Persondataloven | Virksomheders guide til persondataloven

Datasikkerhed
By 26. januar 2021januar 29th, 2021No Comments

“Hvordan skal vi som virksomhed sørge for, at vi overholder persondataloven?”

Hvis spørgsmål som dette ofte flyver hen over bordet til møder i din virksomhed, er I ikke alene. For stort set alle virksomheder og myndigheder er blevet påvirket af den omfattende persondataforordning, der trådte i kraft i foråret 2018.

Derfor går vi i dette blogindlæg i dybden med alle de aspekter af persondataloven, der er relevante for virksomheder. For det er naturligvis utrolig vigtigt, at I er i compliance med lovgivningen.

Vi kommer ind på de forskellige paragraffer, som har direkte betydning for virksomheder og deres måde at behandle persondata på. Og vi præsenterer syv overordnede principper, som I bør efterleve som virksomhed.

Så læs endelig videre!

Hvad er persondataloven?

Strengt taget er persondataloven en tidligere dansk lov, der regulerede hvornår og hvordan personoplysninger må behandles. Loven regulerede al elektronisk behandling af personoplysninger, men også den manuelle behandling af personoplysninger. Loven gjaldt for private virksomheder, foreninger, organisationer samt myndigheder.

I 2018 blev loven ophævet, fordi Databeskyttelsesloven blev vedtaget, og Databeskyttelsesforordningen trådte i kraft. Det er denne forordning, der har bragt GDPR ind i det danske sprog.

Udtrykket ‘persondataloven’ lever formentlig videre i det danske sprog, da det kan være svært at finde hoved og hale i den komplicerede lovgivning på området.

I foråret 2018 trådte Databeskyttelsesforordningen i kraft, og det er den, der i dag dikterer, hvordan virksomheder skal håndtere personfølsomme data.

Huskeliste til virksomheder – sådan skal persondata håndteres

Der er som nævnt tale om en lovgivning, der er omfattende og kompleks at finde rundt i.

Derfor præsenterer vi her de vigtigste paragraffer, der har direkte betydning for virksomheder og deres måde at behandle persondata på. Det er tiltænkt som en god vejledning til dataansvarlige i alle typer af virksomheder, der indsamler personoplysninger.

Alle de nedenstående artikler kan du også finde til fulde her som lovtekst.

Artikel 12: Udøvelse af den registreredes rettigheder

Denne artikel lægger særligt vægt på gennemsigtighed og levering af opbevarede personoplysninger. Virksomheder er forpligtet til at fortælle om de registrerede oplysninger i ‘en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog’. Og samtidig dikterer artiklen, at data seneste skal være udleveret skriftligt inden for én måned.

Vigtige punkter i artiklen:

Personoplysninger skal udleveres skriftligt og inden for én måned.
Virksomheder skal kommunikere på en enkel og overskuelig måde, når de skal udlevere personoplysninger.

Artikel 15: Den registreredes indsigtsret

Denne artikel handler om, at personer, der registreres hos virksomheder, har ret til en række informationer angående personoplysningerne. Eksempelvis hvilke kategorier af personoplysninger der er tale om, og hvad formålet med behandlingen af personoplysningerne er.

Vigtige punkter i artiklen:

Virksomheder skal oplyse:
Hvad formålet med behandlingen af personoplysninger er
Hvilke kategorier af personoplysninger der er tale om
Hvilke andre virksomheder eller organisationer som personoplysningerne er eller vil blive videregivet til
Det tidsrum (hvis muligt) hvor personoplysningerne vil blive opbevaret
At det er muligt at henvende sig til den dataansvarlige i virksomheden og få slettet personoplysninger

Artikel 16: Ret til berigtigelse

Denne artikel dikterer, at registrerede personer har ret til at få forkerte personoplysninger rettet med det samme.

Vigtige punkter i artiklen:

Alle personer har ret til at få forkerte personoplysninger om dem selv rettet med det samme af eksempelvis virksomheder, der ligger inde med deres oplysninger.

