Persondata

RÅDGIVNING OM GDPR

Et af hoved­for­må­le­ne med persondataforordningen og person­da­ta­loven – også kaldet GDPR-reglerne – er at sikre den enkel­te bor­ger kontrol med sine oplys­nin­ger og at beskytte mod unø­dig kræn­kel­se af privat­li­vet.

Arbej­det med person­data og GDPR er kom­plek­st, fordi reglerne både inde­hol­der en hel del tek­niske bestem­mel­ser, der ret­ter sig mod nød­ven­di­ge sik­ker­heds­krav, lige­som de inde­hol­der en række mere skøns­præ­ge­de reg­ler, der for­ud­sæt­ter en helt kon­kret bedøm­mel­se af, i hvil­ket omfang det i det hele taget er nød­ven­digt at ind­hen­te, behand­le, opbe­va­re og vide­re­gi­ve per­son­da­ta, samt hvor­når oplys­nin­ger­ne bør slet­tes, fordi de ikke læn­ge­re er nød­ven­di­ge til det for­mål, de oprin­de­ligt blev ind­hen­tet til.

Det er der­for en svær øvel­se at gøre det rig­ti­gt.

Med udsigt til en frem­tid, hvor den tek­ni­ske udvik­ling næppe går i stå, og de digi­ta­le tje­ne­ster næppe hel­ler vil få min­dre plads, men hvor det tvær­tom vil blive endnu let­te­re at opbe­va­re, fil­tre­re og sam­men­stil­le per­so­nop­lys­nin­ger, inde­bæ­rer persondata­reglerne derfor en række udfor­drin­ger og dilem­ma­er for den data­ansvar­li­ge.

Adgan­gen til at behandle personoplysninger er regu­le­ret i persondataforordningen (Europa Parla­men­tets og Rådets forord­ning (EU) 2016/679 af 27. april 2016) og i den danske supple­rende lov om data­be­skyt­telse (lov nr. 502 af 23/5–2018)  - læs mere her

 

DEN DATAANSVARLIGES OVERORDNEDE FORPLIGTELSER


Den data­ansvar­li­ge skal kon­kret tage stil­ling til, om der er et forret­nings­mæs­sigt behov for – herun­der den for­nød­ne reel­le og beret­ti­ge­de inter­es­se i – at behand­le og gemme per­sonoplysninger i for­hold til den regi­stre­re­des inter­es­se i, at oplys­nin­gen ikke behand­les og gem­mes.

Et forret­nings­mæs­sigt behov kan udspringe af såvel lovkrav (ex. regn­skabs­reg­ler), hånd­te­ring af kunde­or­drer (ex. leve­rings­kon­trak­ter), markeds­fø­rings­mæs­sige hensyn (beret­ti­get inter­esse) eller ansæt­tel­ses­ret­lige forhold (arbejds­ret­lige forplig­tel­ser).

Det er vigtigt at gøre sig klart, hvil­ken hjem­mel man anven­der – herun­der navn­lig om man til behand­ling af de ikke-følsomme oplys­nin­ger (blandt andet) anven­der hjem­len i forord­nin­gens arti­kel 6, stk. 1, litra f, om, at der fore­lig­ger en beret­ti­get inter­esse, der over­sti­ger den regi­stre­re­des. I sidst­nævnte tilfælde skal man nemlig huske at infor­mere den regi­stre­rede særskilt om indsi­gel­ses­ret­ten i arti­kel 21.

 

REGELSÆTTET OG DATABESKYTELSESFORORDNINGEN

Persondataforordningen for­ud­sæt­ter også, at den data­ansvar­li­ge anven­der og følger de bed­ste tek­ni­ske stan­darder i for­hold til at sikre data mod risi­ko for mis­brug. Den tekni­ske sikker­hed skal desu­den supple­res med orga­ni­sa­to­ri­ske sikker­heds­til­tag rettet mod de menne­ske­lige proces­ser, som ikke kan styres ved kun brug af teknik.

For at kunne vurdere, hvilke sikker­heds­til­tag som er nødven­dige og passende på et så oplyst og gennem­sig­tigt grund­lag som muligt, er det vigtigt, at der fore­ta­ges en kort­læg­ning af virk­som­he­dens personoplysninger, behand­lin­ger, proces­ser og anvendte syste­mer. På baggrund af sin kort­læg­ning kan den data­ansvar­lige fore­tage en risi­ko­vur­de­ring, hvori man angi­ver risi­koen for, at der sker en kræn­kelse i forbin­delse med de enkelte behand­lings­pro­ces­ser, samt de mulige konse­kven­ser heraf for de regi­stre­rede (ikke for forret­nin­gen!). Når dette er klar­lagt, kan man imple­men­tere de nødven­dige og passende sikker­heds­for­an­stalt­nin­ger, som imøde­går risi­koen for og konse­kven­sen af en poten­tiel kræn­kelse.

Det er vigtigt at være opmærk­som på, at man ikke kan afta­le med den regi­stre­re­de, at det er OK at anvende en ringere sik­ker­hed, end den som risi­ko­vur­de­rin­gen tilsi­ger.

 

OVERHOLDELSE AF REGLERNE FOR PERSONDATA

For arbej­det med GDPR-compliance er det derfor vigtig at man tager stil­ling til følgende punk­ter:

 

Hvordan sikrer man overholdelse af reglerne for persondata?

  • Kort­læg kate­go­ri­erne af oplys­nin­ger, der behand­les, typen af behand­lin­ger, der fore­ta­ges i orga­ni­sa­tio­nen samt hjem­mels­be­stem­mel­serne, man anven­der som grund­lag for behand­lin­gerne.


    Læs om typer af personoplysninger

    Copied

    Kort­læg kate­go­ri­erne af oplys­nin­ger, der behand­les, typen af behand­lin­ger, der fore­ta­ges i orga­ni­sa­tio­nen samt hjem­mels­be­stem­mel­serne, man anven­der som grund­lag for behand­lin­gerne.


    Læs om typer af personoplysninger

  • Gennemgå de tekni­ske syste­mer og tilpas dem om nødven­digt, hvis ikke de lever op til det niveau af sikker­hed, som man vurde­rer, er nødven­digt (eksem­pel­vis få imple­men­te­ret et sikkermail-system, i fald man jævn­ligt sender fortro­lige og følsomme oplys­nin­ger over nettet).


    Læs om rettig­heds­reg­ler

    Copied

    Gennemgå de tekni­ske syste­mer og tilpas dem om nødven­digt, hvis ikke de lever op til det niveau af sikker­hed, som man vurde­rer, er nødven­digt (eksem­pel­vis få imple­men­te­ret et sikkermail-system, i fald man jævn­ligt sender fortro­lige og følsomme oplys­nin­ger over nettet).



    Læs om rettig­heds­reg­ler

  • Udar­bejd forteg­nel­ser efter forord­nin­gens arti­kel 30, som tager udgangs­punkt i virk­som­he­dens over­ord­nede behand­lings­op­ga­ver (ex. en forteg­nelse for ”Markeds­fø­ring og kundepleje” en forteg­nelse for ”HR” og en forteg­nelse for ”Finansielle- og regn­skabs­mæs­sige forhold”).


    Læs om den data­ansvar­li­ges forplig­tel­ser

    Copied

    Udar­bejd forteg­nel­ser efter forord­nin­gens arti­kel 30, som tager udgangs­punkt i virk­som­he­dens over­ord­nede behand­lings­op­ga­ver (ex. en forteg­nelse for ”Markeds­fø­ring og kundepleje” en forteg­nelse for ”HR” og en forteg­nelse for ”Finansielle- og regn­skabs­mæs­sige forhold”).


    Læs om den data­ansvar­li­ges forplig­tel­ser

  • Fordel ansva­ret for over­hol­del­sen af reglerne i orga­ni­sa­tio­nens lokale enhe­der (sørg for at uddanne perso­na­let).


    Læs “4 DOMME FRA HØJESTERET OM BEHANDLING AF PERSONOPLYSNINGER”

    Copied

    Fordel ansva­ret for over­hol­del­sen af reglerne i orga­ni­sa­tio­nens lokale enhe­der (sørg for at uddanne perso­na­let).



    Læs “4 DOMME FRA HØJESTERET OM BEHANDLING AF PERSONOPLYSNINGER”

  • Fast­læg og infor­mer internt om de proce­du­rer, der skal følges for over­hol­delse af behand­lings­reg­lerne samt også sikkerheds- og rettig­heds­reg­lerne, navn­lig skal medar­bej­derne instru­e­res om at tage posi­tivt stil­ling til, om en oplys­ning er nødven­dig, hvis den ”falder uden for norma­len”, og at slette oplys­nin­gen, hvis ikke den er nødven­dig.


    Læs om behand­lings­reg­ler

    Copied

    Fast­læg og infor­mer internt om de proce­du­rer, der skal følges for over­hol­delse af behand­lings­reg­lerne samt også sikkerheds- og rettig­heds­reg­lerne, navn­lig skal medar­bej­derne instru­e­res om at tage posi­tivt stil­ling til, om en oplys­ning er nødven­dig, hvis den ”falder uden for norma­len”, og at slette oplys­nin­gen, hvis ikke den er nødven­dig.


    Læs om behand­lings­reg­ler

  • Udar­bejd et årshjul for over­hol­delse af person­da­ta­reg­lerne, hvor­ved man jævn­ligt får opda­te­ret sin interne doku­men­ta­tion samt tilpas­set de tekniske/organisatoriske sikker­heds­for­an­stalt­nin­ger til den evigt foran­der­lige virke­lig­hed.


    Læs om indhol­det af persondataforordningen

    Copied

    Udar­bejd et årshjul for over­hol­delse af person­da­ta­reg­lerne, hvor­ved man jævn­ligt får opda­te­ret sin interne doku­men­ta­tion samt tilpas­set de tekniske/organisatoriske sikker­heds­for­an­stalt­nin­ger til den evigt foran­der­lige virke­lig­hed.


    Læs om indhol­det af persondataforordningen

 

Dette alt med hen­blik på at sikre en efter­le­vel­se af persondataforordningen og den supple­rende person­da­ta­lov.

Det er også en god idé at søge juri­disk bistand til spørgs­mål rela­te­ret til GDPR-compliance. De vil med sik­ker­hed opstå – ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af databeskyttelsesreg­ler­ne i orga­ni­sa­tio­nen.

 

I SKAL VÆLGE EN ADVOKAT FRA ELMER ADVOKATER FORDI

 

  • Vi har indgå­ende erfa­ring og indsigt i regel­sæt­tet om person­data og ved, hvor man som data­ansvar­lig typisk halter efter i forhold til at efter­leve reglerne.
  • Vi kan sikre jer kompe­tent rådgiv­ning foku­se­ret på de udfor­drin­ger, orga­ni­sa­tio­nen står over­for.
  • Vi kan også bistå med at få udar­bej­det gode proce­du­rer for hånd­te­ring af person­data på alle niveauer og gennem hele kæden af behand­lin­ger.
  • Vi rådgi­ver både om sikker­heds­krav, om hjem­len til at indhente, behandle, opbe­vare, vide­re­give samt slette personoplysninger, om behø­rig opfyl­delse af den regi­stre­re­des rettig­he­der, samt om under­ret­nings­plig­ten til Data­til­sy­net.
  • Vi har fokus på det gode samar­bejde og vil aktivt inddrage jer hele vejen igen­nem forlø­bet, så vi altid kan sikre jer den mest opti­male løsning ud fra jeres behov.
  • Vi kan rådgive om konkrete problem­stil­lin­ger, og vi kan følge en sag til dørs ved Data­til­sy­net eller i sidste ende domsto­lene, hvis der opstår et sags­an­læg.

Har du derfor spørgs­mål eller brug for hjælp, er du velkom­men til at kontakt os for en ufor­plig­tende drøf­telse af dine mulig­he­der.
 

Advokat Kira Kolby Christensen

Kira Kolby Christensen

Partner

Direkte: +45 3367 6793

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev