Sådan lever du op til GDPR

Persondataloven kan virke uoverskuelig at sætte sig ind i. Dog er det vigtigt, at du som erhvervsdrivende eller medarbejder tager dig tiden til netop dette. Herved kan du sikre, at netop din virksomhed eller arbejdsplads lever op til de krav, som persondataloven stiller. Overholder virksomheden ikke lovgivningen, kan det koste dyrt – rigtig dyrt. Men hvad skal du helt konkret gøre eller være opmærksom på som virksomhed for at leve op til GDPR? Det kan du læse meget mere om her på siden, hvor vi guider dig gennem de mest centrale GDPR-elementer. 

Har du brug for flere gode råd eller guides til diverse aspekter, kan du få stor hjælp på Lånekassens hjemmeside.

Kort sagt: Behandl forsvarligt personfølsomme data 

Som virksomhed arbejder du med en del personfølsomme data i forbindelse med kunder og samarbejdspartneres private oplysninger. Via persondataloven sikres kunderne og samarbejdspartnerne, at disse personfølsomme data behandles forsvarligt. GDPR er en strengere lovgivning på dette område, der skal sikre, at fremtiden bringer færre skandalelæk af data gennem virksomheder. GDPR er EU’s persondataforordning, som står for General Data Protection Regulation, og den trådte i kraft i 2018. Hvis du agerer ud fra din fornuft, er lovgivningen ikke så svær at følge. 

  • Rigtighed – data af brugeren skal altid være korrekte. Om nødvendigt skal dataen ajourføres, således brugerens billede er retvisende. 
  • Gennemsigtighed, rimelighed og lovlighed – al data skal lovligt og rimeligt behandles. Dertil skal det behandles på gennemsigtig vis. 
  • Fortrolighed og integritet – opbevaring af data skal ske således, at det er umuligt at identificere registrerede i et tidsrum, der er længere end det nødvendige for formålet. Det betyder også, at al data skal blive behandlet på en måde, som sikrer sikkerhed for personoplysningerne. 
  • Formålsbegrænsning – data må ikke behandles videre på en måde, som er andet end det oprindelige formål. Derfor skal dataen indsamles til det legitime og udtrykkeligt angivne formål. 
  • Dataminimering – data skal være relevante, tilstrækkelige samt begrænsede til, hvad formålet finder nødvendigt, hvortil de behandles. 

Databehandleraftalen opstiller specifikke rammer 

Med GDPR er der ved databehandleraftalen blevet opstillet specifikke rammer. Denne databehandleraftale indgås mellem virksomheden og samarbejdspartnerne og kunderne – og det er der faktisk ikke noget nyt i. Dog er rammerne nu blevet specifikke, hvilket gør det lettere for alle parter at gennemskue og overholde diverse krav. Hele aftalen består af mange hjørnesten, men de 10 vigtigste er:

  • Virksomheden er forpligtet til at tilbagelevere eller slette data fra kunden på opfordring ved for eksempel et afsluttet samarbejde eller en anden ophørsform. 
  • Virksomheden er forpligtet til fuld gennemsigtighed ved påvisning af overholdelse af kravene på forordningen.
  • Virksomheden er forpligtet til at leve op til alle tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrives i persondataforordningen.
  • Virksomheden er forpligtet til at orientere kunden i løbet af 12 timer, hvis der sker et brud på sikkerheden eller en anden type sikkerhedsbrist. 
  • Virksomheden er forpligtet til at give kunden besked om retlige krav ved risiko for, at persondataforordningen overskrides. 
  • Virksomheden opbevarer og behandler kun data for kunder, som har skrevet under på databehandleraftalen.
  • Virksomhedens underdatabehandlere er forpligtede på de samme vilkår, som virksomheden selv i forhold til kundens databehandleraftale. 
  • Alle virksomhedens medarbejdere, som på den ene eller anden måde er i kontakt med eller behandler kundens data, skal sikre korrekt datahåndtering, ved at medarbejderne har en passende uddannelse. 
  • Alle virksomhedens medarbejdere, som på den ene eller anden måde er i kontakt med eller behandler kundens data, skal underskrive en fortrolighedsaftale. 
  • Har kunden et ønske om at trække al data ud af virksomhedens platform, kan det kun ske gennem bestilling hos virksomheden, sådan alle former for udtræk registreres. 

