsen.dk


HVORNÅR MÅ DU FORETAGE

TV-OVERVÅGNING?

Brug af tv-overvågning er underlagt både TV-overvågningslovens og persondatalovens regler. TV-overvågningsloven opstiller de grundlæggende regler for, hvor en virksomhed lovligt kan fore-tage TV-overvågning. Persondatalovens regler finder anvendelse i forhold til behandlingen af de personoplysninger, der er en følge af TV-overvågningen.

TV-OVERVÅGNINGSLOVEN

Udgangspunktet i TV-overvågningsloven er, at du ikke må foretage TV-overvågning af gade, vej, plads eller lignende område, som benyttes til almindelig færdsel. Derimod kan du lovligt foreta-ge TV-overvågning af din virk-somheds egne lokaler. TV-overvågningsloven opstiller desuden en række undtagelser, hvorefter visse typer af virksomheder lovligt kan foretage TV-overvågning af offentlige områder (eksempelvis butikscentre, hæveautomater mv.).

For at TV-overvågning af steder eller lokaler, hvortil der er almindelig adgang eller af arbejdsplad-ser anses for lovlig, skal du tydeligt skilte med, at der foretages TV-overvågning.

FIGUR 4.: NÅR EN BRUGER AF DIN VIRKSOMHEDS HJEMMESIDE SKAL ACCEPTERE, AT DER

PLACERES COOKIES, SKAL BRUGEREN OPLYSES OM:

Hvilke Cookies der anvendes

Hvem der placerer Cookies (er det kun din virksomhed selv, eller anvendes tredjepart Cookies, som eksempelvis Google Analytics)

Hvor længe er Cookies gemt på brugerens udstyr (en Cookie vil normalt være sat til at have et bestemt udløbstidspunkt)

Hvad formålet med placeringen af Cookien er(eksempelvis, at du bruger Cookies til statistik eller målrettet markedsføring til brugeren)

OPLYSNINGER OM

COOKIES

Brugerens mulighed for ikke at acceptere lagring af Cookies, eller at tilbagekalde sin accept.

FORMÅLTYPE

HVEM BRUGER DEN

AFVISNINGS MULIGHED

UDLØBSDATO


PERSONDATALOVEN OG TV-OVERVÅGNING

De almindelige regler i persondataloven, der er gældende for anden behandling af personoplysnin-ger, gælder tilsvarende for behandlingen af optagelser fra TV-overvågning, hvori der indgår person-oplysninger (eksempelvis optagelser af personer).

Derudover opstiller persondataloven en række begrænsninger i forhold til, hvornår optagelser fra TV-overvågning med henblik på kriminalitetsforebyggelse kan videregives. Med mindre du er for-pligtet til at videregive optagelser i henhold til anden lovgivning, er det således alene lovligt at videregive optagelser, hvis:

(a) den person der optræder på optagelserne har givet sit samtykke til videregivelsen, eller(b) videregivelsen sker til politiet i kriminalitetsopklarende øjemed.

Som udgangspunkt skal du slette optagelser senest 30 dage efter, at optagelserne er foretaget. Dog kan du opbevare optagelser længere, hvis det er nødvendigt for behandlingen af en konkret tvist. I dette tilfælde skal du dog underrette den som tvisten vedrører og på anmodning udlevere en kopi af optagelsen.

Du er som udgangspunkt ikke forpligtet til at anmelde TV-overvågning til Datatilsynet.

OPTAGELSE AF TELEFONSAMTALER

Du kan som udgangspunkt optage telefonsamtaler, der eksempelvis foretages af kundeservice, for-udsat at medarbejderne forinden er informeret herom. Desuden skal de kunder, der ringer til kun-deservice også informeres om, at samtalen optages og optagelse af samtalen er kun lovlig, hvis dette sker til et sagligt formål så som træning og behandling af klager. De kunder der op-tages skal havde de samme oplysninger som de, der fremgår af ”Retten til at blive oplyst” s.8.

I praksis kan oplysningerne eksempelvis gives ved, at der inden samtalen påbegyndes gives en auto-matisk besked om, at samtalen optages og til hvilke formål optagelsen foretages.

