PrivatErhvervOm Advodan
Jylland
Sjælland
Bornholm

De 5 største myter om persondata

Der florerer mange myter om persondata og persondataforordningen (GDPR) i de danske virksomheder. Her afliver vi de fem største.

Myte #1: Persondataforordningen gælder ikke for små virksomheder

Jo, det gør den. Persondataforordningen indeholder ikke ”bagatelgrænser”. Den gælder også for den lille håndværksmester eller produktionsvirksomheden med få ansatte. 

Myte #2: Persondataforordningen gælder kun, hvis vi behandler følsomme oplysninger

Nej, reglerne gælder alle typer oplysninger, der vedrører fysiske personer –også helt almindelige oplysninger som navn, adresse og kontaktoplysninger. Følsomme oplysninger skærper kravene, men er ikke en forudsætning for at være omfattet.

 

Myte #3: Hvis bare vi er klar den 25. maj 2018, så er vi på den sikre side

Det er rigtig godt, hvis I er klar, når persondataforordningen får virkning fra 25. maj, men faktisk gælder de fleste af reglerne allerede i dag efter persondataloven. I skal huske på, at overholdelse af GDPR ikke er et engangsprojekt, men en løbende proces.

 

Myte #4: Vi kan gøre alt, bare vi har et samtykke fra den registrerede

Nej. For det første er der nogle grundlæggende principper, der skal overholdes, også selv om I har et samtykke. For det andet behøver I i en række tilfælde slet ikke have et samtykke – og det kan nogle gange være bedre at bruge et andet grundlag for behandling af persondata. 


Myte #5: Vores virksomhed er lille – vi får ikke besøg af Datatilsynet

I bør ikke basere jeres overholdelse af gældende lovgivning på en vurdering af ”opdagelsesrisikoen”. Selvom der kan være langt mellem et ordinært besøg fra Datatilsynet, skal I vide, at blot en enkelt klage kan udløse et tilsyn, før end I aner.

Læs flere mere om persondata her.

Tag fat i Advodans persondataspecialister, hvis din virksomhed har brug for hjælp. Læs mere her

20 kommentar

0 / 700 tegn

Camilla

Hej! Jeg er fotograf og behandler personoplysninger ifbm. udstedelse af faktura og så opbevarer jeg som en service kundens billeder digitalt så lang tid som muligt. Dette er for at sikre kunden, i tilfældet af at de mister deres billeder. Dette kan kunden sagtens frabede sig, men jeg søger hjælp til, hvordan jeg skal håndtere selve samtykket til hhv. opbevaring af billeder og samtykke til at jeg opbevarer nødvendige oplysninger til udstedelse af faktura. De fleste booker mig via mail eller Facebook - er det nødvendigt at de decideret skriver til mig, at de samtykker, eller kan det gøres på en nemmere måde for kunden?

Karsten Holt

Du skal ikke have samtykke for at gemme de oplysninger, der er nødvendige for at udstede faktura. Der er grundlaget enten opfyldelse af lovkrav (momsloven, bogføringsloven mv.) eller opfyldelse af aftalen med kunden. Opbevaring af fotos forudsætter samtykke, hvis det ikke er en del af selve den aftalte ydelse med kunden. Hvis du skriver, at du gør det, og at kunden kan frabede sig det, er det nok OK. Du skal altid huske at opfylde oplysningspligten, uanset hvad behandlingsgrundlaget er.

Sanne Smith

Hej, I min lokale helsekost butik tør ejeren ikke længere have rabatkort liggende i butikken på grund af GDPR reglerne, kan det være rigtigt? Det drejer sig om et lille fysisk papkort, hvor kunden får 400 kr. at handle for, når man 10 gange har handlet for minimum 400 kr. På kortet står kundens navn og telefonnummer. Det er (selvfølgeligt) helt valgfrit om vil have et rabatkort, man kan til en hver tid bede om at få det udleveret eller slettet. Før i tiden blev det opbevaret i en lille kartoteksæske. Er det ikke længere lovligt?

Karsten Holt

Hej Sanne Nej, det er ikke ulovligt. Det er et sagligt formål, og der gemmes kun relevante oplysninger. Det afgørende er, at I opbevarer kortene, så de kun er tilgængelige for personalet, og at I opfylder jeres oplysningspligt efter databeskyttelsesforordningens artikel 13 - det skal ske skriftligt, evt. på en lille seddel, I udleverer når man skriver sig op til rabatordningen.

