Fra Persondataloven til Databeskyttelsesforordningen (GDPR)

Har jeres virksomhed styr på håndtering af persondata?

Stort set alle virksomheder, der er i kontakt med persondata, er underlagt lovgivningen. Derfor er det utroligt vigtigt for virksomheder at have styr på kravene til håndtering af persondata.

Nedenunder kan du læse om EU’s og Danmarks lovgivning vedrørende persondata og få praktiske tips til, hvordan persondata kan håndteres.

  • Persondataloven, Persondataforordningen og Databeskyttelsesloven – hvad er forskellen?
  • Hvilke virksomheder er omfattet af Persondataforordningen?
  • Hvad er en dataansvarlig og en databehandler?
  • Hvad er en DPO (Data Protection Officer)?
  • Sådan lever du op til Databeskyttelsesloven
  • Opbevaring af persondata - hvornår og hvor længe?
  • Privatpersoners rettigheder
  • Løbende kontrol og princippet om rigtighed
gdpr image 1

Persondataloven, Persondataforordningen og Databeskyttelsesloven - hvad er forskellen?

Det kan være svært at finde rundt i alle de forskellige navne på lovgivning om persondata.

Faktisk er Databeskyttelsesforordningen, Persondataforordningen og GDPR (General Data Protection Regulation) alle udtryk for den selvsamme forordning, som er udstedt af EU. Den trådte i kraft i 2018, hvorefter hvert medlemsland skulle implementere den i sin egen lovgivning.

Forordningens officielle navn er:

EU law icon

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

I Danmark blev forordningen implementeret som en del af Databeskyttelsesloven. Den blev vedtaget i foråret 2018. I denne forbindelse blev Persondataloven erstattet.

Mange tror stadig, at Persondataloven er den gældende lov på området, men det er ikke længere korrekt.

Audit icon

Tilsyn

I Danmark er det Datatilsynet, der fører tilsyn med, at virksomheder, myndigheder og andre typer af organisationer overholder reglerne i Databeskyttelsesloven.

Hvilke virksomheder er omfattet af persondataforordningen?

Persondataforordningen (og i Danmark, databeskyttelsesloven) finder anvendelse på næsten al behandling af personoplysninger, dvs. al behandling af data der kan identificere en given person.

Læs mere om definitionen af personoplysninger og de forskellige typer.

Da lovgivning ofte er geografisk afgrænset, betyder det, at Databeskyttelsesloven gælder:

Kort sagt er næsten alle virksomheder med en eller anden form for tilknytning til EU, hvad enten det er deres egen tilknytning eller deres kunders, underlagt kravene i forordningen.

Hvad er en dataansvarlig og en databehandler?

Og hvad er forskellen?

I Persondataforordningen skelner man grundlæggende mellem to forskellige roller, som på hver sin måde behandler personoplysninger.

Man kan enten være databehandler eller dataansvarlig.

Data Manager and Data Processor illustration

Der stilles forskellige krav til de to typer. Det er derfor vigtigt, at I som virksomhed ved, hvilken af de to I kategoriseres som, inden I begynder at behandle personoplysninger.

Dataansvarlig

Den dataansvarlige er den, der definerer med hvilket formål og med hvilke hjælpemidler, personoplysninger behandles. Som dataansvarlig er man forpligtet til at sikre sig:

Databehandler

Som databehandler behandler man udelukkende persondata på vegne af den dataansvarlige. Man har altså ingen indflydelse på formålet eller hvilke hjælpemidler, der bruges.

En databehandler kan eksempelvis være en udbyder af IT-services, hvor data opbevares på servere, eller en anden form for udbyder af en automatiseret behandling af persondata, hvor udbyderen ikke selv har indflydelse på data.

Netop fordi relationen mellem dataansvarlig og databehandler indeholder udvekslingen af persondata, er det vigtigt, at der er en databehandleraftale, som fastsætter den præcise relation mellem de to. En skabelon på en sådan databehandleraftale kan findes på Datatilsynets hjemmeside.