Artikel 17: Ret til sletning (“Retten til at blive glemt”)

Registrerede personer har ret til at få personoplysninger om dem selv slettet uden unødig forsinkelse, hvis bare et af de nedenstående forhold gør sig gældende:

Personoplysningerne er ikke længere nødvendige for at opfylde de formål, hvortil de er blevet indsamlet
Den registrerede person trækker sit samtykke tilbage
Personoplysningerne er blevet behandlet ulovligt
Den registrerede person gør indsigelser mod behandlingen
Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU-retten eller medlemsstaternes nationale ret
Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester

Artikel 18: Ret til begrænsning af behandling

Denne artikel handler om, at registrerede personer har ret til, at behandlingen af deres personoplysninger begrænses i visse tilfælde. Det kan ske, hvis:

Den registrerede person ikke mener, at de registrerede oplysninger er korrekte
Behandlingen af data er ulovlig, og den registrerede anmoder om at behandlingen af data begrænses
Den dataansvarlige ikke længere har brug for personoplysningerne til behandlingen, men data stadig er nødvendige i tilfælde af et retskrav
Den registrerede person har gjort indsigelse mod behandlingen af data

Artikel 20: Ret til dataportabilitet

Denne artikel handler om, at registrerede personer har ret til at modtage personoplysninger om dem selv digitalt, som kan videregives til en anden dataansvarlig (tredjepart) uden hindring fra den dataansvarlige, som personoplysningerne blev givet til i første omgang.

Vigtige punkter i artiklen:

Personoplysninger skal udleveres digitalt i et ‘struktureret, almindeligt anvendt og maskinlæsbart format’ (eksempelvis i et Word dokument eller direkte i en mail).
Hvis det er teknisk muligt, har den registrerede person ret til, at de registrerede data overføres direkte fra en dataansvarlig til en anden. Det er eksempelvis relevant, hvis en person skifter bank, og pågældendes personoplysninger skal flyttes til den nye bank.

Artikel 21: Ret til indsigelse

Denne artikel handler om at registrerede personer altid har ret til at gøre indsigelse mod handlingen af hans eller hendes personoplysninger.

Vigtige punkter i artiklen:

Nogle virksomheder behandler personoplysninger med henblik på markedsføring. Hvis jeres virksomhed er en af dem, skal I være opmærksomme på, at den registrerede til enhver tid har ret til at gøre indsigelse. Og hvis der kommer en indsigelse, må I som virksomhed ikke længere bruge personoplysninger til dette formål.

7 vigtige principper i persondataforordningen

Hvis du er nået herned, kan vi godt forstå, hvis mundvigene hænger en lille smule. For som tidligere nævnt er der ingen tvivl om, at denne lovgivning er kompleks og har mange facetter. Der er dog en del hjælp at hente ved at nærlæse artikel 5 i persondataforordningen.

Her bliver der nemlig oplistet 7 principper for, hvordan man bør behandle persondata. Og hvis man følger disse 7 principper, er man kommet et langt stykke vej. Her gennemgår vi dem én for én:

Ansvarlighed
Formålsbegrænsning
Dataminimering
Lovlig, rimelig og gennemsigtig
Rigtighed
Integritet, fortrolighed og sikkerhed
Opbevaringsbegrænsning

1. Ansvarlighed

Som virksomhed skal I kunne bevise, at I efterlever persondataforordningens principper, og det er et ganske omfattende krav. Det angives dog ikke hvordan, at din virksomhed skal kunne påvise, at I efterlever persondataforordningens principper.
Din virksomhed bør altså kunne dokumentere sine handlinger for at påvise, at I efterlever persondataforordningens principper. Det er vigtigt at have dette i baghovedet, når de øvrige principper gennemgås.

2. Formålsbegrænsning

Når I som virksomhed indsamler persondata om kunderne, må I kun indsamle persondata til specifikke formål.

I må gerne indsamle og behandle persondata til flere formål, hvis I har hjemmel til dette, f.eks. ved at indhente samtykke. Den første gang, at I indsamler persondata om en kunde til et specifikt formål, skal I informere kunden om dette.

