PrivatErhvervOm Advodan
Jutland
Zealand
Bornholm
DK EN

Persondata: Sådan kommer din virksomhed i gang

Persondata 10 kommentarer Karina Lind Bertelsen
Fra den 25. maj 2018 skal alle virksomheder være klar til at overholde en række nye krav i EU’s persondataforordning. Her er en kort guide, der kan hjælpe din virksomhed i gang med det vigtige arbejde.

Reglerne om håndtering af persondata er relevante for alle virksomheder, uanset hvilke typer af personoplysninger virksomheden håndterer. Reglerne gælder derfor også for en virksomheds behandling af almindelige personoplysninger om medarbejdere og kunder, forklarer advokat og specialist i persondata Karina Lind Bertelsen fra Advodan Glostrup.

 

To typer persondata

Overordnet skelnes der mellem to typer af persondata: Følsomme personoplysninger og almindelige personoplysninger. Alle former for følsomme oplysninger er nævnt i forordningen og omfatter eksempelvis oplysninger om religion, race, politisk tilhørsforhold, helbred mv.

Almindelige personoplysninger spænder bredt over helt almindelige kontaktoplysninger som eksempelvis navn, adresse, telefonnummer mv. til oplysninger om private forhold, fx gældsforhold og lignende.

”Uanset om din virksomhed behandler den ene eller den anden slags personoplysninger, så skal I overholde en række grundlæggende regler i persondataforordningen. Eksempelvis skal I nu overveje jeres formål med behandlingen af personoplysninger, ligesom I også skal tage stilling til, hvor længe oplysningerne skal opbevares. Hvad angår følsomme personoplysninger, gælder der endnu strengere krav til jeres håndtering og opbevaring af oplysningerne,” påpeger Karina Lind Bertelsen.

 

Nye krav i persondataforordningen

Udover krav om formål og periode for opbevaring af persondata indfører Persondataforordningen en række øvrige nye og skærpede krav til virksomheders håndtering og opbevaring af persondata. Fx:

  • Udvidelse af de oplysninger, der skal gives til personer, virksomheden behandler oplysninger om
  • Nye dokumentationskrav for, at virksomheden overholder reglerne
  • Skrappere krav til databehandleraftaler med leverandører mv.

Som virksomhed skal I derfor have 100 procent styr på jeres interne processer med håndtering af persondata, herunder interne retningslinjer og procedurer, som skal foreligge skriftligt og kunne dokumenteres over for Datatilsynet. Hvis I overtræder reglerne, risikerer virksomheden store bøder på op til 4 procent af den årlige (koncern)omsætning.

 

Sådan kommer din virksomhed i gang

Både små og store virksomheder er forpligtede til at overholde de nye regler. Her er et bud på en handlingsplan, der kan hjælpe din virksomhed i gang med det vigtige arbejde:

  • Udpeg relevante nøglepersoner som tovholdere
  • Afsæt tid og økonomi til arbejdet
  • Få kortlagt persondata i virksomheden, herunder overblik over:
    • Hvilke typer personoplysninger behandles?
    • Hvilke personer behandles der oplysninger om?
    • Hvad er formålet med behandlingen?
    • Er der samtykke eller andet lovligt grundlag for behandlingen?
    • Hvor opbevares personoplysningerne?
    • Deles personoplysninger med tredjemand?
    • Hvor længe gemmes de forskellige typer personoplysninger?
  • Få skriftlige databehandleraftaler på plads. Fx med leverandører af lønsystem, it eller lign.
  • Få udarbejdet persondatapolitikker for relevante funktioner, fx personaleadministration, salg/marketing mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav
  • Få gennemgået virksomhedens it-sikkerhed og få implementeret de nødvendige tekniske foranstaltninger
  • Implementér organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata på vegne af virksomheden
  • Få udviklet processer, der sikrer, at de berørte personers (medarbejdere, kunder mv.) rettigheder bliver overholdt. Fx oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke
  • Få udarbejdet en procedure og et beredskab til håndtering af databrud

Ifølge Karina Lind Bertelsen er det nu, man som virksomhed skal tage fat på arbejdet.

”Start med at kortlægge jeres data og find ud af, hvad jeres behov er. Herefter kan I – eventuelt sammen med en advokat – lave en handlingsplan, hvor I tager fat på de forskellige opgaver i prioriteret rækkefølge. På den måde får I skabt overblik og kan komme godt i gang uden at drukne i opgaverne.”

Indsender formularen...

