Persondataret

I persondataretten sondres der mellem, om man er dataansvarlig eller databehandler. Når du registrerer personfølsomme oplysninger om dine kunder, så bliver du dataansvarlig i forordningens forstand. Den dataansvarlige har kontrollen og ansvaret for oplysningerne. Persondataforordningen medfører en række krav og pligter til dig som dataansvarlig. Databehandleren bistår den dataansvarlige med behandlingen af oplysningerne og gennemfører bl.a. passende foranstaltninger for at sikre beskyttelsen af oplysningerne.

Som dataansvarlig skal du derfor bl.a. sikre dig, at du:

• Overholder persondataforordningen, og at du kan dokumentere dette, herunder ved hjælp af inkorporering af nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i virksomheden.
• Har et behandlingsgrundlag (en behandlingshjemmel), som giver dig lov til at behandle de oplysninger, som du og dine eventuelle databehandlere er i besiddelse af.
• Er i stand til at imødekomme og efterleve dine kunders rettigheder som registrerede personer, som f.eks. at du kan opfylde din oplysningspligt, berigtigelsespligt eller give den registrerede indsigt i de oplysninger du opbevarer om personen.
• Har gyldige aftaler med klare instruksbeføjelser til eventuelle databehandlere, som du ønsker at gøre brug af.
• Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

Ovenstående er alene eksempler på nogle af de pligter, du kan være underlagt i Persondataforordningen.

En databehandler behandler personoplysninger på vegne af en dataansvarlig. Databehandleren behandler aldrig personoplysninger til egne formål og må derfor ikke bruge de tilgængelige oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

En virksomhed kan være databehandler i én sammenhæng og dataansvarlig i en anden sammenhæng. En databehandler kan være en selvstændig enhed, som hjælper jer med jeres data. F.eks. en hosting-virksomhed, der tilvejebringer lagerplads, systematisere og ajourfører oplysninger eller en leverandør af lønudbetalinger, der foretager overførsler, laver lønsedler m.v.

Når jeres virksomhed er databehandler, er det vigtigt at få drøftet behovet for og omfanget af underdatabehandlere.

Det fremgår direkte af EU-forordningen og persondataloven, at der skal foreligge en skriftlig databehandleraftale, hvis der foreligger en dataansvarlig/databehandler-relation. Denne kan enten indgås som en selvstændig aftale eller som en integreret del af aftalegrundlaget mellem parterne.

Hvis databehandleraftalerne ikke foreligger, skal der straks laves en skriftlig databehandleraftale for at opfylde lovens regler.

Jeres persondatapolitik skal beskrive, hvordan I behandler personoplysninger. Her skal jeres kunder/klienter kunne læse, hvilke rettigheder de har i den forbindelse.

I skal oplyse om blandt andet:

• Jeres behandlingsprincipper
• Hvilke personoplysninger I behandler og formålet hermed
• Hvilke retsgrundlag (jeres hjemmel) til at behandle oplysningerne
• Jeres kunders rettigheder
• Eventuelle databehandleraftaler og/eller videregivelse til tredjelande
• Jeres opbevaring af personoplysninger
• Sletning af personoplysningerne
• Jeres sikkerhedspolitikker

ØENS Advokater kan hjælpe jer med jeres persondatapolitikker til f.eks. jeres hjemmeside.

I HR-afdelingen er det hovedsageligt medarbejdernes personoplysninger, I behandler. Dette sker både før ansættelsen, under ansættelsesforholdet og efter ansættelsesforholdets ophør.

HR-persondata fylder meget i den løbende personaleadministration. Behandling af personoplysninger om medarbejdere er eksempelvis nødvendig for selve ansættelsesforholdet, hvor der skal udbetales løn, registreres ferie og meget mere.

I behandler derfor både almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold samt cpr-nr. på medarbejderne. En del behandling af data er også knyttet til virksomhedens drift og sikkerhed, herunder eksempelvis portrætbilleder, adgangsforhold og overvågning. GDPR fastsætter krav til ledelsens personaleadministration og HR. Man kan med fordel opdele det i HR aktiviteter inden for:

• Rekruttering
• Under ansættelsen
• Fratrædelse

Inden for hvert af områderne skal I have GDPR-politikker for virksomheden, som overholder kravene i loven.

ØENS Advokater kan hjælpe jer med at håndtere de forskellige persondataretlige udfordringer, I vil møde i arbejdet med Personaleadministration og HR. Vi rådgiver både små og mellemstore virksomheder om GDPR og persondatareglernes betydning i samspillet med HR arbejde.

De registreredes rettigheder er:

• Oplysningspligt (den registrerede har krav på en lang række oplysninger om behandlingen af vedkommendes personoplysninger)
• Ret til indsigt
• Ret til berigtigelse
• Ret til sletning
• Ret til begrænsning af behandling
• Ret til dataportabilitet (data skal leveres i et almindeligt anvendt format)
• Ret til indsigelse
• Ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering (fx afslag på en forsikring på baggrund af en automatisk afgørelse uden menneskelig indgriben)

Oplysningspligten skal opfyldes af den dataansvarlige på eget initiativ. De andre rettigheder skal opfyldes efter anmodning fra den registrerede.

Udgangspunktet er, at rettighederne skal opfyldes uden unødig forsinkelse og senest en måned efter, at anmodningen er modtaget.

I skal desuden være opmærksom på, at rettighederne ikke gælder ubetinget, og der kan derfor være hensyn, der vægter tungere hos den virksomhed, der behandler oplysningerne.

GDPR lovhjemler en generel forpligtelse for alle dataansvarlige til som udgangspunkt at anmelde brud på persondatasikkerheden til Datatilsynet. Et brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade.

Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet. Samtidig skal man i visse tilfælde underrette de registrerede i tilfælde af brud.