fbpx

Persondata

persondata

Rådgivning om GDPR

Et af hovedformålene med databeskyttelsesforordningen og databeskyttelsesloven – også kaldet GDPR-reglerne – er at sikre den enkelte borger kontrol med sine oplysninger og at beskytte mod unødig krænkelse af privatlivet.

 

PERSONDATA OG GDPR

Arbejdet med persondata og GDPR er kom­plek­st, fordi reglerne både inde­hol­der en hel del tek­niske bestemmelser, der ret­ter sig mod nød­ven­di­ge sik­ker­heds­krav, ligesom de inde­hol­der en række mere skøns­præ­ge­de reg­ler, der for­ud­sæt­ter en helt kon­kret bedøm­mel­se af, i hvil­ket omfang det i det hele taget er nød­ven­digt at ind­hen­te, behand­le, opbe­va­re og vide­re­gi­ve per­son­da­ta, samt hvor­når oplys­nin­ger­ne bør slet­tes, fordi de ikke læn­ge­re er nød­ven­di­ge til det for­mål, de oprin­de­ligt blev ind­hen­tet til.

Det er der­for en svær øvel­se at gøre det rig­ti­gt.

Elmer Advokater har betydelige erfaring og ekspertise med persondatareglerne – både med den juridiske forståelse og afgrænsning heraf samt den praktiske implementering.

Med udsigt til en frem­tid, hvor den tek­ni­ske udvik­ling næppe går i stå, og de digi­ta­le tje­ne­ster næppe hel­ler vil få min­dre plads, men hvor det tvær­tom vil blive endnu let­te­re at opbe­va­re, fil­tre­re og sam­men­stil­le per­so­nop­lys­nin­ger, inde­bæ­rer databeskyttelsesreglerne derfor en række udfor­drin­ger og dilem­ma­er for den data­ansvar­li­ge.

 

DEN DATAANSVARLIGES FORPLIGTELSER

Den data­ansvar­li­ge skal kon­kret tage stil­ling til, om der er et forretningsmæssigt behov for – herunder den for­nød­ne reel­le og beret­ti­ge­de inter­es­se i – at behand­le og gemme per­sonoplysninger i for­hold til den regi­stre­re­des inter­es­se i, at oplys­nin­gen ikke behand­les og gem­mes.

Et forretningsmæssigt behov kan udspringe af såvel lovkrav (ex. regnskabsregler), håndtering af kundeordrer (ex. leveringskontrakter), markedsføringsmæssige hensyn (berettiget interesse) eller ansættelsesretlige forhold (arbejdsretlige forpligtelser).

Det er vigtigt at gøre sig klart, hvilken hjemmel man anvender – herunder navnlig om man blandt andet anvender hjemlen i forordningens artikel 6, stk. 1, litra f, om, at der foreligger en berettiget interesse, der overstiger den registreredes. I sidstnævnte tilfælde skal man nemlig huske at informere den registrerede særskilt om indsigelsesretten i artikel 21.

Man skal i den forbindelse være opmærksom på, at Datatilsynet har ændret sin praksis og nu fremover vil forudsætte et hjemmelgrundlag i artikel 6 for alle behandlinger – også for behandling af følsomme oplysninger, som herefter skal have hjemmel i både artikel 6 og artikel 9. Afvejningsinteressen i artikel 6, stk. 1, litra f, kan derfor blive meget relevant, når man eksempelvis bistår en klient og derfor anvender artikel 9, stk. 2, litra f (retskravsbestemmelsen, som hjemmelsgrundlag. En tilsvarende hjemmel findes ikke i artikel 6, hvorfor man nødvendigvis vil anvende artikel 6, stk. 1, litra f.

Vi tilbyder derfor:  

  • Fuld pakke i forhold til implementering og løbende compliance i organisationen, herunder
    • Kortlægning af behandlinger og processer
    • Udarbejdelser af risikoanalyser
    • Udarbejdelse af politikker – herunder cookiepolitik
    • Udarbejdelse af fortegnelser
    • Udarbejdelse af praktisk anvendelige instrukser til medarbejderne
    • Vejledning om privacy by default og privacy by design
    • Vejledning og bistand vedrørende behov for og indhold af databehandlerkontrakter
    • Rådgivning om de registrerede rettigheder
    • Vejledning og bistand vedrørende grundlag for overførsel til tredjelande
  • Bistand i forbindelse med klagesager
  • Bistand i forbindelse med håndtering af databrud
  • Om nødvendigt gennemførelse af sagsanlæg ved domstolene
  • Generel bistand om fortolkning/udlægning af persondatareglerne – herunder også i krydsfeltet med anden lovgivning (ansættelsesret, markedsføringsret mv.)

 

REGELSÆTTET OG DATABESKYTTELSESFORORDNINGEN

Databeskyttelsesforordningen for­ud­sæt­ter også, at den data­ansvar­li­ge anvender og følger de bed­ste tek­ni­ske stan­darder i for­hold til at sikre data mod risi­ko for mis­brug. Den tekniske sikkerhed skal desuden suppleres med organisatoriske sikkerhedstiltag rettet mod de menneskelige processer, som ikke kan styres ved kun brug af teknik.