Lenette

Vi er en mellemstor virksomhed, som nogen gange får flg. spørgsmål "kan jeg se jeres produkter i brug hos en anden kunde?". Nu er mit spørgsmål, må vi udlevere tidligere kunders navn og telefonnummer så nye kunder kan ringe "gamle" kunder op for en fremvisning? Evt. hvad kan vi gøre i en sådan situation?

Malou

Hej, Jeg arbejder i en kulturvirksomhed, hvor vi sælger billetter. Når vi sælger en billet opretter vi en profil med navn, adresse, mail og mobilnr. så vi kan kontakte kunden i forbindelse med fx aflysning - vi kontakter ikke i salgsøjemed medmindre kunden har givet specielt accept til det. De der køber på nettet afgiver selv disse oplysninger, men vi har mange kunder der køber billetter på ved personlig fremmøde eller via telefonen. Er der forskel på om kunden står foran os eller vi taler med dem i telefonen når vi beder om at få oplyst navn, adresse, mail og mobilnr. i forhold til GDPR reglerne? Vi er lidt usikre på hvorvidt det er okay at tage imod oplysninger og taste det ind i vores billetsystem når vi ikke står ansigt til ansigt med kunden.

Karsten Holt

Hej Malou Først og fremmest skal der altid være et sagligt formål med behandlingen af personoplysninger, og så skal der være et behandlingsgrundlag, som i en situation som denne enten vil være kontraktmæssig nødvendighed eller samtykke. I kan jo ikke levere en billet købt online uden en mailadresse. Den har I ikke brug for, hvis billetten købes ved personligt fremmøde. Ønsket om at kunne orientere kunden via telefon eller sms ved aflysning er sagligt, men det er jo op til kunden, om de ønsker denne service. Derfor skal det være frivilligt at oplyse telefonnummer. I skal altid opfylde jeres oplysningspligt efter persondatareglerne, uanset hvordan I sælger, og uanset hvilket behandlingsgrundlag, I anvender. Det kan ske ved tekst på hjemmesiden eller ved skiltning i billetsalget.

Camilla

Hej Hvis jeg har købt en computer i en butik på afbetaling, og butikken har begået fejl og dermed ikke oprettet det korrekt. Inden de får kontakt til mig, må de så godt indhente oplysninger omkring mine familie medlemmer og tage kontakt til dem? I dette tilfælde min søster, som ikke har haft noget med købet at gøre, eller er blevet nævnt i nogen sammenhæng i butikken. Er dette et brud på persondata loven? Og hvem kan man kontakte i et sådan tilfælde? Mvh Camilla

Karsten Holt

Hej Majken Når virksomheden er gået konkurs, er det konkursboets kurator, du skal kontakte. Du kan se på statstidende.dk, hvem det er. Du er formentlig opmærksom på, at du kan få pengene retur fra kortudsteder (din bank). Venlig hilsen Karsten

Majken

Jeg har lagt en ordre hos [navn på virksomhed], som meddeler at de ikke kunne levere denne. Jeg har dermed oprettet en profil på deres site, som jeg ikke selv har mulighed for at slette. De har trukket penge på min konto, og jeg finder ud af, at de er gået konkurs. Jeg har fået mit kort spærret, så de ikke kan trække yderligere i abonnementet - da jeg jo ikke har mulighed for selv at afmelde mig aktivt. (Jeg har meddelt det til dem per mail) Mit spørgsmål: GDPR; De har en masse informationer på mig nu, som jeg ikke er muligt at slette på deres site. De er slet ikke til at komme i kontakt med. Hvordan får jeg slettet mine oplysninger hos dem? Mvh. Majken

Lissie

På en oversigt over persondata på Advodans hjemmeside, så jeg, at der under ansættelsesforhold står "Personlige produktionstal og tidsregistering". Vi er en lille virksomhed, som i frokoststuen har mapper stående med medarbejderes komme/gå tider, til brug for en ekstern bogholder som kommer og laver løn. Betyder det, at vi ikke må have disse stående fremme? Ved opstart af nye produkter, har vi skemaer som udfyldes med navn og tid til brug for prisfastsættelse. Må vi det?

