Rådgivning om GDPR
Et af hovedformålene med databeskyttelsesforordningen og databeskyttelsesloven – også kaldet GDPR-reglerne – er at sikre den enkelte borger kontrol med sine oplysninger og at beskytte mod unødig krænkelse af privatlivet.
PERSONDATA OG GDPR
Arbejdet med persondata og GDPR er komplekst, fordi reglerne både indeholder en hel del tekniske bestemmelser, der retter sig mod nødvendige sikkerhedskrav, ligesom de indeholder en række mere skønsprægede regler, der forudsætter en helt konkret bedømmelse af, i hvilket omfang det i det hele taget er nødvendigt at indhente, behandle, opbevare og videregive persondata, samt hvornår oplysningerne bør slettes, fordi de ikke længere er nødvendige til det formål, de oprindeligt blev indhentet til.
Det er derfor en svær øvelse at gøre det rigtigt.
Elmer Advokater har betydelige erfaring og ekspertise med persondatareglerne – både med den juridiske forståelse og afgrænsning heraf samt den praktiske implementering.
Med udsigt til en fremtid, hvor den tekniske udvikling næppe går i stå, og de digitale tjenester næppe heller vil få mindre plads, men hvor det tværtom vil blive endnu lettere at opbevare, filtrere og sammenstille personoplysninger, indebærer databeskyttelsesreglerne derfor en række udfordringer og dilemmaer for den dataansvarlige.
DEN DATAANSVARLIGES FORPLIGTELSER
Den dataansvarlige skal konkret tage stilling til, om der er et forretningsmæssigt behov for – herunder den fornødne reelle og berettigede interesse i – at behandle og gemme personoplysninger i forhold til den registreredes interesse i, at oplysningen ikke behandles og gemmes.
Et forretningsmæssigt behov kan udspringe af såvel lovkrav (ex. regnskabsregler), håndtering af kundeordrer (ex. leveringskontrakter), markedsføringsmæssige hensyn (berettiget interesse) eller ansættelsesretlige forhold (arbejdsretlige forpligtelser).
Det er vigtigt at gøre sig klart, hvilken hjemmel man anvender – herunder navnlig om man blandt andet anvender hjemlen i forordningens artikel 6, stk. 1, litra f, om, at der foreligger en berettiget interesse, der overstiger den registreredes. I sidstnævnte tilfælde skal man nemlig huske at informere den registrerede særskilt om indsigelsesretten i artikel 21.
Man skal i den forbindelse være opmærksom på, at Datatilsynet har ændret sin praksis og nu fremover vil forudsætte et hjemmelgrundlag i artikel 6 for alle behandlinger – også for behandling af følsomme oplysninger, som herefter skal have hjemmel i både artikel 6 og artikel 9. Afvejningsinteressen i artikel 6, stk. 1, litra f, kan derfor blive meget relevant, når man eksempelvis bistår en klient og derfor anvender artikel 9, stk. 2, litra f (retskravsbestemmelsen, som hjemmelsgrundlag. En tilsvarende hjemmel findes ikke i artikel 6, hvorfor man nødvendigvis vil anvende artikel 6, stk. 1, litra f.
Vi tilbyder derfor:
- Fuld pakke i forhold til implementering og løbende compliance i organisationen, herunder
- Kortlægning af behandlinger og processer
- Udarbejdelser af risikoanalyser
- Udarbejdelse af politikker – herunder cookiepolitik
- Udarbejdelse af fortegnelser
- Udarbejdelse af praktisk anvendelige instrukser til medarbejderne
- Vejledning om privacy by default og privacy by design
- Vejledning og bistand vedrørende behov for og indhold af databehandlerkontrakter
- Rådgivning om de registrerede rettigheder
- Vejledning og bistand vedrørende grundlag for overførsel til tredjelande
- Bistand i forbindelse med klagesager
- Bistand i forbindelse med håndtering af databrud
- Om nødvendigt gennemførelse af sagsanlæg ved domstolene
- Generel bistand om fortolkning/udlægning af persondatareglerne – herunder også i krydsfeltet med anden lovgivning (ansættelsesret, markedsføringsret mv.)
REGELSÆTTET OG DATABESKYTTELSESFORORDNINGEN
Databeskyttelsesforordningen forudsætter også, at den dataansvarlige anvender og følger de bedste tekniske standarder i forhold til at sikre data mod risiko for misbrug. Den tekniske sikkerhed skal desuden suppleres med organisatoriske sikkerhedstiltag rettet mod de menneskelige processer, som ikke kan styres ved kun brug af teknik.