BEHANDLING AF MEDARBEJDEROPLYSNINGER

Såvel i forbindelse med selve ansættelsen, som under ansættelsesforholdets beståen, vil der typisk blive indsamlet en række personoplysninger om medarbejderen som eksempelvis navn, adresse, eksamensbevis(er), helbredserklæringer, oplysninger om fagforeningsforhold osv.

Oplysningerne indføres normalt i et personaleregister, der føres enten manuelt eller elektronisk eller som en kombination heraf. Dermed er oplysningerne omfattet af persondatalovens regler.

Det indebærer, at:

(a) du kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål,(b) personoplysningerne skal være relevante og tilstrækkelige og ikke omfatte mere end hvad der kræves til opfyldelse af disse formål, og at (a) personoplysningerne ikke må opbevares i et længere tidsrum end nødvendigt. På Dansk Erhvervs hjemmeside kan du finde uddybende retningslinjer for, hvordan du må indsamle og behandle personoplysninger om dine medarbejdere.


FREMTIDSPERSPEKTIVER OG HVORDAN DU

FÅR STYR PÅ PERSONDATA COMPLIANCE

NY PERSONDATAFORORDNING

I slutningen 2015 blev den endelige tekst til EU’s ny databeskyttelsesforordning vedtaget. Forord-ningen kommer til at betyde en række ændringer af de krav, der stilles til din virksomheds behand-ling af personoplysninger. Den nye persondataforordning træder i kraft i 2018.

De væsentligste nye regler, der har betydning for din virksomhed er:

• Den registreredes rettigheder.

Oplysning: Ved indsamling af personoplysninger skal der oplyses om, hvilket

hjemmelsgrundlag der anvendes, så som opfyldelse af en aftale eller samtykke.

Ret til at blive glemt: Den registrerede får en ret til at blive glemt.

• Risikoanalyse.

Før du behandler personoplysninger skal du foretage en analyse af konsekven-

sen af de påtænkte behandlinger.

• Indarbejde persondatabeskyttelse (Privacy by design and by default).

Når du udvikler nye produkter, ydelser eller forretningsgange skal du tage

persondatabeskyttelse med i dine overvejelser og sikre, at kunder altid som

udgangspunkt beskyttes bedst muligt.

• Rapportering af databrud.

Du vil være forpligtet til at underrette myndigheder og kunder om eventuelle

brud på din virksomheds sikkerhed, hvis kunders personoplysninger er blevet

kompromitterede.

• Dokumentation af compliance.

Du vil skulle dokumentere, hvordan din virksomhed overholder de persondataret-

lige regler og løbende føre en fortegnelse over de kategorier af persondatabe-

handling som foretages af din virksomhed.

• Databeskyttelsesofficer.

Nogle virksomheder vil være forpligtet til at udpege en databeskyttelsesofficer,

der er ansvarlig for virksomhedens behandling af personoplysninger. Som ud-

gangspunkt vil det særligt være virksomheder, der monitorerer personer i stort

omfang eller som behandler mange følsomme personoplysninger, der vil skulle

udpege en databeskyttelsesofficer.


DEN REGISTREREDES RETTIGHEDER

De regler du i fremtiden skal være opmærksom på i forhold til de registreredes rettigheder er i al væsentlighed svarende til de regler, der er gengivet i punkterne af ”Retten til at blive oplyst” og ”Retten til insigelser” s.8.

I fremtiden vil du dog også skulle oplyse dine kunder om, hvilket juridisk grundlag du har baseret indsamlingen og behandlingen af personoplysninger på. I praksis betyder dette, at du eksempelvis vil skulle angive, hvis behandlin-gen af personoplysninger er baseret på kundens samtykke eller er nødvendig for, at du kan opfylde gældende lovgivning (eksempelvis indberetning af skatteoplysnin-ger om medarbejdere).

RISIKOANALYSE, INDARBEJDELSE AF PERSONDATABESKYTTELSE OG DOKUMENTATION AF

COMPLIANCE

Reglerne om risikoanalyse, indarbejdelse af persondatabeskyttelse og dokumentation af compliance betyder grundlæggende, at du i fremtiden vil skulle overveje persondatabeskyttelse i forhold til alle aspekter af din virksomhed, herunder nye produkter og forretningsprocesser.