Karsten Holt

Hej Lissie Personlig performance og arbejdstid er personoplysninger, men ikke følsomme oplysninger. Men selv for almindelige personoplysninger gælder det princip, at der kun skal være adgang til oplysninger for dem, som har et reelt, sagligt behov herfor - og det vil her formentlig kun være ledelsen og bogholderen. Jeg ville derfor enten flytte mapperne til et lokale, hvor der ikke er fri adgang, eller stille dem i et skab, der kan låses.

Anja

Jeg er formand i en kolonihaveforening, og vi har naturligvis vores medlemmers navn, adresse tlf.nr. mv. Nu vil den kommune haveforeningen er beliggende i lave en undersøgelse af hvorvidt vores medlemmer har en anden helårsbolig til rådighed. Dette er et krav da kolonihaven ikke må bruges til helårsbolig. Men nu beder kommunen bestyrelsen om at udlevere vores medlemmers navn og adresse. Må vi bare udlevere dette til kommunen jvf. GDPR ? i så fald er der noget vi skal sikre os i den forbindelse ? og burde man ikke mene at eftersom alle der ejer en kolonihave er registreret som ejer af denne både hos SKAT, BBR mv. at kommunen selv kan skaffe sig adgang til disse oplysninger.

Karsten Holt

Ja, du er omfattet af GDPR. Der findes praktisk talt ingen virksomheder, der ikke behandler oplysninger om fysiske personer - herunder kontaktpersoner hos forretningsforbindelser. Når det er sagt, så er du i lavrisikogruppen, når du ikke har medarbejdere og kun handler B2B, men du skal stadig lave en fortegnelse over dine behandlingsaktiviteter, jf. GDPR art. 30.

Henrik

Hej. Jeg Er ejer af en mindre virksomhed uden ansatte. Jeg handler kun med nogle få andre virksomheder (ingen private) og det forgår ved at en indkøber i disse virksomheder ringer eller sender mig en mail med en ordre på hvad, de skal bruge. Dette sætter jeg i ordre hos en udenlandsk fabrik og når fabrikken leverer varerne, så modtager jeg en faktura fra producenten og udarbejder en faktura til min kunde i et online program hvorfra de også udsendes. Jeg har ingen hjemmeside, ligger ikke inde med nogen data på de ansatte hos min kunder og udsender ikke nogen form for nyhedsbreve eller personlige mails til kunder. Hvordan forholder jeg mig til GDPR problematikken ? Er jeg overhovedet omfattet ? Hvis ja, er det så nok bare at have en beskrivelse liggende af ovenstående forretningsmodel med en konklusion og at jeg ikke har personlige data på andre ? Vh. Henrik

Marianne

Hej, Hvad sker der med en GDPR retssag hvis firmaet der stævnes går konkurs inden eller under retssagen? Er der personansvar eller dør sagen med firmaet?

Karsten Holt

Hej Marianne Det er firmaet (selskabet) som sådan, der er dataansvarlig og som bøden rammer. Som udgangspunkt "dør" sagen, hvis selskabet går konkurs. I meget grove tilfælde kan der dog være personligt erstatningsansvar for ledelsen og i meget grove tilfælde er der mulighed for fængselsstraf. Venlig hilsen Karsten Holt

Reinar

Må fx en kommune til en fx en privat virksomhed udlevere navn, adresse og mobilnummmer uden samtykke, og må de private virksomhed efterfølgende sende en SMS med fx en mødeindkaldelse, igen uden samtykke?

Karsten Holt

Hej Reinar Det kan man ikke bare svare ja eller nej til. Det afhænger helt af, med hvilket formål det sker, og under hvilke omstændigheder. Det afgørende er, om der er et sagligt formål og et såkaldt behandlingsgrundlag, som i tilfældet med kommuner kan være enten en lovhjemmel eller samfundsmæssige interesser.

Søren Jespersen

Hej Jeg vil blot lige prøve at forstå GDPR, må en virksomhed godt modtage information ukritisk fra andre virksomheder. med andre ord kan to virksomheder blive draget til ansvar ved at gøre det. Har modtaget noget materiale fra en anden virksomhed, uden jeg på nogen måde har anmodet om det og jeg har efterfølgende konfronteret medarbejderen med dette materiale, jeg har modtaget (en skriftlig advarsel for tidligere arbejds udførelse). Ser frem til at høre fra dig