Hvad er en Data Protection Officer (DPO)?

En tredje rolle er en DPO: Data Protection Officer eller databeskyttelsesrådgiver. Du er måske stødt på begrebet før, men hvad betyder det? Og bør din virksomhed have en DPO?

Data Protection Officer illustration

DPO’ens rolle at rådgive om kravene i Databeskyttelsesloven og vejlede dataansvarlig i, hvordan de kan følge disse krav. Det er dog vigtigt at understrege, at DPO’en ikke er ansvarlig for, at virksomheden efterlever hverken anbefalingerne eller loven.

Offentlige myndigheder og organer skal, uanset om de er dataansvarlige eller databehandlere, udpege en DPO. Private virksomheder er kun forpligtede til at gøre det, hvis følgende tre betingelser alle er opfyldt:

Hvornår er behandling af personoplysninger så en kerneaktivitet?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger, men der skelnes altså mellem biaktiviteter og kerneaktiviteter.

Biaktiviteter kan generelt siges at være aktiviteter, som understøtter kerneaktiviteten. Eksempelvis har de fleste virksomheder en vis omgang med persondata i forbindelse med medarbejderdata og persondata relateret til salg og forskellige typer af support. Dette er, hvad der kan forstås som biaktiviteter.

Ifølge Datatilsynet er en behandlingen af persondata en kerneaktivitet, hvis det, som virksomheden ønsker at sælge, er uløseligt forbundet med behandling af personoplysninger. Det kunne f.eks. være:

Core work activity illustration

Disse er alle eksempler på virksomhedsaktiviteter, som er centreret omkring behandlingen af persondata, og hvor outputtet afhænger af den persondata, der bliver afgivet.

Sådan lever du op til Databeskyttelsesloven

Databeskyttelsesloven kræver en risikobaseret tilgang i lighed med f.eks. Hvidvaskloven.

En risikobaseret tilgang betyder, at uanset om virksomheden er databehandler eller dataansvarlig, så skal der foretages en vurdering af de typer af data, virksomheden opbevarer eller behandler – og derefter sikre, at de organisatoriske og tekniske foranstaltninger er i overensstemmelse med de vurderede risici.

Tekniske foranstaltninger

Organisatoriske foranstaltninger

Eksempelvis stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.

Eksempelvis beskrevne procedurer angående hvilke medarbejdere der må tilgå hvilke persondata, adgangstilladelser, sikkerhedskurser og uddannelse af medarbejdere.

For at leve op til Databeskyttelsesloven skal virksomheden have styr på:

Læs mere om disse nedenfor.

Hvordan laver man så en risikovurdering?

I risikovurderingen vil man typisk starte med at vurdere:

På baggrund af disse faktorer kan man vurdere, om man finder risikoen acceptabel, eller om man bør iværksætte nye foranstaltninger for at nedbringe risikoen for datalæk.

Det er også et krav, at man skal kunne redegøre for ens overvejelser i forhold til ovenstående.

Politikker

De fleste virksomheder har fastlagte arbejdsprocesser, som ensarter og systematiserer arbejdet. På samme måde er det en god ide at have fastlagte politikker og arbejdsprocesser for håndteringen af persondata.

Typisk vil man opdele persondatapolitikken alt efter, om den omhandler persondata på medarbejdere eller kunder. En persondatapolitik for kunder ville f.eks. kunne indeholde følgende punkter:

Forretningsgange

En forretningsgang er et internt dokument, som skriftligt vil understøtte de arbejdsprocesser, man har vedtaget. En forretningsgang er ofte relativt detaljeret og vil med hensyn til persondata eksempelvis indeholde specifikke procedurer for, hvordan man i det daglige arbejde sikrer, at data bliver slettet, eller hvordan man deler data med andre, hvad end det er interne kollegaer eller eksterne databehandlere.