I praksis vil du skulle vurdere, om der er særlige risici i forhold til den måde, hvorpå din virksomhed behandler og beskytter personoplysninger, hver gang din virksomhed udvikler et nyt produkt eller forretningsproces. Du skal endvidere kunne dokumentere, hvordan din virksomhed behandler per-sonoplysninger, og at du har foretaget en risikovurdering i forhold til de enkelte former for behand-ling. Det er derfor væsentligt, at du fremadrettet husker at overveje persondatabeskyttelse i driften af din virksomhed og dokumenterer, når din virksomhed vælger at behandle personoplysninger.

Desuden vil du løbende skulle føre en oversigt over, hvordan din virksomhed behandler personop-lysninger og hvordan du overholder forordningens regler.

RAPPORTERING AF DATABRUD

Hvis din virksomhed oplever et brud på datasikkerheden, hvor der er risiko for, at personoplysnin-ger er blevet kompromitterede, vil du med indførelsen af de nye regler skulle underrette Datatilsy-net og de personer hvis oplysninger er blevet kompromitterede, om bruddet.

Konkret vil underretningen skulle foretages senest 72 timer efter, at du er blevet bekendt med, at personoplysningerne er blevet kompromitterede, og du vil skulle underrette de berørte personer uden ugrundet ophold.

I praksis vil du derfor med fordel kunne udarbejde en plan for, hvordan din virksomhed skal hånd-tere et brud på din virksomheds datasikkerhed, således at der foreligger klare retningslinjer for hvordan virksomhedens medarbejdere skal agere i situationen.

BØDER FOR OVERTRÆDELSE AF REGLERNE

Med den ny forordning indføres der også væsentligt skærpede bøder for overtrædelse af de person-dataretlige regler, og overtrædelse af reglerne kan derfor i fremtiden have stor økonomisk betyd-ning.


TABEL 2.: HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE

Bøde op til £ 10.000.000

eller 2% af din virksomheds

årlige globase omsætning.

Bøde op til £ 20.000.000

eller 4% af din virksomheds

årlige globale omsætning.

BØDENIVEAU HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE

• Manglende overholdelse af regler vedrørende behandling af

personoplysninger om børn

• Manglende overholdelse af regler om ”privacy by design and by default”

• Manglende samarbejde med databeskyttelsesmyndigheder

• Manglende overholdelse af sikkerhedskrav eller underretning om databrud

• Manglende udarbejdelse af risikoanalyse

• Manglende overholdelse af regler om databeskyttelsesofficer

(Data Protection Officer)

• Behandling af personoplysninger uden behandlingshjemmel

• Manglende overholdelse af reglerne om indsigt eller rettelse af oplysninger

• Ulovlig overførsel af personoplysninger uden for EU/EØS

HVORDAN FÅR DU STYR PÅ COMPLIANCE

At få styr på compliance af personoplysningsreglerne er omfattende og tidskrævende, og det er derfor vigtigt at skabe sig et overblik og gå systematisk til værks.

Det første skridt til at få styr på compliance er at lave en ”data flow mapping” over indsamling af personoplysninger, organisationens struktur, it-systemer og data flows ” (dvs. et landkort over de virksomheder, leverandører systemer og brugere, der har adgang til og behandler personoplysnin-ger).

Ved at udarbejde en oversigt over din virksomheds behandling af personoplysninger, kan du få et overblik over de tiltag, der er nødvendige for, at du kan overholde persondatalovgivningen.

Din virksomhed

Datterselvskaber

Kunder

USA

It-systemer Underleverandør

Kina

It-leverandør

FIGUR 5.: OVERSIGT OVER DIN VIRKSOMHEDS BEHANDLING AF PERSONOPLYSNINGER


Hvis din virksomhed behandler mange personoplysninger, kan det være en god ide at søge rådgiv-ning fra en specialist, der kan hjælpe med at identificere, hvilke tiltag du bør foretage.