Karsten Holt

Hej Søren Nej, man kan ikke bare ukritisk behandle personoplysninger, som man modtager, heller ikke selv om man har modtaget dem uden at bede om dem. Du er nødt til at forholde dig til, om der er et sagligt formål med at behandle dem og om der er et lovligt behandingsgrundlag. Det kan jeg ikke vurdere ud fra din generelle beskrivelse. Uanset om grundlaget for behandling måtte være i orden, skal du opfylde oplysningspligten overfor den berørte person. Den tidligere arbejdsgiver har formentlig overtrådt persondatareglerne ved at sende oplysningerne til dig. Du overtræder ikke reglerne ved at modtage oplysninger, du ikke har bedt om, men hvis du ikke straks sletter dem, kan du have et selvstændigt ansvar for den måde, du behandler oplysningerne på.

Martin

Vi er en lille virksomhed, der sælger uddannelsesprodukter primært business til business. Vores markedsføring, har hidtil primært bestået i, at vi har henvendt os telefonisk til virksomhedens hovednummer og har bedt om tilladelse til at sende en mail til f.eks. den it-ansvarlige. Vi har så efterfølgende sendt en mail til den it-ansvarlige, hvor vi har skrevet, at vi sender dette ifølge aftale med receptionen. Må vi stadig det når GDPR er trådt i kraft, eller hvordan skal vi i givet fald forholdes os ?? Det vi bruger er, firmanavn, telefonnummer, kontaktperson og mailadresse.

Karsten Holt

Hej Martin Dette er ikke kun reguleret af GDPR, men også af markedsføringsloven. Når du har et samtykke, må du godt sende direkte elektronisk markedsføring, men du skal i hver mail give modtager en let mulighed for at sige fra, f.eks. med et frameldingslink i selve mailen. Og så skal I opfylde jeres oplysningspligt efter GDPR. Dette kan ske ved en politik på jeres hjemmeside, men I skal linke til den i jeres mails, så modtagerne bliver gjort opmærksom på den. I kan læse mere om indholdet af oplysningspligten både herpå siden og i vejledninger på Datatilsynets hjemmeside (om de registreredes rettigheder). Der er også mere om elektronisk markedsføring på Forbrugerombudsmandens hjemmeside, idet markedsføringsloven hører under denne.

martin

Hej Karsten Tak for dit svar, lige et opklarende spørgsmål. Når vi skal have et samtykke til at sende en mail, må dette så gives af receptionen, eller skal det gives personligt af den person, der skal modtage mailen.

Karsten Holt

Hej Martin. Et samtykke skal gives af den registrerede selv og kan normalt ikke gives af andre (bortset fra værger på vegne af mindreårige). Hvis du vælger at notere et samtykke afgivet af tredjemand, ville jeg sende en mail til den, samtykket vedrører og bede dem bekræfte samtykket direkte - ligesom du ofte oplever at skulle bekræfte din mail, når du skriver dig op til et nyhedsbrev på en hjemmeside - simpelthen for at undgå, at der registreres samtykker fra nogen, som reelt ikke ønsker at give det.

Vibeke Østergaard

Hvis man har et firma hvor der ingen ansatte er (enkeltmandsfirma) Det eneste er sker i firmaet er, at der bliver udført noget arbejde for andre firmaer. Dette sker som regel ved telefonisk kontakt fra firmaet. Det der kan være tvivil om er, at når der bliver sendt en faktura til kunden, må man så sætte navn på faktura?, hvis man sender faktura til en e-mail, skal den så krypteres? Alt bogføring foregår i excel, skal denne excel-ark låses med kode?

Karsten Holt

Hej Vibeke Du skriver ikke, hvad du laver for dine kunder, men kontaktoplysninger på personer hos kunden er også personoplysninger. Du må gerne skrive navn på faktura som reference på den, der har bestilt ydelsen, men undlad andre personoplysninger i fakturaen. Som situationen er lige nu, behøver du ikke kryptere en mail, der hverken indeholder følsomme oplysninger eller cpr-numre. Det er altid en god ide at beskytte filer med adgangskode, hvis de indeholder personoplysninger - også selv om de ikke er følsomme. Og under alle omstændigheder bør du omgås kunders data med fortrolighed - personoplysninger eller ej. Det er heldigvis let at sætte en adgangskode på et regneark, et word-dokument eller en pdf-fil.

Susan

Vi er en virksomhed, hvor vi har klienter. Vores medarbejdere kan tilgå vores elektroniske system med oplysninger om disse klienter, hjemmefra. Hvordan kan vi beskytte disse data, som af og til er personfølsomme?

