Overholder din virksomhed persondatareglerne?
GDPR har til formål at fremme beskyttelsen af persondata. Hvis virksomheder ikke efterlever persondatareglerne, er der i GDPR, persondataforordningen, hjemmel til at pålægge private virksomheder store bøder på op til 20 millioner euro eller op til 4 % af virksomhedens/koncernens globale årsomsætning – afhængig af, hvad der er højest.
Hvad er persondata?
Håndtering af persondata gælder både følsomme og ikke-følsomme personoplysninger. Eksempler på følsomme oplysninger er personnummer, helbredsoplysninger, politisk tilhørsforhold og strafbare forhold, mens data som navn, adresse og telefonnummer betragtes som ikke-følsomme oplysninger.
Overordnet om persondataforordningen:
- Persondataforordningen giver en række rettigheder til de personer, hvis personoplysninger behandles (de registrerede), herunder en oplysningspligt om indsamling samt behandling af data.
- Persondataforordningen stiller krav til skriftlige databehandleraftaler mellem virksomheder og leverandører, som opbevarer eller behandler data på vegne af virksomheden.
- Virksomheder, hvis forretningsområde er at være databehandler, har udvidede forpligtelser og ansvar for overtrædelser. Den dataansvarlige, der har bestilt databehandlingen, skal dog stadig opfylde forpligtelserne over for de registrerede, herunder en oplysningspligt om enhver indsamling og behandling af data om den pågældende.
- Virksomheden skal have IT-systemer og applikationer, der kan anvendes til behandling af persondata, og de skal opfylde et krav om “Privacy by Design”. Det betyder, at de som standardindstilling skal sikre størst mulig beskyttelse af persondata.
- Kravene til den registreredes gyldige samtykke er skærpet og er eksplicit fastsat i lovgivningen.
- I har en selvanmeldelsespligt ved databrud, f.eks. ved hackerangreb, hvor persondata kompromitteres. Anmeldelse skal ske inden 72 timer til Datatilsynet.
Det er ikke nok, at I overholder reglerne i persondataforordningen. I skal ligeledes kunne dokumentere denne overholdelse. Kravene til dokumentation for at I overholder persondataforordningen (compliance) er blevet skærpet væsentligt og skal kunne vises til Datatilsynet, hvis de kommer på uanmeldt besøg.
Hvordan kommer I i gang?
Vi anbefaler at I udpeger relevante nøglepersoner i virksomheden, og afsætter tid og økonomi til arbejdet.
Dernæst skal I få kortlagt persondata i virksomheden, herunder:
- Hvilke persondata behandles?
- Hvem behandler vi persondata om?
- Hvad er formålet med databehandlingen?
- Er der samtykke eller andet lovligt grundlag for databehandlingen?
- Hvor gemmes data og hvem har adgang hertil?
- Deles data med tredjemand?
- Hvor længe gemmes data?
Når I har kortlagt persondata i virksomheden, bør I:
- Få skriftlige databehandleraftaler på plads i det omfang, det er nødvendigt.
- Få udarbejdet persondatapolitikker for de relevante funktioner, f.eks. HR, salg/marketing samt jeres egen personalehåndbog mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav.
- Implementere de nødvendige tekniske og organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata.
- Få udviklet processer, der sikrer, at medarbejdere, kunders mv. (de registrerede) rettigheder bliver overholdt. F.eks. oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke.
- Vær klar til et eventuelt databrud. I skal have udarbejdet en procedure og et beredskab til håndtering heraf.
- Sørg for uddannelse af medarbejdere.
- Udpeg en persondataansvarlig, som følger op og sikrer fortsat compliance i virksomheden.
Få vores hjælp til GDPR
ØENS Advokatkontor kan hjælpe jer videre i forbindelse med persondatatjek og overholdelse af persondataforordningen. Vi vil sikre:
- Persondatatjek af jeres virksomhed.
- Persondatainstruks til HR-medarbejdere eller andre nøglepersoner.
- Persondatapolitik til rekruttering.
- Opdatering/udarbejdelse af intern personalehåndbog vedr. persondata.
- Persondatapolitik til virksomhedens hjemmeside og dermed jeres kunder.
- Persondatainstruks ift. it-sikkerhedspolitik.
- Procedure for håndtering af databrud.
- Udarbejdelse/gennemgang af databehandleraftaler.
- Tekstforslag og procedure for samtykkeerklæringer.
- Løbende uddannelse af medarbejdere, der håndterer.
Der er meget at tage fat på. Brug ØENS persondataspecialist Lisa Lykke til at afdække jeres behov og til prioritering af jeres opgaver.