Du bør også overveje, hvordan du løbende vil sikre, at du overholder reglerne om persondatabe-skyttelse. Dette vil ofte kræve, at du udarbejder procedurer og politikker for, hvordan din virksom-hed beskytter personoplysninger.

En måde du i praksis kan systematisere, hvordan din virksomhed løbende sikrer personoplysninger er at anvende en risikostyringstilgang. Denne metode betyder, at hver enkelt del af organisationen skal forholde sig til følgende spørgsmål, i forhold til hvordan personoplysninger behandles i din virksomhed:

• Hvilke risici er der ved behandlingen af personoplysnin-gerne og hvad er de mulige konsekvenser• Hvordan kan disse risici overvåges og kontrolleres – hvilke foranstaltninger er nødvendige for at imødegå risici (henset til konsekvenser og sandsynlighed)?• Hvordan kan du løbende evaluere, om foranstaltningerne er effektive og om der er nye risici, der skal tages i betragt-ning?

Det er vigtigt, at din virksomheds bestræbelser på at overholde reglerne om persondatabeskyttelse forankres i hele virksomhedes og ikke kun i it-afdelingen eller i den juridiske afdeling. Beskyttelsen af personoplysninger kræver, at alle dele af organisationen har fokus på opgaven og løbende vur-derer, om den behandling af personoplysninger, der foretages af en del af organisationen udgør en risiko.

HVAD SKAL DU GØRE FREM TIL PERSONDATAFORORDNINGEN TRÆDER I KRAFT?

Du kan med fordel bruge tiden frem til at persondataforordningen træder i kraft til at sikre, at din virksomhed er klar til at overholde reglerne. Dette kan være en omfattende øvelse, men der er en række enkle tiltag du kan igangsætte, med henblik på din virksomheds fremadrettede overholdelse af reglerne. Vi har samlet en tjekliste over tiltag.

FIGUR 6.: UD FRA OVERSIGTEN, BØR DU FOR HVER ENKELT BEHANDLING AF PERSONOP-

LYSNINGER OVERVEJE FØLGENDE:

Har du lov til at behandle personoplysningerne?

Har du styr på sikkerhe-den i forhold til behandlin-gen af personop-lysninger?

Overføres personoplysnin-gerne til lande uden forEU/EØS, og er der indgået dataoverførselsaftale?

Hvilke risici er forbundet med behandlingen?

PERSONOPLYSNING

RISICISAMTYKKE?

SIKKERHED DATAOVERFØRSELS-AFTALER

Skal du have godkendelse fra Datatilsynet?

GODKENDELSE FRA DATATILSYNET

Er der indgået databe-handlingsaftaler med evt. leverandører, der behandler personoplysningerne?

DATABEHANDLINGS-AFTALER


TABEL 3.: TILTAG TIL DIN VIRKSOMHEDS FREMADRETTEDE OVERHOLDELSE AF REGLERNE:

Skab overblik

Tjek at der er

behandlings-

hjemmel

Etabler rutiner

for sletning af

personoplysninger

Etabler politikker

og procedurer

TILTAG HVAD SKAL DU GØRE

· Skab overblik over de personoplysninger, som din virksomhed indsamler og behandler

(data flow mapping).

· Sammen med de medarbejdere, der har indsigt i din virksomheds it-systemer,

forretningsprocesser og HR processer kan du gennemgå din virksomheds enkelte

afdelinger og identificere, hvilke personoplysninger, der indsamles og behandles.

· Du bør som minimum dokumentere, hvilke kategorier af persondatabehandling,

der foretages i din virksomhed. Det bør i den forbindelse dokumenteres hvilke

personoplysninger, der behandles, hvad der er formålet med behandlingen og

hvordan oplysningerne behandles.

· Vurder om du har lov til at behandle personoplysninger.

· For hver indsamling og behandling af personoplysninger, bør du vurdere, om din

virksomhed har lov til at behandle oplysningerne, herunder om du opfylder de krav,

der er angivet under punkt 0. Overvej også om din virksomhed bør anmelde

behandlingen af personoplysninger - eksempelvis din virksomheds HR-

administration.

