Fra Persondataloven til Databeskyttelsesforordningen (GDPR)

Har jeres virksomhed styr på håndtering af persondata?

Stort set alle virksomheder, der er i kontakt med persondata, er underlagt lovgivningen, hvad omhandler Databeskyttelsesloven, der tidligere er kendt som Persondataloven. Derfor er det utroligt vigtigt for virksomheder at have styr på kravene til håndtering af persondata i henhold til GDPR.

Nedenunder kan du læse om EU’s og Danmarks lovgivning vedrørende persondata, herunder de gældende GDPR regler, og få praktiske tips til, hvordan persondata kan håndteres.

  • Persondataloven, Persondataforordningen og Databeskyttelsesloven – hvad er forskellen?
  • Hvilke virksomheder er omfattet af Persondataforordningen?
  • Hvad er en dataansvarlig og en databehandler?
  • Hvad er en DPO (Data Protection Officer)?
  • Sådan lever du op til Databeskyttelsesloven (GDPR loven)
  • Opbevaring af persondata - hvornår og hvor længe?
  • Privatpersoners rettigheder
  • Løbende kontrol og princippet om rigtighed
gdpr image 1

Persondataloven, Persondataforordningen og Databeskyttelsesloven - hvad er forskellen?

Det kan være svært at finde rundt i alle de forskellige navne på lovgivning om persondata.

Faktisk er Databeskyttelsesforordningen, Persondataforordningen og GDPR (General Data Protection Regulation) alle udtryk for den selvsamme forordning, som er udstedt af EU. Den trådte i kraft i 2018, hvorefter hvert medlemsland skulle implementere den i sin egen lovgivning. Denne er også kaldt persondataloven 2018.

Forordningens officielle navn er:

EU law icon

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

I Danmark blev forordningen, og lovgivningen vedrørende GDPR, implementeret som en del af Databeskyttelsesloven. Den blev vedtaget i foråret 2018. I denne forbindelse blev Persondataloven erstattet.

Mange tror stadig, at Persondataloven er den gældende lov på området, men det er ikke længere korrekt.

Audit icon

Tilsyn

I Danmark er det Datatilsynet, der fører tilsyn med, at virksomheder, myndigheder og andre typer af organisationer overholder reglerne i Databeskyttelsesloven.

Hvilke virksomheder er omfattet af persondataforordningen?

Persondataforordningen (og i Danmark, databeskyttelsesloven, samt tidligere Persondataloven) finder anvendelse på næsten al behandling af personoplysninger, dvs. al behandling af data der kan identificere en given person.

Læs mere om definitionen af personoplysninger og de forskellige typer.

Da lovgivning ofte er geografisk afgrænset, betyder det, at databeskyttelsesforordningen, persondataforordningen og GDPR, der alle er implementeret som en del af Databeskyttelsesloven gælder:

Kort sagt er næsten alle virksomheder med en eller anden form for tilknytning til EU, hvad enten det er deres egen tilknytning eller deres kunders, underlagt kravene i henhold til GDPR loven og forordningen.

Hvad er en dataansvarlig og en databehandler?

Og hvad er forskellen?

I Persondataforordningen skelner man grundlæggende mellem to forskellige roller, som på hver sin måde behandler personoplysninger.

Man kan enten være databehandler eller dataansvarlig.

Data Manager and Data Processor illustration

Der stilles forskellige krav til de to typer. Det er derfor vigtigt, at I som virksomhed ved, hvilken af de to I kategoriseres som, inden I begynder at behandle personoplysninger.

Dataansvarlig

Den dataansvarlige er den, der definerer med hvilket formål og med hvilke hjælpemidler, personoplysninger behandles. Som dataansvarlig er man forpligtet til at sikre sig:

Databehandler

Som databehandler behandler man udelukkende persondata på vegne af den dataansvarlige. Man har altså ingen indflydelse på formålet eller hvilke hjælpemidler, der bruges.

En databehandler kan eksempelvis være en udbyder af IT-services, hvor data opbevares på servere, eller en anden form for udbyder af en automatiseret behandling af persondata, hvor udbyderen ikke selv har indflydelse på data.

Netop fordi relationen mellem dataansvarlig og databehandler indeholder udvekslingen af persondata, er det vigtigt, at der er en databehandleraftale, som fastsætter den præcise relation mellem de to. Datatilsynets hjemmeside. Denne relation er yderligere væsentlig, da der skal være klare retningslinjer inden for GDPR loven. Dette skyldes, at der kan forekomme udveksling af sårbare informationer, som skal behandles korrekt.

Hvad er en Data Protection Officer (DPO)?

En tredje rolle er en DPO: Data Protection Officer eller databeskyttelsesrådgiver. Du er måske stødt på begrebet før, men hvad betyder det? Og bør din virksomhed have en DPO?

Data Protection Officer illustration

DPO’ens rolle at rådgive om kravene i henhold til GDPR loven og dennes regler (Databeskyttelsesloven) og vejlede dataansvarlig i, hvordan de kan følge disse krav. Det er dog vigtigt at understrege, at DPO’en ikke er ansvarlig for, at virksomheden efterlever hverken anbefalingerne eller GDPR loven.

