GDPR: Reglerne om databeskyttelse – en hurtig guide

GDPR: Reglerne om databeskyttelse – en hurtig guide

Notat udarbejdet af Lasse Erichsen, cand. merc. jur., Viborg Løn & HR.

GDPR kan for mange være ensbetydende med en masse regler, som mest af alt kan være vanskelige at få overblik over.

I dette blogindlæg introduceres reglerne om databeskyttelse (også kaldet GDPR), og der beskrives en hurtig guide, som kan bruges som et værktøj till at komme i gang med GDPR i din virksomhed. Vi hører fra flere af vores kunder, at det kan virke som en ”mavepuster” at opleve, hvad reglerne kan medføre af administrativt bøvl fremadrettet.

Når du har læst dette blogindlæg, er du dog hjulpet lidt på vej – og du kan begynde at skabe dig et overblik over, hvordan du kommer i gang med GDPR.

 

 

GDPR – et omfattende regelsæt

General Data Protection Regulation, i daglig tale GDPR, begyndte for alvor at fylde noget i bevidstheden rundt på arbejdspladserne i foråret 2018, hvor den europæiske persondataforordning trådte i kraft. Reglernes formål er først og fremmest at beskytte den enkelte borger mod misbrug og ulovlig registrering af data, hvor særligt personfølsomme data ønskes beskyttet.

I forhold til GDPR skelnes der ikke mellem personlige data relateret til personens private, offentlige eller arbejdsmæssige rolle – en person er en person. Reglerne har i stedet fokus på følsomheden af de persondata som – i dette tilfælde virksomheder – behandler. Et af de mest væsentlige krav til virksomhederne er kravet til at dokumentere, at personoplysninger indsamles, håndteres og behandles efter reglerne.

I det følgende gennemgår vi nogle af de vigtigste punkter, du skal have for øje i forbindelse med GDPR.

5 helt centrale regler i forhold til GDPR

Som skrevet indledningsvist kan GDPR-forordningen for mange virke næsten uoverskuelig. Listen med forskellige forhold, man skal være opmærksom på, kan i nogle sammenhænge virke uendelig. Derfor vil der i det følgende forekomme 5 af de mest centrale punkter i forbindelse med dit arbejde med GDPR.  

For at komme bedst muligt i gang med GDPR indsatsen, skal din virksomhed:

  • Føre en fortegnelse.
  • Dokumentere at lovgivningens principper for god databehandling efterleves.
  • Dokumentere at virksomheden har indført passende tekniske og organisatoriske foranstaltninger.
  • Oplyse kunder og ansatte om, hvordan deres data behandles.
  • Kunne bevise, at virksomheden i praksis efterlever lovgivningen, f. eks. hvis der anvendes samtykkeerklæringer, (eksterne) databehandlere, mv.

Andre relevante GDPR-regler

Som følge af de ovenstående 5 centrale regler i forhold til GDPR, vil de følgende forhold endvidere være vigtige at være opmærksomme på. Disse forhold medfører at virksomheden skal:

  • Foretage og beskrive en risikovurdering af behandlingen af personoplysninger.
  • Indgå særlige aftaler om databeskyttelse med sine databehandlere.
  • Føre tilsynmed sine databehandlere.
  • Bruge databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.
  • Efterleve kunders og ansattes rettigheder.

Uagtet størrelsen på din virksomhed kan det kan være hensigtsmæssigt at sætte sig mere grundigt ind i reglerne på området. Det er EU der har fastsat de overordnede regler, der danner Databeskyttelsesforordningen.

Reglerne – som gælder i alle EU-lande – er her i Danmark suppleret af Databeskyttelsesloven, som endvidere er suppleret af forskellige bekendtgørelser, vejledninger mv.

Det overordnede overblik over regler og vejledninger kan findes her.

Datatilsynet har altså udarbejdet et omfattende vejledningsmateriale, med vejledninger, guides og eksempler, som kan være nyttige i arbejdet med reglerne.