Skal vi hjælpe jer med at udarbejde en handlingsplan?

Vil du vide mere?

Karina Lind Bertelsen

Advokat / Partner / Certificeret persondatarådgiver
kalb@advodan.dk46 14 50 06
Advodan Glostrup København46 14 50 00
Læs mere om Karina

10 kommentar

0 / 700 tegn

Karina Lind Bertelsen

Hej Thomas. Det kommer helt an på, hvilke apps, der er tale om og dermed hvilken eventuel deling af data, der sker. Du har ret i, at det i forbindelse med visse apps kan være et problem, særligt hvor telefonen bruges til arbejdsmail og kontakter. Mvh Karina

Thomas

Hej Karina. Jeg har læst et sted, at man ikke længere må bruge sin smartphone til både arbejdsmæssig og privatbrug, da apps oftest skal have tilladelse til at tilgå telefonens forskellige medier og kontakter, er dette korrekt? Mvh.

Mette

Hej Karina, Kunders, herunder nye, eksisterende og potentielle, navne/mailadresser/tlf., der anvendes til salg på et internt drev - må vi gemme disse oplysninger uden kundens accept? Der er begrænset adgang samt kun adgang via kode. Eller er det ikke noget problem, når det kun er til vores interne brug, og ikke noget vi bruger i anden sammenhæng eller til at sende nyhedsbreve ud til?

Karina Lind Bertelsen

Hej Mette. Opbevaring af helt almindelige kontaktoplysninger om kunder og potentielle kunder i en CRM-database eller internt, som du beskriver, må man gerne, hvis man har et sagligt formål med det. Der behøves ikke samtykke, men man bør opfylde oplysningspligten overfor de pågældende (senest 30 dage efter oplysningerne er registreret eller når du tager kontakt). Dette finder mange virksomheder vanskeligt at opfylde. Hvis der rettes henvendelse elektronisk i form af nyhedsbreve, kræves der samtykke først. Hilsen Karina

Palle Føhns

Jeg skrev før om telefonbøger skulle låses inde, men det giver jo ikke mening at oplysninger om navn, adresse, etc skal låses inde. Disse oplysninger kan enhverv finde enkelt ved at søge på Internettet. Så er I sikre på at disse oplysninger skal låses inde?

Palle Føhns

Hvis vi skal være helt korrekte skal telefonbogen fra teleselskaberne også opbevares i et aflåst skab - ironi kan forekomme!

Astrid

Hej er der en konkret regel for, hvor langt tid man må beholde data på tidligere kunder (med kunder menes kontaktpersoner hos virksomheder, da vi er en B2B-virksomhed)? Jeg ved, at man må beholde så længe det er relevant - men er der et pejlemærke? Jeg har hørt 10 år flere steder, men kan ikke finde det på skrift.

Karina Lind Bertelsen

Kære Astrid. Der er ikke nogen specifik regel om dette, desværre. Det vil være en konkret vurdering. Generelt anbefaler vi ikke længere end 5 år, medmindre der er samtykke til det. Oplysninger om selve kundeforholdet, f.eks. levering af konkrete ydelser, kan efter omstændighederne gemmes i en længere periode, men jeg læser dit spørgsmål således, at det kun vedrører kontaktoplysningerne. Mvh Karina

Astrid

Hej Karina Jeg var til et rigtig spændende seminar med dig for et par dage siden. Jeg har et spørgsmål mht. at gemme data på kunder (med kunder menes kontaktpersoner hos virksomheder, da vi er en B2B-virksomhed) og oplysningspligt. Jeg har forstået, at man må gemme data på nuværende kunder, så længe det er relevant. Du nævnte at oplysninger på tidligere kunder må gemmes til udløb af reklamationsfristen, dvs. 2 år. Men jeg troede egentlig man iht. bogføringsloven godt måtte gemme i op til 5 år? Jeg skal lige nævne, at vi kun har almindelige personoplysninger på vores kunder, dvs. navn, titel, arbejdstelefon og arbejdsmail og nogle gange vores vurdering af deres produktinteresser baseret på virksomhedens branchekode og deres titel (dette er hver gang en vurdering og foregår IKKE automatiseret). Mht. leads og prospekter så samler vi oplysninger fra NN Markedsdata, fra virksomhedernes hjemmesider, fra offentlige LinkedIn profiler og hvad de (kontaktpersonerne) selv oplyser til os. Disse oplysninger gemmes i vores CRM-system. Dette har vi ikke oplyst dem om, så skal alle disse data slettes? Vi sletter selvfølgelig, hvis vi ved anledning kontakter dem, og de ønsker det. Mvh Astrid