Offentlige myndigheder og organer skal, uanset om de er dataansvarlige eller databehandlere, udpege en DPO. Private virksomheder er kun forpligtede til at gøre det, hvis følgende tre betingelser alle er opfyldt:

Hvornår er behandling af personoplysninger så en kerneaktivitet?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger i henhold til GDPR loven (tidligere jævnfør Persondataloven), men der skelnes altså mellem biaktiviteter og kerneaktiviteter.

Biaktiviteter kan generelt siges at være aktiviteter, som understøtter kerneaktiviteten. Eksempelvis har de fleste virksomheder en vis omgang med persondata i forbindelse med medarbejderdata og persondata relateret til salg og forskellige typer af support. Dette er, hvad der kan forstås som biaktiviteter.

Ifølge Datatilsynet er behandlingen af persondata en kerneaktivitet, hvis det, som virksomheden ønsker at sælge, er uløseligt forbundet med behandling af personoplysninger. Det kunne f.eks. være:

Core work activity illustration

Disse er alle eksempler på virksomhedsaktiviteter, som er centreret omkring behandlingen af persondata, og hvor outputtet afhænger af den persondata, der bliver afgivet. Næsten alle virksomheder er altså, på den ene eller anden måde, omfattet af GDPR regler, og har med persondataloven at gøre.

Sådan lever du op til Databeskyttelsesloven (GDPR)

Databeskyttelsesloven, der indbefatter reglerne i GDPR loven, kræver en risikobaseret tilgang i lighed med f.eks. Hvidvaskloven.

En risikobaseret tilgang betyder, at uanset om virksomheden er databehandler eller dataansvarlig, så skal der foretages en vurdering af de typer af data, virksomheden opbevarer eller behandler – og derefter sikre, at de organisatoriske og tekniske foranstaltninger er i overensstemmelse med de vurderede risici.

Tekniske foranstaltninger

Organisatoriske foranstaltninger

Eksempelvis stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.

Eksempelvis beskrevne procedurer angående hvilke medarbejdere der må tilgå hvilke persondata, adgangstilladelser, sikkerhedskurser og uddannelse af medarbejdere.

For at leve op til Databeskyttelsesloven, og herunder den gældende GDPR lov, skal virksomheden have styr på:

Læs mere om disse nedenfor.

Hvordan laver man så en risikovurdering?

I risikovurderingen vil man typisk starte med at vurdere:

På baggrund af disse faktorer kan man vurdere, om man finder risikoen acceptabel, eller om man bør iværksætte nye foranstaltninger for at nedbringe risikoen for datalæk.

Det er også et krav, at man skal kunne redegøre for ens overvejelser i forhold til ovenstående.

Politikker

De fleste virksomheder har fastlagte arbejdsprocesser, som ensarter og systematiserer arbejdet. På samme måde er det en god ide at have fastlagte politikker og arbejdsprocesser for håndteringen af persondata og GDPR loven i det hele taget.

Typisk vil man opdele persondatapolitikken alt efter, om den omhandler persondata på medarbejdere eller kunder. En persondatapolitik for kunder ville f.eks. kunne indeholde følgende punkter:

Forretningsgange

En forretningsgang er ofte relativt detaljeret og vil med hensyn til persondata eksempelvis indeholde specifikke procedurer for, hvordan man i det daglige arbejde sikrer, at data bliver slettet, eller hvordan man deler data med andre, hvad end det er interne kollegaer eller eksterne databehandlere. Dette dokument gør det mere overskueligt at overholde alle GDPR regler indenfor GDPR loven.

Kontroller og dokumentation

Man skal samtidig kunne dokumentere, at ens håndtering af persondata lever op til GDPR loven og de dertilhørende regler på området. Eksempelvis skal man kunne dokumentere sletteproceduren af persondata efter endt kundeforhold i henhold til persondataloven.

En virksomhed kan sagtens have faste procedurer vedrørende hvordan og hvor ofte, de sletter data. Men det er ifølge lovgivningen helt essentielt, at den er nedskrevet eller på anden vis dokumenteret, så Datatilsynet kan føre tilsyn med handlingen, og hvorvidt den lever op til lovgivningen - herunder specifikt den gældende GDPR lov og regler.

En måde at styre dokumentationskravet på er ved at understøtte dem i sine IT løsninger og eventuelt automatisere nogle af de processer, der finder sted.

Opbevaring af persondata - hvornår og hvor længe?

Virksomheder må opbevare persondata i henhold til persondataloven, så længe de:

Lovhjemmel betyder, at virksomheden må opbevare persondata, hvis:

Normalt har en virksomhed eller myndighed tilstrækkelig lovhjemmel, hvis bare ét af de ovenstående kriterier er opfyldt.

Legitimt formål handler grundlæggende om sund fornuft.

Spørg jer selv: Hvad er formålet med at opbevare de givne personoplysninger?

Hvis I ikke har et legitimt formål, skal data slettes.