 

 

Sådan kommer du i gang med GDPR

I det følgende gives nogle eksempler på forhold, som skal tages i betragtning når virksomheder omfattes af GDPR-reglerne. Eksemplerne må på ingen måde opfattes som udtømmende, da der hele tiden kan komme nye problemstillinger til. Derudover varierer relevansen for de enkelte spørgsmål fra virksomhed til virksomhed, alt afhængig af den enkelte virksomheds størrelse, målgruppe, organisationskultur osv. Fælles for alle spørgsmålene er dog, at de kan hjælpe dig i gang med dit arbejde med GDPR.

Generelt skal man tage udgangspunkt i at hvis man indsamler, opbevarer og/eller behandler persondata, bør man undersøge hvilke regler der gælder.

Datatilsynet har vejledende udarbejdet følgende 12 centrale spørgsmål, som alle virksomheder bør stille sig selv:

(1) Har vi forholdt os til databeskyttelsesforordningen?

(2) Hvilke (person-)data har vi – og behandler vi?

(3) Hvilke informationer giver vi de registrerede?

(4) Hvordan opfylder vi de registreredes rettigheder?

(5) Datakategorier og retligt grundlag?

(6) Hvordan indhenter vi samtykke

(7) Behandler vi personoplysninger om børn og unge <18 år?

(8) Brud på datasikkerheden?

(9) Er vores (data-)behandlinger forbundet med særlige risici?

(10) Er databeskyttelse indtænkt i vores IT-systemer?

(11) Hvem er ansvarlig for databeskyttelsesspørgsmål?

(12) Driver vi virksomhed i flere lande?

Og hvad er så hensigten ved at stille sig selv de ovenstående spørgsmål? Det handler ikke om at kunne svare fuldstændigt på alle spørgsmål og forhold omhandlende din virksomheds GDPR arbejde. Det handler om, at lidt er bedre end ingenting, og at du ved at forholde dig til og besvare de spørgsmål, der giver mening for dig og din virksomhed, i høj grad er kommet godt fra start. Altså kan hensigten med Datatilsynets 12 spørgsmål klarlægges ret enkelt – de hjælper dig i gang med dit arbejde med GDPR.

Men lad os nu vende tilbage til nogle af de konkrete forhold, du som virksomhed skal være opmærksom på. Der vil i det følgende derfor komme korte redegørelser over nogle af de forhold du bør være ekstra opmærksom på.

 

 

Fortegnelse

Når der føres en fortegnelse, handler det i bund og grund om at få skabt størst muligt overblik over de behandlinger af personoplysninger, du som dataansvarlig eller databehandler har iværksat i virksomheden. Selvom en fortegnelse primært er en forpligtigelse internt i virksomheden, vil den kunne bruges som dokumentation for, at virksomheden overholder persondataforordningen.

I denne forbindelse er det relevant at forholde sig til de personer, hvis data man registrerer.
Her er det væsentligt at informere om:

1: At man foretager registrering.

2: Formålet med registreringen.

3: Hvilke data man registrerer.

4: Hvorledes gør den registrerede opmærksom på, hvad den registrerede gør, hvis man ikke ønsker at være registreret, ønsker data rettet eller slettet helt?

5: Grundlaget (reglerne) for registreringen.

Personfølsomme data

En ganske enkel måde at forklare hvad personfølsomme data er, kan være at stille spørgsmålet:

”Hvilke data om dig selv, ønsker du ikke at andre skal kunne se, uden at du har givet dem lov til at se dem (også kaldet samtykke)?”

Det gælder blandt andet ved registrering af medarbejderes cpr.nr., evt. hemmelig adresse og/eller telefonnr., konkrete lønforhold mv.

Der er dog visse særligt personfølsomme data, for hvilke der er et egentligt forbud mod at registrere.
Det gælder for følgende data:

  • Race og etnisk oprindelse.
  • Politisk overbevisning.
  • Religiøs eller filosofisk overbevisning.
  • Fagforeningsmæssige tilhørsforhold (dog ikke A-kasse, se nedenfor).
  • Genetiske data.
  • Biometriske data med henblik på entydig identifikation.
  • Helbredsoplysninger (se nedenfor).
  • Seksuelle forhold eller seksuel orientering.

Fagforeningsmæssige forhold

Reglen om fagforening betyder at virksomheder ikke må foretage en registrering af medarbejdernes tilknytning til en fagforening. Det er ej heller tilladt at kræve et bestemt tilhørsforhold, som betingelse for en ansættelse.