Karina Lind Bertelsen

Hej Astrid. Tak for dit spørgsmål. Det er korrekt, at man må gemme persondata, så længe de er relevante. I den sammenhæng er bogføringsloven relevant, og du må gemme de persondata, der er nødvendige til at opfylde jeres forpligtelser dér. Min bemærkning omkring reklamationsretten vedrører personoplysninger afgivet i forbindelse med f.eks. et køb af en vare eller ydelse, hvor der kan gives oplysninger, som det ikke er relevant at gemme ift. bogføringsreglerne. Mht. CRM-systemet, så kan jeg ikke helt udlede af dit spørgsmål, om der er tale om mail-adresser eller øvrige kontaktoplysninger. I det omfang, der er tale om mailadresser, skal I altid indhente samtykke inden I udsender elektronisk markedsføring (følger af markedsføringsloven). Selve det at have en CRM-database med oplysninger, som I har indhentet via forskellige offentlige databaser, hjemmesider m.v., er der som udgangspunkt hjemmel til ud fra en interesseafvejning. Dog skal I sørge for at opfylde oplysningspligten, og denne skal opfyldes ved første kontakt eller senest indenfor 30 dage. I bør derfor indrette jer således, at I sørger for at opfylde oplysningspligten for så vidt angår de personer, I har registreret nu, og fremover sørge for at den kan overholdes løbende, når I registrerer personer i CRM-databasen. Mvh Karina

Rikke Lobedanz

Er der nogle krav til opbygningen af procedurebeskrivelserne?

Kenneth V

Hvilket krav bliver der stillet til den fysiske arkivering af persondata ? Ansæltteskontrakter, lønsedler osv.

Trine B

Et spørgsmål som ikke synes at blive behandlet nogen steder er, hvad man gør med gamle, men stadigt aktuelle persondata. Dvs. persondata som er indsamlet/behandlet for lang tid siden, hvor der ikke har været krav om samtykke osv., men også data som er behandlet under den gældende lovgivning (persondataloven) uden man har været opmærksom på at der var et krav om samtykke til behandlingen. Jeg tænker her eksempelvis på medlemskab af en fagforening, som har løbet i mange år og stadig eksisterer, samt på de sager, der har været behandlet for medlemmer, og hvor foreningen stadig har disse sager på arkiv. Hvad bør man gøre for at "rette op på fortidens synder"?

Karina Lind Bertelsen

Kære Trine. Først og fremmest bør man tage stilling til, hvilke persondata man har liggende, og hvilke af dem, der fortsat er relevante / nødvendige at opbevare. I det omfang oplysningerne ikke længere er relevante, bør de slettes. I det omfang oplysningerne fortsat er relevante, bør man sørge for at leve op til de gældende regler, dvs. om fornødent indhente samtykke eller sikre sig anden hjemmel, opfylde oplysningsforpligtelsen osv. I forbindelse med vurderingen af, hvilke oplysninger, det er relevante at gemme, skal man huske, at der kan være forhold, som berettiger at oplysningerne gemmes i en periode også efter en sags afslutning, fx krav i bogføringsloven, mulige erstatningskrav m.v. Håber det var svar på dit spørgsmål. Ellers er du velkommen til at kontakte mig. Mvh Karina

Erik Eggert Hansen

Hvilke ændringer kommer der ved eks. fremsendelse af Mail, hvad må man skrive i mailen før det skal krypteres, eller hvad må man ikke skrive?

Karina Lind Bertelsen

Kære Erik. Tak for dit spørgsmål. Hvis der sendes en mail indeholdende følsomme persondata eller CPR-nummer, bør mailen sendes krypteret. Hvilke oplysninger, der betragtes som følsomme, fremgår udtømmende af forordningen og svarer i store træk til det, vi kender i dag (race, religion, politisk tilhørsforhold m.v.). Det er i dag et krav, at der anvendes kryptering, hvis der er tale om offentlige myndigheder, mens det er en anbefaling fra Datatilsynet, når det gælder private virksomheder. Hvorvidt dette skærpes fremover, og således også bliver et krav, at virksomheder krypterer mails med følsomme persondata, vides endnu ikke. Vi anbefaler virksomheder at følge Datatilsynets anbefaling. Mails uden følsomme persondata eller CPR-nr. behøver ikke sendes krypteret - hverken nu eller når de nye regler træder i kraft. Mvh. Karina