Persondataret og GDPR

Vores GDPR-team har et indgående kendskab til retsreglerne og hjælper jer med at efterleve og overholde de krav, der følger med GDPR og håndtering af persondata.

Siden den 25. maj 2018 har alle virksomheder skullet overholde EU’s persondataforordning – GDPR. ØENS GDPR-team har betydelig erfaring med rådgivning om de persondataretlige regler. Vi har et indgående kendskab til retsreglerne og kan hjælpe din virksomhed med at sikre, at I overholder de krav, som følger med GDPR.

Vi har rådgivet et betydeligt antal små og mellemstore virksomheder med vores GDPR/persondatapakke, så efterlevelse for jeres virksomhed er sikret, herunder udarbejdelse af databehandleraftaler, slettepolitikker m.v.

Bliver reglerne ikke overholdt, er der risiko for meget store bøder.

Har du spørgsmål eller brug for hjælp i forbindelse med GDPR og persondataret? Kontakt en af ØENS advokater med speciale indenfor persondataret, og lad os hjælpe dig med din sag.

Rådgivningspakke med henblik på fuld efterlevelse

ØENS Advokater har udviklet en GDPR-pakke ud fra vores tidligere erfaringer med GDPR-pakker til virksomheder.

Vi kan enten tilbyde en opstartspakke, hvor vi udarbejder alt relevant materiale til jeres virksomhed, så I er compliance ift. GDPR.

Endvidere tilbyder vi et GDPR-tjek af jeres virksomhed, hvis I hidtil har haft fokus på persondatareglerne, men ønsker, at vi tjekker op på jeres implementering eller har et ønske om, at vi tager ansvaret for området. Vi stiller vores vejledninger, skabeloner m.v. til rådighed, og derudover kan der tilkøbes konkret rådgivning efter behov.

ØENS Advokater samarbejder også med virksomheder, som er omfattet af kravet om en databeskyttelsesrådgiver (DPO) eller ønsker at udpege én på frivillig basis, hvorefter ØENS Advokater kan agere ekstern DPO i tæt samspil.

Vil du høre mere om vores GDPR-pakkeløsninger, herunder priser m.v., er du velkommen til at kontakte advokat og associeret partner Lisa Lykke.

Pligter som dataansvarlig

I persondataretten sondres der mellem, om man er dataansvarlig eller databehandler. Når du registrerer personfølsomme oplysninger om dine kunder, bliver du dataansvarlig i forordningens forstand. Den dataansvarlige har kontrollen og ansvaret for oplysningerne.

Persondataforordningen medfører en række krav og pligter til dig som dataansvarlig. Databehandleren bistår den dataansvarlige med behandlingen af oplysningerne og gennemfører bl.a. passende foranstaltninger for at sikre beskyttelsen af oplysningerne.

Som dataansvarlig skal du derfor bl.a. sikre dig, at du:

  • Overholder persondataforordningen, og at du kan dokumentere det, bl.a. ved hjælp af inkorporering af nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i virksomheden.
  • Har et behandlingsgrundlag (en behandlingshjemmel), som giver dig lov til at behandle de oplysninger, som du og dine eventuelle databehandlere er i besiddelse af.
  • Er i stand til at imødekomme og efterleve dine kunders rettigheder som registrerede personer, som f.eks. at du kan opfylde din oplysningspligt, berigtigelsespligt eller give den registrerede indsigt i de oplysninger, du opbevarer om personen.
  • Har gyldige aftaler med klare instruksbeføjelser til eventuelle databehandlere, som du ønsker at gøre brug af.
  • Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

Ovenstående er alene eksempler på nogle af de pligter, du kan være underlagt i Persondataforordningen.

Brug af databehandlere og databehandleraftaler

En databehandler behandler personoplysninger på vegne af en dataansvarlig. Databehandleren behandler aldrig personoplysninger til egne formål og må derfor ikke bruge de tilgængelige oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

En virksomhed kan være databehandler i én sammenhæng og dataansvarlig i en anden sammenhæng. En databehandler kan være en selvstændig enhed, som hjælper jer med jeres data. F.eks. en hosting-virksomhed, der tilvejebringer lagerplads, systematiserer og ajourfører oplysninger eller en leverandør af lønudbetalinger, der foretager overførsler, laver lønsedler m.v.

Når jeres virksomhed er databehandler, er det vigtigt at få drøftet behovet for og omfanget af underdatabehandlere.

Det fremgår direkte af EU-forordningen og persondataloven, at der skal foreligge en skriftlig databehandleraftale, hvis der foreligger en dataansvarlig/databehandler-relation. Den kan enten indgås som en selvstændig aftale eller som en integreret del af aftalegrundlaget mellem parterne.

Hvis databehandleraftalerne ikke foreligger, skal der straks laves en skriftlig databehandleraftale for at opfylde lovens regler.