Når I indsamler persondata til et specifikt formål, så indebærer det også, at I ikke må viderebehandle disse persondata til andre formål. I må altså ikke videresælge en kundes data, hvis I ikke har oplyst kunden om dette specifikke formål.

I må gerne videre behandle de indsamlede persondata til legitime eller saglige formål. Det følger eksempelvis af en handel med en kunde, at købet og transaktionen skal dokumenteres og bogføres. Og i sådanne tilfælde skal I ikke bede jeres kunder om lov.

3. Dataminimering

Her skal I tænke “need-to-have” i stedet for “nice-to-have”.

De indsamlede persondata skal være tilstrækkelige til, at du kan gennemføre formålet med at behandle persondata om kunden.

Et eksempel: Hvis I skal levere en pakke til en kunde, skal I naturligvis have kundens navn og adresse. Men I behøver ikke vide personens CPR-nummer, fødselsdato, religiøse overbevisning og så videre.

4. Lovlig, rimelig og gennemsigtig

Enhver behandling af persondata skal naturligvis være lovlig. Din virksomhed skal have hjemmel i lovgivningen til at behandle persondata – eksempelvis ved at indhente et samtykke hos kunden.

Enhver behandling af persondata skal være rimelig. Det er rimeligt at behandle persondata sikkert, og med udgangspunkt i best practice – eksempelvis en sikker teknologisk løsning.

Din virksomhed skal give gennemsigtig information til kunderne, om hvordan I behandler persondata. Sproget skal være letforståeligt, og kunderne skal vide, hvad der sker og hvorfor. Undgå det svære tekniske sprog og få eksempelvis en tekstforfatter til at skrive de templates, som I skal bruge.

5. Rigtighed

Din virksomhed bør sikre, at de persondata, som I behandler, er rigtige.

Det betyder, at I løbende skal ajourføre data. Det kan også indebære, at I skal have nogle kontrolforanstaltninger i virksomheden, der skal sikre, at data er korrekte.

Samtidig skal I løbende slette eller rette persondata, som er ukorrekte i forhold til det formål, som de skal anvendes til.

6. Integritet, fortrolighed og sikkerhed

Din virksomhed skal sikre persondatas integritet. Det betyder, at I skal sikre datas troværdighed og korrekthed over tid.

I skal samtidig sikre, at persondata bliver behandlet med fortrolighed. Det betyder, at uvedkommende ikke skal have adgang til jeres kunders persondata. Her kan der både være tale om hackere, tyveknægte eller andre medarbejdere i virksomheden, der ikke har nogen grund til at have adgang til persondata.

For at sikre integritet og fortrolighed skal I have en ‘tilstrækkelig sikkerhed’. Og det sikkerhedsniveau vil variere fra virksomhed til virksomhed. I kan foretage en risikovurdering af jeres behandlinger af persondata for at teste, om jeres sikkerhedsniveau er tilstrækkeligt.

I implementerer en tilstrækkelig sikkerhed i virksomheden ved at bruge organisatoriske og tekniske foranstaltninger. Disse foranstaltninger skal beskytte jer mod:

Uautoriseret brug af virksomhedens persondata. Persondata er ikke for uvedkommende.
Ulovlig behandling af virksomhedens persondata.
Hændeligt tab, tilintetgørelse eller beskadigelse af virksomhedens persondata.

7. Opbevaringsbegrænsning

I bør kun opbevare personoplysninger, så længe det er nødvendigt. Så kig løbende på jeres opbevarede data og spørg jer selv: Har vi stadig et formål med at bevare disse oplysninger? Hvis svaret er ja, skal de naturligvis stadig opbevares. Men er svaret nej, så slet gerne data.

Hvis I opbevarer personoplysninger, fordi I tror, at det er nemmest at beholde dem, så få dem slettet og kom videre.

Fandt du ikke det svar, du søgte?

Kontakt os endelig, hvis du søger flere informationer om persondataloven.

Kontakt os