Det korte svar: Virksomheder bør identificere, indsamle, opbevare og slette personoplysninger i overensstemmelse med GDPR-kravene. Dette indebærer at indhente samtykke, beskytte data under opbevaring og sikre korrekt sletning, når data ikke længere er nødvendige.
Hvordan skal man behandle personoplysninger?
Med EU‘s dataforordning GDPR i 2018, og tilsvarende dataforordninger i andre dele af verden, er der kommet et skarpere fokus på behandling af personoplysninger. Borgere er i stigende grad blevet opmærksomme på, hvordan deres data behandles, og hvilke konsekvenser det kan have for dem, hvis deres data ender i de forkerte hænder. For virksomheder er det derfor blevet en central opgave – juridisk såvel som etisk – at have en ansvarlig omgang med personoplysninger.
Dette blogindlæg er en guide til virksomheder i, hvordan man skal behandle personoplysninger korrekt – heriblandt personoplysninger på kunder og medarbejdere.
Vidste du, at 46% af forbrugerne ikke har tillid til virksomheders bæredygtighedsbudskaber, herunder pålidelig datahåndtering?
- CSR.dk
Hvad siger GDPR om behandling af personoplysninger?
Når følsomme data kommer ind i jeres systemer, indbakker og fællesdrev skal I som virksomhed behandle persondata i henhold til de dataregler, som gælder for jer. I Danmark er man underlagt dataforordningen GDPR, som giver enkeltpersoner en række rettigheder:
- Ret til adgang
- Ret til berigtigelse
- Ret til sletning
- Ret til at begrænse behandlingen
- Ret til indsigelse
- Ret til dataportabilitet
Disse rettigheder afføder en række arbejdsprocesser til virksomheder i deres behandling af personoplysninger.
Behandling af personoplysninger er dog kun ét aspekt af GDPR. Rettighederne omfatter også krav til jeres dokumentation og datasikkerhed. Hvis du vil have hjælp til at overholde hele GDPR-direktivet, har vi udarbejdet en GDPR-tjekliste til dette formål.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Sådan skal I behandle personoplysninger
Hvis man overfører GDPR til praksis, er der en række situationer, jeres virksomhed skal have fokus på, når I behandler personoplysninger:
1. Identifikation af personoplysninger
Det første skridt i at behandle personoplysninger korrekt er at identificere de følsomme data, I råder over. Dette vil hjælpe jer med at få et overblik over jeres følsomme data. Læs mere om hvordan I kan finde jeres følsomme personoplysninger her.
2. Indsamling af samtykke
Ifølge GDPR er det nødvendigt at indhente samtykke fra enkeltpersoner, før I behandler deres data. Dette samtykke skal være klart, frivilligt og informeret. I bør have en fast procedure for indsamling af samtykke og sørge for, at den følges konsekvent. Læs mere om indsamling af personoplysninger her.
3. Opbevaring af personoplysninger
At beskytte personoplysninger når de befinder sig i jeres datasystemer er afgørende. I bør bl.a. implementere sikkerhedsforanstaltninger som kryptering, adgangskontrol og regelmæssige sikkerhedsrevisioner. Læs mere om sikker opbevaring af personoplysninger her.
4. Anmodninger om personoplysninger
GDPR giver enkeltpersoner ret til lave anmodninger om deres data. Som virksomhed skal I have processer på plads for at tage imod og svare på disse dataforespørgsler inden for en fast tidsramme. Læs mere om at håndtere dataforespørgsler her.
5. Deling af personoplysninger
Enkeltpersoner ret til at få udleveret til de data I har om dem. Som virksomhed skal I have en sikker måde at dele personoplysninger.
Få et komplet overblik over jeres GDPR-risici
En GDPR Risiko-rapport giver jer et komplet overblik over GDPR-risikoen i jeres virksomhed. Rapporten udarbejdes på baggrund af et scan med DataMapper,
Behandling af personoplysninger på den smarte måde
En oplagt måde at påbegynde en ansvarlig behandling af personoplysninger er at foretage en opgørelse over data. Dette indebærer identifikation og klassificering af alle typer af persondata, som f.eks. helbredsoplysninger eller økonomiske oplysninger. En måde at gøre dette på effektivt er ved at anvende et Sensitive Data Discovery-værktøj. Ved at anvende dette værktøj kan man hurtigt og præcist identificere, hvor persondata gemmer sig i virksomhedens datasystemer, uanset om det er i dokumenter, mails eller billeder. Dette muliggør en mere målrettet indsats i forhold til at håndtere personoplysninger ansvarligt.
FAQ om behandling af personoplysninger
Hvad er personoplysninger?
Personoplysninger er enhver information, der kan henføres til en identificeret eller identificerbar fysisk person, såsom navn, adresse, e-mail eller IP-adresse.
Hvordan opbevares vi personoplysninger sikkert?
Sikker opbevaring af persondata indebærer implementering af tekniske og organisatoriske foranstaltninger for at beskytte data mod uautoriseret adgang, tab eller ødelæggelse. Dette kan inkludere kryptering, adgangskontrol og regelmæssige sikkerhedsvurderinger.
Hvornår skal personoplysninger slettes?
Når personoplysninger ikke længere er nødvendige for det oprindelige formål, skal de slettes på en sikker måde. Det er vigtigt at have procedurer for regelmæssig gennemgang og sletning af data, der ikke længere er relevante.
Hvad er konsekvenserne af ikke at overholde GDPR?
Manglende overholdelse af GDPR kan resultere i betydelige bøder, tab af omdømme og tillid blandt kunder og samarbejdspartnere.
Sådan kan vi hjælpe
At behandle personoplysninger på en ansvarlige måde indebærer et stort, manuelt arbejde. Brugen af software kan lette opgaven. Her er tre typer software, jeg vil anbefale til formålet:
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler effektivt
Disse værktøjer kan spare tid for jeres virksomhed, og beskytte jer mod databrud. Endelig er de med til at vise, at omverdenen kan have tillid til jer som databehandler.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