Jacob

I mit daglige job modtager jeg informationer om mine klienter via konsultationer, emails, SMS beskeder mv. Det er begrænset hvad der er personfølsomt, men der kan dog være noget ind imellem f.eks. Ifht. Sygdom, allergier m.v. Det arkiveres naturligvis i den individuelle informationsindsamling for at jeg kan varetage den opgave jeg stilles af kunden - hvordan skal jeg forholde mig til den form for indsamling og opbevaring? Noget andet er, billeder der bruges på sociale medier. Jeg får jævnligt lov, ofte mundtligt til at lægge billeder op ifbm. Reklame for et givent resultat ved et forløb eller lign. Skal der inden d. 25/5 rekvireres skriftlige tilladelser hertil eller hvordan? Og hvordan skal hele situationen omkring billeder opfattes? Synes jeg har haft svært ved at finde megen information herom. Jeg går ud fra billeder er personfølsomme da de kan identificere en bestemt person? Mvh. Jacob

Karsten Holt

Hej Jacob Der er mange spørgsmål, som ikke let kan besvares uden at vide mere præcist, hvad det er for en virksomhed, du driver, og hvad det er for oplysninger, du indsamler, så du er nødt til at få individuel rådgivning. Jeg kan anbefale dig at læse nogle af de vejledninger, Datatilsynet har udgivet. De ligger på deres hjemmeside www.datatilsynet.dk under "Vejledninger". Særligt den om de registreredes rettigheder, er vigtig, for uanset formål med at grundlag for indsamling af personoplysninger er der altid en oplysningspligt, der skal opfyldes, hvilket mange forsynder sig imod.

Dennis

Jeg kan forstå at man skal indsamle diverse godkendelser fra hhv. kunder og leverandører, og i princippet vel også fra kundeleads. Det åbner dog op for et juridisk dilemma da man jo ikke uopfordret må kontakte nogen uden forudgående aftale. Derfor, må man uden at begå noget strafbart - i forbindelse med opdatering af handelsbetingelser og persondata politik - skrive en e-mail til samtlige personer og virksomheder man har været i kontakt med de seneste 2 år - uanset om de er korrekt tilmeldt nyhedsbrev eller ej - hvor man gør opmærksom på hvad man har foretaget sig ift. persondata samt hvad der vil ske fremadrettet?

Karsten Holt

Hej Dennis. Persondataforordningen stiller ikke krav om, at du indhenter nye samtykker til markedsføring, hvis du allerede har et gyldigt samtykke - og kan dokumentere det. Har du ikke et gyldigt samtykke, er en mail, hvor du beder om et samtykke til direkte elektronisk markedsføring, i sig selv en overtrædelse af reglerne. En servicemail om ændrede persondataregler er i sig selv OK i forhold til personer, som du faktisk behandler persondata om, men hold tingene adskilt. Du kan læse mere på forbrugerombudsmandens hjemmeside om elektronisk markedsføring (søg på "spam") samt på Datatilsynets hjemmeside om kravene til et samtykke (se under Vejledninger, databeskyttelsesforordningen). mvh Karsten

Birgitte Eriksen

Jeg har en forretning, hvor vi ofte får bestillinger fra kunder, vi får navn og tlf nr, skal det betragtes som personfølsom? Er det evt nok de opbevares i en skuffe og makuleres når varen er udleveret? Hvad med faktura mapper med faktura fra firmaer, er det person følsom, skal de nu også gemnes væk? Tak for en rigtig god side, som før har hjulpet med spørgsmål.

Karsten Holt

Hej Birgitte Navn og telefonnummer på kunder er ikke følsomme oplysninger, men det er stadig personoplysninger, hvis kunderne er fysiske personer, eller du har kontaktoplysninger på en fysisk person hos kunden. Personoplysninger må gemmes, så længe det er nødvendigt, hvilket afhænger af de konkrete omstændigheder. Er der gennemført en handel, skal du opbevare dokumentation i bogføringen i 5 år, og det vil være OK at gemme stamoplysninger på kunden i samme periode. Blev det ikke til en handel, bør oplysningerne slettes tidligere, men det er OK at gemme en vis periode, hvis den potentielle kunde skulle komme igen, så de ikke skal gentage sig selv hver gang. Det afhænger af branchen, hvor længe det er rimeligt at gemme.