Hvad er forskellen på databehandler og dataansvarlig?

I forbindelse med persondataloven dukker begreber op som databehandler og dataansvarlig. Forskellen på disse to er, at den dataansvarlige afgør, hvordan behandlingen af oplysningerne foretages samt til hvilket formål. Dette kan for eksempel være en arbejdsgiver, som behandler personoplysninger af sine kunder og ansatte, eller en myndighed, som er pålagt at behandle personoplysninger.

Man kan hurtigt illustrere forskellen med et hurtigt eksempel. På hjemmesider som Stigereol eller denne danske side om dating, bliver der målt på besøgendes adfærd med et værktøj der hedder Google Analytics. Til at adskille forskellige brugere fra hinanden bruges besøgendes IP-adresser, hvilket er persondata, fordi det kan lede hen til en bestemt person. Det er hjemmesidens ejer der er dataansvarlig, mens Google – som sørger for at systematisere og give et godt overblik over dataene – er databehandler.

Databehandleren er den, som behandler oplysningerne på vegne af den dataansvarlige. Personoplysningerne bliver aldrig behandlet til egne formål, man må derimod kun bruge oplysninger, der er aftalt med den dataansvarlige. Dette kan for eksempel være et inkassobureau, en webhoteludbyder eller en virksomhed, som varetager IT-systemerne hos en anden virksomhed. Gennem GDPR er databehandleren nu også ansvarlig for:

  • At udarbejde behandlingsaktivitetsreporter 
  • At reglerne for dataoverførsel til lande uden for EU overholdes
  • At informere den dataansvarlige ved databrud
  • At data ikke behandles på anden vis end aftalt med den dataansvarlige
  • At passende organisatoriske og tekniske sikkerhedsforanstaltninger implementeres 
  • At udpege en DPO, hvis påkrævet 

Overholder databehandleren ikke reglerne, kan konsekvensen heraf være at ifalde bødeansvar efter nye bøderegler. 

Hvad er en DPO? – Data Protection Officer 

Udover at det fra 2018 er et EU-krav, at virksomheder følger GDPR-lovgivningen, skal databehandlere og dataansvarlige nu også udpege en såkaldt DPO. DPO står for Data Protection Office, og kravet gælder virksomheder, som har hovedaktivitet i databehandlingsprocesser, hvor systematisk og omfattende overvågning af personer er nødvendigt. Kravet gælder ligeledes virksomheder, der har hovedaktivitet i behandling af følsomme personoplysninger fastsat under artikel 9 i forordningen – eller oplysninger om strafferetlige forhold. 

Som virksomhed vil du overholde kravene til DPO, hvis:

  • Virksomheden har ansat en DPO – enten en ekstern konsulent eller en fast medarbejder. Faste medarbejdere med titlen som DPO må gerne foretage andre opgaver af virksomhedens opgaver, medmindre disse resulterer interessekonflikter
  • Virksomheden sørger for, at DPO’en rapporterer til den øverste ledelse af virksomheden og ikke modtager instrukser om udførelsen af arbejdsopgaverne. Dertil må DPO’en ikke blive straffet eller fyret for at udføre opgaverne
  • DPO’en sikrer, at procedurerne og reglerne for persondataforordningen leves op til af virksomheden. Virksomheden skal derfor sikre at involvere DPO’en i alle situationer omkring persondatabeskyttelse. Dertil skal virksomheden sikre, at de nødvendige adgange og ressourcer til persondataoplysningerne kan tilgås af DPO’en
  • DPO’en rådgiver og informerer virksomheden om forordningens forpligtelser. Her inkluderes ligeledes rådgivning omkring konsekvensanalyser
  • DPO’en udfører fortroligt sine opgaver
  • DPO’en samarbejder med Datatilsynet og agerer som kontaktperson vedrørende behandling af persondata

Har andre personer behov for at udøve sine rettigheder under forordningen, er det også virksomhedens DPO, der fungerer som kontaktperson. Dette kan for eksempel være ved rettelse af data eller indsigt heri. 