Kontroller og dokumentation

Man skal samtidig kunne dokumentere, at ens håndtering af persondata lever op til lovgivningen. Eksempelvis skal man kunne dokumentere sletteproceduren af persondata efter endt kundeforhold.

En virksomhed kan sagtens have faste procedurer vedrørende hvordan og hvor ofte, de sletter data. Men det er ifølge lovgivningen helt essentielt, at den er nedskrevet eller på anden vis dokumenteret, så Datatilsynet kan føre tilsyn med handlingen, og hvorvidt den lever op til lovgivningen.

En måde at styre dokumentationskravet på er ved at understøtte dem i sine IT løsninger og eventuelt automatisere nogle af de processer, der finder sted.

Opbevaring af persondata - hvornår og hvor længe?

Virksomheder må opbevare persondata, så længe de:

Lovhjemmel betyder, at virksomheden må opbevare persondata, hvis:

Normalt har en virksomhed eller myndighed tilstrækkelig lovhjemmel, hvis bare ét af de ovenstående kriterier er opfyldt.

Legitimt formål handler grundlæggende om sund fornuft.

Spørg jer selv: Hvad er formålet med at opbevare de givne personoplysninger?

Hvis I ikke har et legitimt formål, skal data slettes.

Job applications storage illustration

Eksempel

For seks måneder siden havde virksomheden et jobopslag, hvor I søgte en jurist. Der kom mange ansøgere, men siden da har I lukket hele den givne afdeling og vil aldrig ansætte jurister igen.

Har virksomheden stadig et legitimt formål med at gemme ansøgernes CV’er og ansøgninger? Her er svaret formentlig nej.

Så længe en virksomhed har både lovhjemmel og et legitimt formål, må virksomheden fortsætte med at opbevare data. Så snart det ikke længere er tilfældet, skal data slettes.

Privatpersoners rettigheder

Med GDPR’s indførelse fik man som person indsigtsret i, hvilke data virksomheder opbevarer om en.

De oplysninger, man har ret til at blive oplyst om, inkluderer:

Dette er blandt andet med til at sikre, at man kan kontrollere, at oplysningerne er korrekte, og at behandlingen udføres med baggrund i en legitim hjemmel.

Løbende kontrol og princippet om rigtighed

Som virksomhed har I pligt til at sikre, at de opbevarede personoplysninger er korrekte, og at forkerte oplysninger slettes.

Dette kaldes også for princippet om rigtighed.

Princippet omfatter således ikke kun pligten til at slette eller rette oplysninger, som man er blevet gjort opmærksom på er forkerte. I har også en løbende pligt til aktivt at sikre, at jeres data er korrekte.

Dette kan eksempelvis gøres ved, at I løbende sammenligner indhentet information med opslag i offentlige registre såsom CPR, eller at I periodisk søger oplysningerne bekræftet fra individet, som oplysningerne drejer sig om.

Ongoing audits and accuracy illustration

Omfanget af hvor grundigt man sikrer sig oplysningernes rigtighed, og hvor hyppigt I skal gøre dette, afhænger af den data, I behandler. Jo mere følsom – og desto større risici forkert information udgør for den behandlede – jo flere processer bør I også have for at sikre imod dette udfald.

NewBanking - Håndtering af persondata gjort nemt og sikkert

Hvis du har læst helt herned – og har mistet pusten over udfordringen med GDPR og persondata – er du ikke den første.

Men bare rolig, der er en god løsning.

NewBanking er en dansk software platform, der siden 2015 har gjort det muligt for virksomheder og personer at udveksle oplysninger på en transparent og sikker måde.

For virksomheder er der et hav af fordele ved NewBanking:

Onboarding

Onboard dine kunder digitalt på en sikker kanal.

Validering

Opstil jeres egne krav til validering af oplysninger.

Dokumentation

Fuldt revisionsspor over foretagede handlinger og samtykke til behandling.

Håndtering

Med NewBanking overholder I alle krav i både GDPR og AML.

Nysgerrig?

Så bestil en gratis demo af NewBanking.

Book en demo