Compliance

Hos ØENS Advokatfirma opfatter vi compliance som en fundamental del af sund virksomhedsdrift. Det er mere end blot et moderne begreb; det er en essentiel forpligtelse og en nøglefaktor i at sikre, at virksomheder handler i overensstemmelse med relevante love og retningslinjer.

Vores tilgang er, at compliance skal integreres dybt i virksomhedens kultur og processer. Vi forstår, at det at være compliant ikke er en statisk tilstand, men en dynamisk proces, der tilpasser sig løbende ændringer i lovgivning og interne forhold. Ved at sætte skarpt fokus på compliance, støtter vi vores klienter i at forebygge juridiske og etiske overtrædelser, samtidig med at vi bidrager til at opretholde deres omdømme og sikkerhed. Vores mål er at tilbyde indsigt og løsninger, der sikrer, at vores klienters virksomheder ikke alene overholder gældende regler, men også aktivt fremmer en kultur af ansvarlighed og transparens.

Udformning af persondatapolitikker

Jeres persondatapolitik skal beskrive, hvordan I behandler personoplysninger. Her skal jeres kunder/klienter kunne læse, hvilke rettigheder de har i den forbindelse.

I skal oplyse om blandt andet:

  • Jeres behandlingsprincipper
  • Hvilke personoplysninger I behandler og formålet med dem
  • Hvilke retsgrundlag (jeres hjemmel) I har til at behandle oplysningerne
  • Jeres kunders rettigheder
  • Eventuelle databehandleraftaler og/eller videregivelse til tredjelande
  • Jeres opbevaring af personoplysninger
  • Sletning af personoplysningerne
  • Jeres sikkerhedspolitikker

ØENS Advokater kan hjælpe jer med persondatapolitikker til f.eks. jeres hjemmeside.

Personaleadministration og HR

I HR-afdelingen er det hovedsageligt medarbejdernes personoplysninger, I behandler. Dette sker både før ansættelsen, under ansættelsesforholdet og efter ansættelsesforholdets ophør.

HR-persondata fylder meget i den løbende personaleadministration. Behandling af personoplysninger om medarbejdere er eksempelvis nødvendig for selve ansættelsesforholdet, hvor der skal udbetales løn, registreres ferie og meget mere.

I behandler derfor både almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold samt cpr-nummer på medarbejderne. En del behandling af data er også knyttet til virksomhedens drift og sikkerhed, herunder eksempelvis portrætbilleder, adgangsforhold og overvågning. GDPR fastsætter krav til ledelsens personaleadministration og HR. Man kan med fordel opdele det i HR-aktiviteter inden for:

  • Rekruttering
  • Under ansættelsen
  • Fratrædelse

Inden for hvert af områderne skal I have GDPR-politikker for virksomheden, som overholder kravene i loven.

ØENS Advokater kan hjælpe jer med at håndtere de forskellige persondataretlige udfordringer, I vil møde i arbejdet med personaleadministration og HR. Vi rådgiver både små og mellemstore virksomheder om GDPR og persondatareglernes betydning i samspillet med HR-arbejde.

Rådgivning om den registreredes rettigheder

De registreredes rettigheder er:

  • Oplysningspligt (den registrerede har krav på en lang række oplysninger om behandlingen af vedkommendes personoplysninger)
  • Ret til indsigt
  • Ret til berigtigelse
  • Ret til sletning
  • Ret til begrænsning af behandling
  • Ret til dataportabilitet (data skal leveres i et almindeligt anvendt format)
  • Ret til indsigelse
  • Ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering (f.eks. afslag på en forsikring på baggrund af en automatisk afgørelse uden menneskelig indgriben)

Oplysningspligten skal opfyldes af den dataansvarlige på eget initiativ. De andre rettigheder skal opfyldes efter anmodning fra den registrerede.

Udgangspunktet er, at rettighederne skal opfyldes uden unødig forsinkelse og senest en måned efter, at anmodningen er modtaget.

I skal desuden være opmærksom på, at rettighederne ikke gælder ubetinget, og der kan derfor være hensyn, der vægter tungere hos den virksomhed, der behandler oplysningerne.

Sikkerhedskrav og håndtering af sikkerhedsbrister

GDPR lovhjemler en generel forpligtelse for alle dataansvarlige til som udgangspunkt at anmelde brud på persondatasikkerheden til Datatilsynet. Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre personer fysisk, materiel eller immateriel skade.

Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet. Samtidig skal man i visse tilfælde underrette de registrerede i tilfælde af brud.

Tal med en advokat med speciale indenfor persondataret, GDPR og compliance

Lisa Lykke-Kielberg, Advokat, ØENS Advokatfirma
Advokatfirma
Lisa Lykke
Advokat, associeret partner
Maria Melissa Schneider, Advokat, ØENS Advokatfirma
Advokatfirma
Maria-Melissa Schneider
Advokatfuldmægtig