For at kunne vurdere, hvilke sikkerhedstiltag som er nødvendige og passende på et så oplyst og gennemsigtigt grundlag som muligt, er det vigtigt, at der foretages en kortlægning af virksomhedens:

  • Personoplysninger
  • Behandlinger processer
  • Anvendte systemer

 

GDPR-RISIKOVURDERING

På baggrund af sin kortlægning kan den dataansvarlige foretage en risikovurdering, hvori man angiver risikoen for, at der sker en krænkelse i forbindelse med de enkelte behandlingsprocesser, samt de mulige konsekvenser heraf for de registrerede (ikke for forretningen!). Når dette er klarlagt, kan man implementere de nødvendige og passende sikkerhedsforanstaltninger, som imødegår risikoen for og konsekvensen af en potentiel krænkelse.

Det er vigtigt at være opmærksom på, at man ikke kan afta­le med den regi­stre­re­de, at det er OK at anvende en ringere sik­ker­hed, end den som risikovurderingen tilsiger.

Adgangen til at behandle personoplysninger er reguleret i databeskyttelsesforordningen (Europa Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016) og i den danske supplerende lov om databeskyttelse (lov nr. 502 af 23/5-2018)  – læs mere her

 

OVERHOLDELSE AF REGLERNE FOR PERSONDATA

For arbej­det med GDPR-compliance er det derfor vigtig at man tager stilling til følgende punkter:

Hvordan sikrer man overholdelse af persondatareglerne?

Kortlæg kategorierne af oplysninger, der behandles, typen af behandlinger, der foretages i organisationen samt hjemmelsbestemmelserne, man anvender som grundlag for behandlingerne.


Læs om typer af personoplysninger


Gennemgå de tekniske systemer og tilpas dem om nødvendigt, hvis ikke de lever op til det niveau af sikkerhed, som risikovurderingen forudsætter er nødvendig (eksempelvis få implementeret et sikkermail-system, i fald man jævnligt sender fortrolige og følsomme oplysninger over nettet og sørg for kryptering af alle bærbare medier).


Læs om dataansvarliges forpligtelser

Fordel ansvaret for overholdelsen af reglerne i organisationens lokale enheder (sørg for at uddanne personalet).


Læs om ‘Fire domme fra Højesteret om behandling af personoplysninger’

Udarbejd et årshjul for overholdelse af persondatareglerne, hvorved man jævnligt får opdateret sin interne dokumentation samt tilpasset de tekniske/organisatoriske sikkerhedsforanstaltninger til den evigt foranderlige virkelighed.


Læs om rådgivning om GDPR

Udarbejd en risikovurdering- altså en vurdering af risikoen for at den registreredes oplysninger/rettigheder bliver krænket sammenholdt med konsekvenserne heraf. Konsekvenserne kan være vidtrækkende. Ex kan tab af dokumenter (utilsigtet sletning/hacking) indebære, at vigtige beviser går tabt, og den registrerede dermed taber et rejst krav.


Læs om GDPR-risikovurdering

Udarbejd fortegnelser efter forordningens artikel 30, som tager udgangspunkt i virksomhedens overordnede behandlingsopgaver (ex. en fortegnelse for ”Markedsføring og kundepleje” en fortegnelse for ”HR” og en fortegnelse for ”Finansielle- og regnskabsmæssige forhold”).


Læs om dokumentation til compliance

Fastlæg og informer internt om de procedurer, der skal følges for overholdelse af behandlingsreglerne samt også sikkerheds- og rettighedsreglerne, navnlig skal medarbejderne instrueres om at tage positivt stilling til, om en oplysning er nødvendig, hvis den ”falder uden for normalen”, og at slette oplysningen, hvis ikke den er nødvendig, ligesom medarbejderen skal instrueres om proceduren, hvis man modtager en rettighedsanmodninger, eller hvis der sker et databrud.


Læs om medarbejders ret til indsigt

 

Dette alt med hen­blik på at sikre en efter­le­vel­se af databeskyttelsesforordningen og den supplerende databeskyttelseslov.

Som anført er det en svær øvelse. Det er derfor en god idé at søge juri­disk bistand til spørgsmål relateret til GDPR-compliance. De vil med sik­ker­hed opstå. Ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af databeskyttelsesreg­ler­ne i orga­ni­sa­tio­nen.

 

I SKAL VÆLGE EN ADVOKAT FRA ELMER ADVOKATER FORDI:

 

  • Vi har indgående erfaring og indsigt i regelsættet om persondata. Og vi ved, hvor man som dataansvarlig typisk halter efter i forhold til at efterleve reglerne.
  • Vi kan sikre jer kompetent rådgivning fokuseret på de udfordringer, organisationen står overfor.
  • Vi kan også bistå med at få udarbejdet gode procedurer for håndtering af persondata på alle niveauer. Også gennem hele kæden af behandlinger.
  • Vi rådgiver både om sikkerhedskrav, om hjemlen til at indhente, behandle, opbevare, videregive samt slette personoplysninger, om behørig opfyldelse af den registreredes rettigheder, samt om underretningspligten til Datatilsynet.
  • Vi har fokus på det gode samarbejde og vil aktivt inddrage jer hele vejen igennem forløbet. Så kan vi altid sikre jer den mest optimale løsning ud fra jeres behov.
  • Vi kan rådgive om konkrete problemstillinger. Vi kan følge en sag til dørs ved Datatilsynet eller i sidste ende domstolene, hvis der opstår et sagsanlæg.

Har du derfor spørgsmål eller brug for hjælp, er du velkommen til at kontakt os for en uforpligtende drøftelse af dine muligheder.

Kira Kolby Christensen

Partner

Læs også om

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev