Elmer logo
Søg
Close searchbar

Persondata

persondata

Rådgivning om GDPR

Et af hoved­for­må­lene med data­be­skyt­tel­ses­for­ord­nin­gen og data­be­skyt­tel­ses­lo­ven – også kaldet GDPR-reglerne – er at sikre den enkelte borger kontrol med sine oplys­nin­ger og at beskytte mod unødig kræn­kelse af privat­li­vet.

 

PERSONDATA OG GDPR

Arbej­det med person­data og GDPR er kom­plek­st, fordi reglerne både inde­hol­der en hel del tek­niske bestem­mel­ser, der ret­ter sig mod nød­ven­di­ge sik­ker­heds­krav, lige­som de inde­hol­der en række mere skøns­præ­ge­de reg­ler, der for­ud­sæt­ter en helt kon­kret bedøm­mel­se af, i hvil­ket omfang det i det hele taget er nød­ven­digt at ind­hen­te, behand­le, opbe­va­re og vide­re­gi­ve per­son­da­ta, samt hvor­når oplys­nin­ger­ne bør slet­tes, fordi de ikke læn­ge­re er nød­ven­di­ge til det for­mål, de oprin­de­ligt blev ind­hen­tet til.

Det er der­for en svær øvel­se at gøre det rig­ti­gt.

Elmer Advo­ka­ter har bety­de­lige erfa­ring og eksper­tise med person­da­ta­reg­lerne – både med den juri­di­ske forstå­else og afgræns­ning heraf samt den prak­ti­ske imple­men­te­ring.

Med udsigt til en frem­tid, hvor den tek­ni­ske udvik­ling næppe går i stå, og de digi­ta­le tje­ne­ster næppe hel­ler vil få min­dre plads, men hvor det tvær­tom vil blive endnu let­te­re at opbe­va­re, fil­tre­re og sam­men­stil­le per­so­nop­lys­nin­ger, inde­bæ­rer data­be­skyt­tel­ses­reg­lerne derfor en række udfor­drin­ger og dilem­ma­er for den data­ansvar­li­ge.

 

DEN DATAANSVARLIGES FORPLIGTELSER

Den data­ansvar­li­ge skal kon­kret tage stil­ling til, om der er et forret­nings­mæs­sigt behov for – herun­der den for­nød­ne reel­le og beret­ti­ge­de inter­es­se i – at behand­le og gemme per­sonoplysninger i for­hold til den regi­stre­re­des inter­es­se i, at oplys­nin­gen ikke behand­les og gem­mes.

Et forret­nings­mæs­sigt behov kan udspringe af såvel lovkrav (ex. regn­skabs­reg­ler), hånd­te­ring af kunde­or­drer (ex. leve­rings­kon­trak­ter), markeds­fø­rings­mæs­sige hensyn (beret­ti­get inter­esse) eller ansæt­tel­ses­ret­lige forhold (arbejds­ret­lige forplig­tel­ser).

Det er vigtigt at gøre sig klart, hvil­ken hjem­mel man anven­der – herun­der navn­lig om man blandt andet anven­der hjem­len i forord­nin­gens arti­kel 6, stk. 1, litra f, om, at der fore­lig­ger en beret­ti­get inter­esse, der over­sti­ger den regi­stre­re­des. I sidst­nævnte tilfælde skal man nemlig huske at infor­mere den regi­stre­rede særskilt om indsi­gel­ses­ret­ten i arti­kel 21.

Man skal i den forbin­delse være opmærk­som på, at Data­til­sy­net har ændret sin prak­sis og nu frem­over vil forud­sætte et hjem­mel­grund­lag i arti­kel 6 for alle behand­lin­ger – også for behand­ling af følsomme oplys­nin­ger, som heref­ter skal have hjem­mel i både arti­kel 6 og arti­kel 9. Afvej­nings­in­ter­es­sen i arti­kel 6, stk. 1, litra f, kan derfor blive meget rele­vant, når man eksem­pel­vis bistår en klient og derfor anven­der arti­kel 9, stk. 2, litra f (rets­kravs­be­stem­mel­sen, som hjem­mels­grund­lag. En tilsva­rende hjem­mel findes ikke i arti­kel 6, hvor­for man nødven­dig­vis vil anvende arti­kel 6, stk. 1, litra f.

Vi tilbyder derfor:  

  • Fuld pakke i forhold til imple­men­te­ring og løbende compli­ance i orga­ni­sa­tio­nen, herun­der
    • Kort­læg­ning af behand­lin­ger og proces­ser
    • Udar­bej­del­ser af risi­ko­a­na­ly­ser
    • Udar­bej­delse af poli­tik­ker – herun­der cook­i­epo­li­tik
    • Udar­bej­delse af forteg­nel­ser
    • Udar­bej­delse af prak­tisk anven­de­lige instruk­ser til medar­bej­derne
    • Vejled­ning om privacy by default og privacy by design
    • Vejled­ning og bistand vedrø­rende behov for og indhold af data­be­hand­ler­kon­trak­ter
    • Rådgiv­ning om de regi­stre­rede rettig­he­der
    • Vejled­ning og bistand vedrø­rende grund­lag for over­før­sel til tred­jelande
  • Bistand i forbin­delse med klage­sa­ger
  • Bistand i forbin­delse med hånd­te­ring af data­brud
  • Om nødven­digt gennem­fø­relse af sags­an­læg ved domsto­lene
  • Gene­rel bistand om fortolkning/udlægning af person­da­ta­reg­lerne – herun­der også i kryds­fel­tet med anden lovgiv­ning (ansæt­tel­ses­ret, markeds­fø­rings­ret mv.)

 

REGELSÆTTET OG DATABESKYTTELSESFORORDNINGEN

Data­be­skyt­tel­ses­for­ord­nin­gen for­ud­sæt­ter også, at den data­ansvar­li­ge anven­der og følger de bed­ste tek­ni­ske stan­darder i for­hold til at sikre data mod risi­ko for mis­brug. Den tekni­ske sikker­hed skal desu­den supple­res med orga­ni­sa­to­ri­ske sikker­heds­til­tag rettet mod de menne­ske­lige proces­ser, som ikke kan styres ved kun brug af teknik.

For at kunne vurdere, hvilke sikker­heds­til­tag som er nødven­dige og passende på et så oplyst og gennem­sig­tigt grund­lag som muligt, er det vigtigt, at der fore­ta­ges en kort­læg­ning af virk­som­he­dens:

  • Personoplysninger
  • Behand­lin­ger proces­ser
  • Anvendte syste­mer

 

GDPR-RISIKOVURDERING

På baggrund af sin kort­læg­ning kan den data­ansvar­lige fore­tage en risi­ko­vur­de­ring, hvori man angi­ver risi­koen for, at der sker en kræn­kelse i forbin­delse med de enkelte behand­lings­pro­ces­ser, samt de mulige konse­kven­ser heraf for de regi­stre­rede (ikke for forret­nin­gen!). Når dette er klar­lagt, kan man imple­men­tere de nødven­dige og passende sikker­heds­for­an­stalt­nin­ger, som imøde­går risi­koen for og konse­kven­sen af en poten­tiel kræn­kelse.

Det er vigtigt at være opmærk­som på, at man ikke kan afta­le med den regi­stre­re­de, at det er OK at anvende en ringere sik­ker­hed, end den som risi­ko­vur­de­rin­gen tilsi­ger.

Adgan­gen til at behandle personoplysninger er regu­le­ret i data­be­skyt­tel­ses­for­ord­nin­gen (Europa Parla­men­tets og Rådets forord­ning (EU) 2016/679 af 27. april 2016) og i den danske supple­rende lov om data­be­skyt­telse (lov nr. 502 af 23/5–2018)  - læs mere her

 

OVERHOLDELSE AF REGLERNE FOR PERSONDATA

For arbej­det med GDPR-compliance er det derfor vigtig at man tager stil­ling til følgende punk­ter:

Hvordan sikrer man overholdelse af persondatareglerne?

Kort­læg kate­go­ri­erne af oplys­nin­ger, der behand­les, typen af behand­lin­ger, der fore­ta­ges i orga­ni­sa­tio­nen samt hjem­mels­be­stem­mel­serne, man anven­der som grund­lag for behand­lin­gerne.

Læs om typer af personoplysninger


Gennemgå de tekni­ske syste­mer og tilpas dem om nødven­digt, hvis ikke de lever op til det niveau af sikker­hed, som risi­ko­vur­de­rin­gen forud­sæt­ter er nødven­dig (eksem­pel­vis få imple­men­te­ret et sikkermail-system, i fald man jævn­ligt sender fortro­lige og følsomme oplys­nin­ger over nettet og sørg for kryp­te­ring af alle bærbare medier).

Læs om data­ansvar­li­ges forplig­tel­ser

Fordel ansva­ret for over­hol­del­sen af reglerne i orga­ni­sa­tio­nens lokale enhe­der (sørg for at uddanne perso­na­let).

Læs om ‘Fire domme fra Højeste­ret om behand­ling af personoplysninger’

Udar­bejd et årshjul for over­hol­delse af person­da­ta­reg­lerne, hvor­ved man jævn­ligt får opda­te­ret sin interne doku­men­ta­tion samt tilpas­set de tekniske/organisatoriske sikker­heds­for­an­stalt­nin­ger til den evigt foran­der­lige virke­lig­hed.

Læs om rådgiv­ning om GDPR

Udar­bejd en risikovurdering- altså en vurde­ring af risi­koen for at den regi­stre­re­des oplysninger/rettigheder bliver kræn­ket sammen­holdt med konse­kven­serne heraf. Konse­kven­serne kan være vidtræk­kende. Ex kan tab af doku­men­ter (util­sig­tet sletning/hacking) inde­bære, at vigtige bevi­ser går tabt, og den regi­stre­rede dermed taber et rejst krav.

Læs om GDPR-risikovurdering

Udar­bejd forteg­nel­ser efter forord­nin­gens arti­kel 30, som tager udgangs­punkt i virk­som­he­dens over­ord­nede behand­lings­op­ga­ver (ex. en forteg­nelse for ”Markeds­fø­ring og kundepleje” en forteg­nelse for ”HR” og en forteg­nelse for ”Finansielle- og regn­skabs­mæs­sige forhold”).

Læs om doku­men­ta­tion til compli­ance

Fast­læg og infor­mer internt om de proce­du­rer, der skal følges for over­hol­delse af behand­lings­reg­lerne samt også sikkerheds- og rettig­heds­reg­lerne, navn­lig skal medar­bej­derne instru­e­res om at tage posi­tivt stil­ling til, om en oplys­ning er nødven­dig, hvis den ”falder uden for norma­len”, og at slette oplys­nin­gen, hvis ikke den er nødven­dig, lige­som medar­bej­de­ren skal instru­e­res om proce­du­ren, hvis man modta­ger en rettig­heds­an­mod­nin­ger, eller hvis der sker et data­brud.

Læs om medar­bej­ders ret til indsigt

 

Dette alt med hen­blik på at sikre en efter­le­vel­se af data­be­skyt­tel­ses­for­ord­nin­gen og den supple­rende data­be­skyt­tel­ses­lov.

Som anført er det en svær øvelse. Det er derfor en god idé at søge juri­disk bistand til spørgs­mål rela­te­ret til GDPR-compliance. De vil med sik­ker­hed opstå. Ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af databeskyttelsesreg­ler­ne i orga­ni­sa­tio­nen.

 

I SKAL VÆLGE EN ADVOKAT FRA ELMER ADVOKATER FORDI:

 

  • Vi har indgå­ende erfa­ring og indsigt i regel­sæt­tet om person­data. Og vi ved, hvor man som data­ansvar­lig typisk halter efter i forhold til at efter­leve reglerne.
  • Vi kan sikre jer kompe­tent rådgiv­ning foku­se­ret på de udfor­drin­ger, orga­ni­sa­tio­nen står over­for.
  • Vi kan også bistå med at få udar­bej­det gode proce­du­rer for hånd­te­ring af person­data på alle niveauer. Også gennem hele kæden af behand­lin­ger.
  • Vi rådgi­ver både om sikker­heds­krav, om hjem­len til at indhente, behandle, opbe­vare, vide­re­give samt slette personoplysninger, om behø­rig opfyl­delse af den regi­stre­re­des rettig­he­der, samt om under­ret­nings­plig­ten til Data­til­sy­net.
  • Vi har fokus på det gode samar­bejde og vil aktivt inddrage jer hele vejen igen­nem forlø­bet. Så kan vi altid sikre jer den mest opti­male løsning ud fra jeres behov.
  • Vi kan rådgive om konkrete problem­stil­lin­ger. Vi kan følge en sag til dørs ved Data­til­sy­net eller i sidste ende domsto­lene, hvis der opstår et sags­an­læg.

Har du derfor spørgs­mål eller brug for hjælp, er du velkom­men til at kontakt os for en ufor­plig­tende drøf­telse af dine mulig­he­der.

Advokat Kira Kolby Christensen

Kira Kolby Christensen

Partner

Direkte: +45 3367 6793

kkc@elmer-adv.dk

Relateret info
databeskyttelsesforordningen

Databeskyttelsesforordningen

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev

Elmer Facebook
Facebook
Elmer LinkedIn
LinkedIn
KONTAKT OS