Den 25. maj 2018 træder den nye persondatalov i kraft. Der har været meget fokus på netop dette stykke lovgivning, der stammer fra en EU-forordning. Men hvad betyder det konkret for dig og din virksomhed?
”Du skal have styr på alle persondata din virksomhed besidder”
De seneste års kraftige digitaliseringsbølge har medført, at vi alle er i besiddelse af persondata på mennesker, der er ansat i vores virksomhed, som vi handler med eller af anden årsag har persondata på. Loven indeholder derfor en masse nye udtryk, som er vigtige at få styr på – her er nogle få, men vigtige af dem (der nævnes flere i løbet af den resterende del af bloggen):
- Persondata = alle data du har på personer, som kan henføres til en bestemt person (fx navn, adresse, CPR-nr., billede, email-adresse – listen er ikke udtømmende)
- Følsomme personoplysninger: helbredsoplysninger, trosretning, fagforening, seksuel orientering (udtømmende liste offentliggjort)
– CPR nr. er en særegen dansk ting, som skal behandles lidt på samme måde som følsomme personoplysninger - Ikke-følsomme personoplysninger: adresse, navn, tlf., e-mail, fødselsdag, skat, kontonummer (ikke udtømmende liste offentliggjort)
Hvorfor?
Der findes i dag et hav af informationer på netop om os alle pga. den teknologiske udvikling – derfor har lovgiverne besluttet, at det er vigtigt at sikre menneskers ret til privatliv samt at deres data og informationer skal behandles med respekt – og ikke mindst med gennemskuelighed, hvilket i øjeblikket er et stort emne især i forhold til sociale medier.
Samtidig vil man igennem loven også sikre, at alle har ”retten til at blive glemt” og derfor kan forlænge at få slettet alle digitale tilgængelige data om sig.
Hvad skal jeg gøre?
Du slipper ikke for at gøre noget – alle virksomheder har persondata i et eller andet omfang, og derfor skal du gøre dig nogle overvejelser. På baggrund af dine overvejelser skal du formulere nogle beskrivelser/politikker om din virksomheds behandling af persondata samt sikre, at de samarbejdspartnere (fx software eller online programmer; fx e-conomic, dropbox, dataløn o.l) behandler de data, som de pga. dig og din virksomhed besidder, på en forsvarlig måde og i overensstemmelse med reglerne.
Er du databehandler eller dataansvarlig?
Hvis du er i besiddelse af persondata skal du først og fremmest finde ud af om du er dataansvarlig eller databehandler:
• Dataansvarlig = ”Den person/virksomhed, som indsamler og behandler den registreredes personoplysninger”
• Databehandler: ”Den person/virksomhed, som opbevarer den registreredes personoplysninger, på vegne af den dataansvarlige”
• (læs mere hos datatilsynet om forskellen på databehandler og dataansvarlig)
Dataansvarlig
Som dataansvarlig skal du have lov til at opbevare persondata af enhver art både følsomme og ikke-følsomme data. Dog er det nemmere at få hjemmel i loven til at behandle og opbevare ikke-følsomme data.
For at som dataansvarlig at kunne være i besiddelse af følsomme personoplysninger skal du som udgangspunkt have et skriftligt underskrevet samtykke fra den registrerede (den person, som oplysningerne er vedr.). Samtykket skal tydeligt forklare, hvilke data der er tale om, hvordan du behandler dataene.
For ikke-følsomme personoplysninger kan du også bruge en samtykkeerklæring, men du kan også nøjes med en interesseafvejning, hvor du skal overveje om ”din berettigede interesse i at have de pågældende oplysninger er større, end den registrerede person har interesse i ,at du ikke har de pågældende oplysninger.” Du skal derfor gøre dig denne overvejelse for hver enkelt personoplysning, du er i besiddelse.
Sidst men ikke mindst skal du også sørge for at have tydelige databehandleraftaler med de, som er databehandlere på de data, som du er dataansvarlig for – læs mere herom i næste afsnit.
Databehandler
Hvis du ”blot” er databehandler skal du sikre, at du har en databehandleraftale med den dataansvarlige, som har givet dig persondata om den registrerede. Mange af de større virksomheder, som har relevans for virksomheds administrative side som fx e-conomic, dataløn osv. er i gang med at sikre, at disse aftaler bliver udformet og kommer i orden.
Du kan læse mere om en sådan aftale her: https://www.datatilsynet.dk/databeskyttelse/vejledninger
Gør noget!
Vi anser det som ”uhensigtsmæssigt” at være passiv i relation til de forpligtelser du har som virksomhed.
”Gør noget! – så tror vi, du allerede er kommet rigtig langt.”