· Undersøg om du har indgået databehandleraftaler og aftaler om overførsel af

personoplysninger til modtagere uden for EU/EØS med din virksomheds

leverandører, herunder særligt med din virksomheds it-leverandører. Du bør i alle

aftaler som din virksomhed har indgået med leverandører, der har adgang til

personoplysninger have bestemmelser, der opfylder de krav, der fremgår af

” Hvilke krav er der til it-, outsourcing - og colud-aftaler?” s.10. Hvis en leverandør

eller dennes underleverandør er beliggende uden for EU/EØS og har adgang til

personoplysninger, skal du endvidere indgå en dataoverførselsaftale som beskrevet

i afsnit ” Kommissionens standardkontrakter”s.9

· Etabler en persondatapolitik.

· Start arbejdet med at udarbejde retningslinjer for, hvordan din virksomhed behandler

personoplysninger og hvilke sikkerhedsforanstaltninger som din virksomhed

anvender for at beskytte personoplysninger. Samtidig kan du med fordel også

beskrive din virksomheds procedurer i tilfælde af et brud på din virksomheds

datasikkerhed. Hvis din virksomhed ikke har en juridisk afdeling, kan du overveje at

inddrage en ekstern rådgiver.

sven petersen

Erhvervsjuridisk

fagchef

T. 3374 6109

M. 4098 4171

[email protected]

Kontakt Dansk Erhverv

Eksempler på bestemmelser til databehandlingsaftale:

Nedenfor finder du eksempler på bestemmelser, som du kan anvende i forbindelse med, at din virksomhed ind-går aftaler med leverandører (eksempelvis it-leverandører), der vil udføre behandling af personoplysninger på vegne af din virksomhed.

1. Instruks, sikkerhed, opfølgning mv. 1.2 Leverandøren må alene behandle personoplysninger i henhold til Kundens instruks, herunder som led i leveringen af de aftalte Ydelser i henhold til Aftalen. 1.3 Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplySninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. 1.4 Leverandøren skal på Kundens anmodning give Kunden tilstrækkelige oplysninger og dokumentation til, (i) at Kunden kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, (ii) at Kunden kan verificere, at personoplysninger alene behandles af Leverandøren i henhold til Kundens instruks samt (iii) at Kunden kan opfylde sine forpligtelser i henhold til lov om behandling af personoplysninger. 1.5 Leverandøren skal give relevante myndigheder adgang til at foretage inspektion af Leverandørens be hand-ling af personoplysninger og skal, efter anmodning, yde sådanne myndigheder assistance i forbindelse med gennemførelsen af inspektion.1.6 Leverandøren skal straks informere Kunden, såfremt Leverandøren bliver opmærksom på sikkerhedsbrud, herunder at Kundens personoplysninger hændeligt eller ulovligt er tilintetgjort, fortabt, forringet, er kom- met til uvedkommendes kendskab, misbrugt eller i øvrigt behandlet i strid med lov om behandling af per sonoplysninger.1.7 Leverandøren må ikke uden Kundens skriftlige samtykke eksportere personoplysninger til modtagere, herunder underleverandører, der er beliggende i lande uden for EU/EØS-området. Såfremt Kunden samtykker til sådan eksport af personoplysninger skal Leverandøren foranledige, at der indgås dataover førselsaftaler baseret på EU Kommissionens Standardkontraktbestemmelser mellem Kunden og modtagen af personoplys-ningerne uden for EU/EØS-området.

spørgsmål vedrørende den persondataretlige behandling af

medarbejderoplysninger skal stiles til Hotlinen på T. 33746400

martin jørgensen

Advokat,

chefkonsulent

T. 3374 6428

M. 22094 5495

[email protected]

DANSK ERHVERVBØRSEN1217 KØBENHAVN KT. +45 3374 6000F. +45 3374 6080WWW.DANSKERHVERV.DK [email protected]

Dansk Erhverv er erhvervsorganisation og arbejdsgiverforening for fremtidens erhverv.

Vi repræsenterer 17.000 virksomheder og 100 brancheorganisationer inden for handel, rådgivning, oplevelse, transport og service.

§

Documents

RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM … · 2016-11-10 · 4 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Når en kunde eksempelvis foretager