Vælg kontor
Privat
Erhverv
Nyheder
Om advodan
Advodan Glostrup
Ring 46 14 50 00

Glostrup Torv 6-10,
2600 Glostrup
Tlf: 46 14 50 00
glostrup@advodan.dk

Se kort Kundeoplysninger

Advodan Glostrup

Sjusk med arkivering af personoplysninger kan snart udløse store bøder

Er din virksomhed en af de mange, som ikke får slettet personoplysninger om medarbejdere og kunder, når de ikke længere er relevante? Så kan I risikere store bøder, når den nye EU persondataforordning træder i kraft. Her får du en guide til, hvad små og mellemstore virksomheder skal gøre for at blive klar i tide.

Flere og flere virksomheder tyer til den lette løsning og køber mere lagerplads og større databaser i stedet for at slette data, når informationsmængden hober sig op. Men det kan faktisk ende med at blive den dyre løsning i stedet.

”Når den nye EU persondataforordning træder i kraft i maj 2018, vanker der bøder på helt op til fire procent af årsomsætningen, hvis man eksempelvis ikke sørger for at slette personoplysninger, når de ikke længere er relevante for virksomheden. Det kan tage tid at få alle procedurer og it-systemer på plads, så det er en god idé at gå i gang allerede nu, ” siger advokat Karina Lind Bertelsen fra ADVODAN i Glostrup.

Læs her, hvad din virksomhed skal have styr på.

1. Hvilke slags data håndterer I?

I første omgang er det vigtigt at få afdækket, hvilke slags persondata din virksomhed håndterer om fx medarbejdere og kunder. Her skelnes overordnet mellem følsomme og ikke-følsomme oplysninger.

Følsomme oplysninger som fx helbredsoplysninger eller personlighedstest er som udgangspunkt forbudt at håndtere, medmindre personen har givet udtrykkeligt samtykke, eller det er nødvendigt for at overholde lovkrav. Ikke-følsomme oplysninger er eksempelvis CV på ansatte eller kontaktoplysninger til en kunde. Behandling af ikke-følsomme oplysninger kræver ikke udtrykkeligt samtykke, hvis behandlingen eksempelvis sker for at opfylde en aftale, eller hvor virksomhedens interesser vejer tungest. Når du ved, hvilke oplysninger din virksomhed ligger inde med, er næste skridt at få styr på håndteringen og opbevaringen af disse, ” siger Karina Lind Bertelsen.
 

2. Hvordan skal data håndteres?

Ifølge advokaten er det meget vigtigt, at man som virksomhed har procedurer for, hvordan oplysningerne håndteres og opbevares. Både når de er i brug og ikke mindst, når de ikke er relevante mere. 

”Det drejer sig fx om at sikre, at virksomheden har tilstrækkelig hjemmel til at behandle de forskellige typer af oplysninger, at kun relevante medarbejdere har adgang til følsomme data, og at oplysningerne håndteres sikkert, hvad enten oplysningerne opbevares fysisk eller elektronisk. Når personoplysninger ikke længere er relevante, skal de slettes helt. Hvornår, det er relevant at opbevare personoplysninger, er en konkret vurdering. 

Når en medarbejder fratræder, skal man sørge for at slette alle oplysninger om medarbejderen, som ikke er relevante at gemme for at opfylde lovkrav (fx dokumentationskrav til det offentlige) eller varetagelse af virksomhedens interesser i øvrigt (fx håndtering af tvist om opsigelsen).  Virksomheden kan med fordel opstille generelle retningslinjer for, hvornår bestemte typer personoplysninger slettes, men vurderingen af, om en oplysning er relevant er konkret og bør principielt foretages fra gang til gang, ” forklarer Karina Lind Bertelsen.
 

3. Visse virksomheder skal udpege en databeskyttelsesrådgiver

Et af de nye tiltag i den kommende persondataforordning, er indførelsen af en databeskyttelsesrådgiver (Data Protection Officer/DPO). 

”I henhold til persondataforordningen bliver det et krav for offentlige myndigheder og visse private virksomheder at udpege en DPO. DPO’en får nogle lovbestemte opgaver og skal blandt andet sørge for at informere og rådgive virksomheden og dens medarbejdere om persondatalovgivningen samt overvåge virksomhedens overholdelse af persondatalovgivningen og samarbejde med den nationale tilsynsmyndighed (Datatilsynet).

Pligten til at udpege en DPO gælder dog ikke for små og mellemstore virksomheder, med mindre behandling af persondata er en del af kerneforretningen, eller hvis der behandles store mængder af følsomme personoplysninger. Henset til de mange regler og de store bøder, anbefales det dog, at også disse virksomheder har udpeget en ansvarlig for virksomhedens håndtering af personoplysninger, ” fastslår Karina Lind Bertelsen.

4. Hvem skal vi oplyse om hvad?

Større oplysnings- og dokumentationskrav bliver også en del af den nye persondataforordning. Eksempelvis skal din virksomhed for så vidt angår visse typer oplysninger kunne dokumentere udtrykkelige, skriftlige samtykker fra de personer, som I håndterer oplysninger omkring, fx i form af et tillæg til ansættelseskontrakten. 

”Derudover bliver det et lovkrav, at hvis virksomheden har været udsat for hackerangreb, eller andre personer har haft uautoriseret adgang til persondata, skal det indrapporteres til Datatilsynet inden for 72 timer, ” siger advokaten.

 
Fakta – EU persondataforordning:

  • I dag er det den danske persondatalov, der beskriver reglerne for, hvordan personoplysninger må indsamles, opbevares og videregives.
  • I maj 2018 træder den nye EU persondataforordning i kraft – formålet er at styrke beskyttelsen af EU-borgernes persondata og ensrette reglerne på tværs af EU-landene.

  • Den nye forordning skærper en række krav i den nuværende persondatalov – eksempelvis bliver bødestørrelsen for overtrædelse af reglerne på op til fire procent af virksomhedens samlede årsomsætning.
Karina Lind Bertelsen
VIL DU VIDE MERE?

Karina Lind Bertelsen

Advokat Vis faglig profil
GØR SOM 12.622 ANDRE. SE MERE HER
Gør som 12.622 andre

Tilmeld dig vores nyhedsbreve og bliv opdateret på juraen i din hverdag. Vi sender ud to gange hver måned.

Når du udfylder formularen og trykker ”Ja tak, tilmeld mig nu”, giver du samtykke til, at ADVODAN sender dig nyhedsbreve med lokale arrangementer, nyheder og gode råd om jura.

ADVODAN opbevarer og benytter udelukkende de indtastede oplysninger som led i udsendelse af nyhedsbreve. Behandlingen af oplysningerne sker sikkert, fortroligt og i overensstemmelse med gældende lovgivning.

Du kan til enhver tid tilbagekalde dit samtykke og afmelde dig nyhedsbreve fra ADVODAN ved at bruge linket i bunden af nyhedsbrevet.

Læs mere om ADVODANs behandling af personoplysninger her.