Helbredsoplysninger

Når det handler om helbredsoplysninger er der, i GDPR-sammenhæng, tale om et lidt specielt område. Det der ligger i forbuddet mod at registrere disse, er et beskyttelseshensyn i forhold til den enkelte, og grupper af personer med handicap eller sygdomme. Det er klart at forhold som arbejdspladsindretning, tilpasning af arbejdsopgaver, forhold omkring ansættelsen (f.eks. fleksjob) gør, at der kan være et behov for registrering af data for enkeltpersoner. Forbuddet er generelt og beskyttelseshensynet er væsentligst forebyggelse af forskelsbehandling.

Samtykke

Når man – efter reglerne – skal indhente samtykke til registrering og/eller behandlingen af data, skal man også være opmærksom på formalia omkring indhentelsen af den konkrete samtykkeerklæring. Der kan ikke bare indhentes en generel samtykkeerklæring til registrering og behandling af persondata, f.eks. i forbindelse med ansættelsen af en medarbejder eller udfærdigelse af en kontrakt om behandling af persondata. Det skal mere specifikt nævnes, hvilke data man ønsker at indhente og evt. behandle.

Overvågning

Hvis man – i eller omkring virksomheden – anvender overvågningssystemer som kameraer, adgangssystemer mv., skal der (i visse tilfælde) skiltes med dette. Derudover skal reglerne for indsamling, opbevaring, anvendelse og sletning af data være beskrevet.

Registrering og logning af medarbejdernes adfærd, e-mails mv.

I denne forbindelse skal medarbejderne informeres om, at der foretages registrering. Denne information skal endvidere indeholde formålet med registreringen, samt reglerne for opbevaring og anvendelse af de registrerede data. Derudover skal medarbejdernes ret til at gøre indsigelse herom fremgå, samt retten til at få berigtiget og slettet data.

 

 

Opbevaring af data

En virksomheds opbevaring af data kan være meget forskelligartet. Der kan være tale om data som opbevares på en server, ”i Skyen”, på en stationær eller bærbar PC eller andre mediebaserede data (CD-rom, USB-pen mv.). Derudover kan data være diverse fysiske dokumenter vedrørende ansatte, kunder og samarbejdspartnere.

Hvis man opbevarer data på edb-baserede enheder (PC, server, skyen el.) stilles der krav om at man forholder sig til hvem der har adgang til de relevante data. Det er således kun de medarbejdere der har et reelt behov for at tilgå persondata, som må have adgang til disse. Eksempelvis lønbogholderiet i en virksomhed.

Hvis medarbejderne er klassificerede (f. eks. af sikkerhedshensyn) er det udelukkende de relevante ledere og kollegaer, som må have adgang til de enkelte gruppers personfølsomme oplysninger.

Fysiske data

Fysiske data skal opbevares i aflåste skabe eller lokaler, hvor det kun er de relevante medarbejdere som har adgang. Der skal foreligge dokumentation for hvem der har nøgler, og over hvem der har ret til at tilgå oplysningerne i de aflåste skabe eller rum.

Der skal i visse tilfælde også sørges for den nødvendige sikkerhed omkring bortskaffelse af materialet – f.eks. sletning, makulering mv.

Reglerne som er grundlaget for registreringen

Der er et krav om at man skal anføre i henhold til hvilke regler man foretager de enkelte typer af registreringer. Man kan med fordel indsætte dem i den fortegnelse som det anbefales at virksomheden udarbejder.

Skal vi hjælpe?

Et råd herfra kan være i første omgang at undgå at forholde sig til de specifikke regelhenvisninger – og så senere, hen ad vejen, få dem med.

Væsentligst må det være at få begyndt på at få GDPR indenfor i virksomheden, og så herefter finpudse dokumentationen.

Har du spørgsmål om GDPR, eller brug for hjælp eller rådgivning? Vi sidder altid klar til at assistere dig, lige netop der hvor du har brug for det.
Ring til os på tlf. 8727 0100 eller skriv til os på jura@viborgloen.dk, så får vi en uforpligtigende snak om, hvordan vi bedst skaber yderligere værdig for dig og din virksomheds arbejde med GDPR.

 

 

Læs mere fra vores HR- og Personalejuridiske afdeling:

 

 

Skriv en kommentar