For at kunne vurdere, hvilke sikkerhedstiltag som er nødvendige og passende på et så oplyst og gennemsigtigt grundlag som muligt, er det vigtigt, at der foretages en kortlægning af virksomhedens:
- Personoplysninger
- Behandlinger processer
- Anvendte systemer
GDPR-RISIKOVURDERING
På baggrund af sin kortlægning kan den dataansvarlige foretage en risikovurdering, hvori man angiver risikoen for, at der sker en krænkelse i forbindelse med de enkelte behandlingsprocesser, samt de mulige konsekvenser heraf for de registrerede (ikke for forretningen!). Når dette er klarlagt, kan man implementere de nødvendige og passende sikkerhedsforanstaltninger, som imødegår risikoen for og konsekvensen af en potentiel krænkelse.
Det er vigtigt at være opmærksom på, at man ikke kan aftale med den registrerede, at det er OK at anvende en ringere sikkerhed, end den som risikovurderingen tilsiger.
Adgangen til at behandle personoplysninger er reguleret i databeskyttelsesforordningen (Europa Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016) og i den danske supplerende lov om databeskyttelse (lov nr. 502 af 23/5–2018) - læs mere her
OVERHOLDELSE AF REGLERNE FOR PERSONDATA
For arbejdet med GDPR-compliance er det derfor vigtig at man tager stilling til følgende punkter:
Hvordan sikrer man overholdelse af persondatareglerne?
Kortlæg kategorierne af oplysninger, der behandles, typen af behandlinger, der foretages i organisationen samt hjemmelsbestemmelserne, man anvender som grundlag for behandlingerne.
Gennemgå de tekniske systemer og tilpas dem om nødvendigt, hvis ikke de lever op til det niveau af sikkerhed, som risikovurderingen forudsætter er nødvendig (eksempelvis få implementeret et sikkermail-system, i fald man jævnligt sender fortrolige og følsomme oplysninger over nettet og sørg for kryptering af alle bærbare medier).
Fordel ansvaret for overholdelsen af reglerne i organisationens lokale enheder (sørg for at uddanne personalet).
Læs om ‘Fire domme fra Højesteret om behandling af personoplysninger’
Udarbejd et årshjul for overholdelse af persondatareglerne, hvorved man jævnligt får opdateret sin interne dokumentation samt tilpasset de tekniske/organisatoriske sikkerhedsforanstaltninger til den evigt foranderlige virkelighed.
Udarbejd en risikovurdering- altså en vurdering af risikoen for at den registreredes oplysninger/rettigheder bliver krænket sammenholdt med konsekvenserne heraf. Konsekvenserne kan være vidtrækkende. Ex kan tab af dokumenter (utilsigtet sletning/hacking) indebære, at vigtige beviser går tabt, og den registrerede dermed taber et rejst krav.
Udarbejd fortegnelser efter forordningens artikel 30, som tager udgangspunkt i virksomhedens overordnede behandlingsopgaver (ex. en fortegnelse for ”Markedsføring og kundepleje” en fortegnelse for ”HR” og en fortegnelse for ”Finansielle- og regnskabsmæssige forhold”).
Fastlæg og informer internt om de procedurer, der skal følges for overholdelse af behandlingsreglerne samt også sikkerheds- og rettighedsreglerne, navnlig skal medarbejderne instrueres om at tage positivt stilling til, om en oplysning er nødvendig, hvis den ”falder uden for normalen”, og at slette oplysningen, hvis ikke den er nødvendig, ligesom medarbejderen skal instrueres om proceduren, hvis man modtager en rettighedsanmodninger, eller hvis der sker et databrud.
Dette alt med henblik på at sikre en efterlevelse af databeskyttelsesforordningen og den supplerende databeskyttelseslov.
Som anført er det en svær øvelse. Det er derfor en god idé at søge juridisk bistand til spørgsmål relateret til GDPR-compliance. De vil med sikkerhed opstå. Ikke bare i den forberedende proces, men også efterfølgende i forbindelse med administrationen af databeskyttelsesreglerne i organisationen.
I SKAL VÆLGE EN ADVOKAT FRA ELMER ADVOKATER FORDI:
- Vi har indgående erfaring og indsigt i regelsættet om persondata. Og vi ved, hvor man som dataansvarlig typisk halter efter i forhold til at efterleve reglerne.
- Vi kan sikre jer kompetent rådgivning fokuseret på de udfordringer, organisationen står overfor.
- Vi kan også bistå med at få udarbejdet gode procedurer for håndtering af persondata på alle niveauer. Også gennem hele kæden af behandlinger.
- Vi rådgiver både om sikkerhedskrav, om hjemlen til at indhente, behandle, opbevare, videregive samt slette personoplysninger, om behørig opfyldelse af den registreredes rettigheder, samt om underretningspligten til Datatilsynet.
- Vi har fokus på det gode samarbejde og vil aktivt inddrage jer hele vejen igennem forløbet. Så kan vi altid sikre jer den mest optimale løsning ud fra jeres behov.
- Vi kan rådgive om konkrete problemstillinger. Vi kan følge en sag til dørs ved Datatilsynet eller i sidste ende domstolene, hvis der opstår et sagsanlæg.
Har du derfor spørgsmål eller brug for hjælp, er du velkommen til at kontakt os for en uforpligtende drøftelse af dine muligheder.