Samtykkekrav til behandling af personoplysninger 

Det skal være informeret, specifikt og frivilligt at give samtykke til, at ens personoplysninger behandles. Derfor skal virksomheden sørge for, at samtykket ikke er underforstået eller stiltiende – men at samtykket derimod er udtrykkeligt. Virksomheden, som indsamler persondata, skal derfor oplyse om formålet af persondataindsamlingen, hvem, der kan foretage behandlingen heraf samt hvilke former for persondata, der indsamles. Det samme gælder for øvrigt på nettet. Hvis et website som Black Friday guiden samler mailadresser ind til nyhedsbrev, så er det altså ikke nok bare at have en checkbox, hvor man kan krydse af om man ønsker at modtage en mail med nyheder. Her skal samtykketeksten ligeledes være specifik og oplyst.

Et eksempel på dette er et løn- eller HR-program, der systematiserer og indsamler personfølsomme oplysninger. Inden indsamlingen skal personerne, der indsamles persondata fra, have givet frivilligt, specifikt og informeret samtykke hertil. Virksomheden skal altså tydeligt give information om, hvilken form for information der indsamles (såsom navn, adresse osv.), hvem, der bruger dataen (såsom kun virksomheden selv), og hvad oplysningerne skal bruges til (såsom lønudbetaling).

Hvis et forhold af samtykket ændres, er det vigtigt, at et nyt samtykke indhentes. Det kan for eksempel være, hvis typen af behandlingen eller formålet ændres. Konkret betyder det, at virksomheden skal sikre, at brugeren afgiver nyt samtykke, når hjemmesiden opdateres, eller softwaren ændres. Virksomheden skal ligeledes sørge for, at softwaren eller hjemmesiden ikke kan anvendes, før brugeren har givet et nyt samtykke. 

Det er ikke længere gyldigt, at brugeren blot giver samtykke til generelle brugervilkår. Samtykket skal derimod kunne adskilles fra andre former for vilkår. Den dataansvarlige skal også kunne dokumentere specifikke samtykker til, at en behandling af personoplysninger kan ske. Samtykket skal være forståeligt, i tilgængelig form samt anvende tydeligt og klart sprog. For eksempel kan dette være gennem et afkrydsningsfelt ledsaget af en behandlings- og indsamlingsbeskrivelse. Brugeren kan give samtykke ved at krydse dette felt af. 

Samtykke til persondatabehandling kan ikke gives af personer under 16 år. Ved indhentning af samtykke ved for eksempel børneapps, skal det derfor tydeligt fremgå, at det er en værge eller forældre, som skal give samtykke. Det betyder altså, at:

  • Samtykke skal indhentes fra værge eller forældre ved behandling af persondata af børn
  • Samtykke skal hentes ind forud for alle former for behandling (og også indsamling)
  • Samtykket skal være informeret, specifikt og frivilligt
  • Samtykkeforespørgslen skal være adskilt fra andre former for vilkår
  • Samtykkeforespørgslen skal være i let tilgængelig form, tydeligt og klart beskrevet 
  • Ændres formålet eller behandlingen, skal et nyt samtykke indhentes

Hvad sker der, hvis jeg overtræder GDPR? 

Overtræder virksomheden persondataloven, kan det komme til at koste dyrt. Der findes to størrelser af bøder for overtrædelse. Overtrædelse i mild grad vil udløse en bøde på to procent af virksomhedens omsætning i det forgangne regnskabsår eller 10 millioner euro. Overtrædelse i strengere grad vil derimod udløse en bøde på fire procent af virksomhedens omsætning i det forgangne regnskabsår eller 20 mio. euro. Derfor er det en yderst god idé at sikre, at virksomhedens eksisterende data samt behandlingen heraf lever op til persondatalovens krav.

Det er Datatilsynet, der efterser, om virksomheder overholder GDPR-reglerne. Datatilsynet har altid ret til at foretage tilsyn i virksomheder, selvom de næppe kommer tilfældigt forbi. Dog har virksomheder som pligt at anmelde sikkerhedsbrud til Datatilsynet. Sikkerhedsbrud dækker over hændelser, hvor kunders personoplysninger mistes. Dette kan for eksempel være:

  • Uheldig afsendelse af mail indeholdende personoplysninger til forkert modtager
  • Offer for ransomware
  • Adgang til personoplysninger sker for uvedkommende

Anmelder virksomheden ikke betydelige sikkerhedsbrud til Datatilsynet, vil virksomheden kunne blive sanktioneret. Kunder kan ligeledes anmelde virksomheder. 

Læs mere om GDPR på Datatilsynets hjemmeside.