Job applications storage illustration

Eksempel

For seks måneder siden havde virksomheden et jobopslag, hvor I søgte en jurist. Der kom mange ansøgere, men siden da har I lukket hele den givne afdeling og vil aldrig ansætte jurister igen.

Har virksomheden stadig et legitimt formål med at gemme ansøgernes CV’er og ansøgninger? Her er svaret formentlig nej, jævnfør Databeskyttelsesloven, GDPR loven og de dertilhørende regler.

Så længe en virksomhed har både lovhjemmel og et legitimt formål, må virksomheden fortsætte med at opbevare data. Så snart det ikke længere er tilfældet, skal data slettes. Derfor er der mange virksomheder, der skriver ud til deres tidligere ansøgere, om de må få lov at beholde CV og ansøgning. Til tider er der sågar også en knap, man som ansøger kan markere for at give virksomheden lov til at beholde de tilsendte oplysninger.

Privatpersoners rettigheder

Med indførelse af GDPR loven og reglerne herom (Databeskyttelsesloven også kendt som den tidligere Persondatalov) fik man som person indsigtsret i, hvilke data virksomheder opbevarer om en.

De oplysninger, man har ret til at blive oplyst om, inkluderer:

Dette er blandt andet med til at sikre, at man kan kontrollere, at oplysningerne er korrekte, og at behandlingen udføres med baggrund i en legitim hjemmel. Med andre ord bidrager disse kriterier til at opretholde GDPR loven og de gældende retningslinjer for persondataloven.

Løbende kontrol og princippet om rigtighed

Som virksomhed har I pligt til at sikre, at de opbevarede personoplysninger er korrekte, og at forkerte oplysninger slettes.

Dette kaldes også for princippet om rigtighed indenfor GDPR og Databeskyttelsesloven.

Princippet omfatter således ikke kun pligten til at slette eller rette oplysninger, som man er blevet gjort opmærksom på er forkerte. I har også en løbende pligt til aktivt at sikre, at jeres data er korrekte.

Dette kan eksempelvis gøres ved, at I løbende sammenligner indhentet information med opslag i offentlige registre såsom CPR, eller at I periodisk søger oplysningerne bekræftet fra individet, som oplysningerne drejer sig om.

Ongoing audits and accuracy illustration

Omfanget af hvor grundigt man sikrer sig oplysningernes rigtighed, og hvor hyppigt I skal gøre dette, afhænger af den data, I behandler. Jo mere følsom – og desto større risici forkert information udgør for den behandlede – jo flere processer bør I også have for at sikre imod dette udfald.

Cases hos NewBanking

NewBanking har derudover også samarbejdet med en masse forskellige virksomheder, som har haft stor gavn af den danske software platform, NewBanking Identity. Herunder findes blandt andet advokatfirmaet Bech-Bruun, som netop kommenterer på, hvorvidt platformen har givet overskuelighed over sikker håndtering af oplysninger og data fra nye klienter i henhold til GDPR loven.

Dette fokus er noget, der går igen i udtalelserne fra vores forskellige samarbejdspartnere og kunder, som alle mener, at vores software platform har skabt en sikkerhed for dem i forbindelse med udveksling af data og oplysninger med klienter eller samarbejdspartnere.

Vi hos NewBanking er derfor med til at skabe overskuelighed over administrative opgaver såvel som sikkerheden i jeres virksomhed og udvekslingen af data.

NewBanking - Håndtering af persondata gjort nemt og sikkert

Hvis du har læst helt herned – og har mistet pusten over udfordringen med GDPR, GDPR loven, Databeskyttelsesloven og persondata (tidligere Persondataloven) – er du ikke den første.

Men bare rolig, der er en god løsning.

NewBanking er en dansk software platform, der siden 2015 har gjort det muligt for virksomheder og personer at udveksle oplysninger på en transparent og sikker måde i forhold til at overholde GDPR loven og de hertilhørende gældende regler.

For virksomheder er der et hav af fordele ved NewBanking:

Onboarding

Onboard dine kunder digitalt på en sikker kanal.

Validering

Opstil jeres egne krav til validering af oplysninger i henhold til GDPR loven og de gældende regler.

Dokumentation

Fuldt revisionsspor over foretagede handlinger og samtykke til behandling.

Håndtering

Med NewBanking overholder I alle krav i både GDPR og AML.

Nysgerrig?

Så bestil en gratis demo af NewBanking.

Book en demo

GDPR er en forkortelse af General Data Protection Regulation og indebærer regler og retningslinjer, som har til formål at beskytte forbrugeres persondata. Herunder finder du databeskyttelsesloven / persondataforordningen.

Du kan opleve store sanktioner ved brud på GDPR. Disse brud sker, hvis der eksempelvis misbruges data, lækkes eller videregives personfølsomme data, tab eller andet i disse data.

Virksomheder er ansvarlig for de persondata som indsamles og arbejdes med. I større organisationer ansættes ofte en primært til databeskyttelse og dataansvarlig. Vedkommende er ikke nødvendigvis den, som arbejder med dataten eller indsamler denne, men vedkommende behandler potentielle brud.

De fleste virksomheder med tilknytning til EU er underlagt GDPR og persondataforordningen.