DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

Transkript

1 fremtiden starter her... DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

2 Introduktion 3 Grundlæggende om persondatabeskyttelse 3 Hvad gælder for køb, salg og videregivelse af personoplysninger til brug ved markedsføring? 12 Virksomhedens loyalitets- og bonusklubber 12 Hvordan skal du beskytte personoplysninger? 13 Hvilke krav gælder for virksomhedens risikovurdering og sikkerhedspolitik 15 Hvad gælder når du anvender Cookies? 15 Hvornår må du foretage tv-overvågning? 16 Fremtidsperspektiver og hvordan du får styr på persondata compliance 18 2 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

3 INTRODUKTION Indsamling og behandling af personoplysninger er en integreret del af driften af en moderne virksomhed og er i stigende omfang også et egentlig forretningsområde. Indsamling og behandling af personoplysninger er underlagt de persondataretlige regler og overtrædelse af disse kan i fremtiden medføre væsentlige bøder. Det er dog ikke altid let at navigere i de reglerne, og opgaven kan forekomme uoverstigelig. Dansk Erhverv har udarbejdet denne pjece for at give dig et kort overblik over de regler, der gælder for din behandling af personoplysninger, samt de tiltag som du kan tage for at overholde reglerne. Dansk Erhverv henviser endvidere til PrivacyKompasset, der er udarbejdet af Erhvervsstyrelsen, hvor du også kan finde yderligere vejledning om, hvordan du kan sikre, at din virksomhed overholder reglerne på området. PrivacyKompasset kan findes på privacykompasset.erhvervsstyrelsen.dk. GRUNDLÆGGENDE OM PERSONDATABESKYTTELSE HVAD ER PERSONOPLYSNINGER? Personoplysninger er enhver form for oplysning, som kan henføres til en person. Det vil sige, at alle oplysninger, der vedrører en identificerbar fysisk person er personoplysninger, eksempelvis oplysningerne om en kunde. Der er stadig tale om personoplysninger selvom det kræver særligt kendskab, adgang og/eller information for at kunne identi-ficere personen, eksempelvis brug af kundenumre i stedet for -navne. Personligeoplysninger Navn og adresse Telefonnummer eller adresse Kundenummer eller ordrenummer Oplysninger om kundens præferencer eksempelvis hvilken størrelse tøj kunden bruger, eller hvilken bil kunden har Kundens købshistorik Kundens IP-adresse Kundens CPR-nummer Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 3

4 FIGUR 1.: PERSONOPLYSNINGER KAN OPDELES I FIRE KATEGORIER AF OPLYSNINGER: ALMINDELIGE PERSONOPLYSNINGER Oplysninger der ikke har følsom karakter. Navn, adresse, telefonnummer, adresse eller oplysninger om køb af varer eller ydelser (købshistorik) PERSONOPLYSNINGER CPR-NUMRE Brug af CPR-numre er særligt reguleret i persondataloven. Persondatalovens regler om CPR-numre gælder alene, hvis det fulde CPR-nummer registreres. Hvis det alene er de fire første cifre i kundens CPR-nummer, der registreres, er der tale om almindelige personoplysninger. SEMI-FØLSOMME PERSONOPLYSNINGER Oplysninger om straf bare forhold, væsentlige sociale problemer og andre rent private forhold. FØLSOMME PERSONOPLYSNINGER Oplysninger om race, etnicitet, politisk eller fagforeningsmæssigt tilhørsforhold, religiøs eller filosofisk overbevisning. Oplysninger, der angiver eller indikerer, at en person har en sygdom (eksempelvis oplysninger om køb af medicin eller hjælpemidler). Oplysninger, der angiver eller indikerer en persons religiøse overbevisning (eksempelvis at en person ønsker kosher mad). Når en kunde eksempelvis foretager et køb via din webshop, eller tilmelder sig et nyhedsbrev, og kundens navn, adresse, kreditkortoplysninger, adresse, eller hvilke varer kunden har købt, registreres, er der altså tale om personoplysninger, der er omfattet af persondatalovens regler. CPR-NUMRE Du må som altovervejende hovedregel kun registrere en kundes CPR-nummer, hvis kunden har givet sit samtykke. Det er eksempelvis ikke lovligt at benytte kundens CPR-nummer som kundenummer, med mindre kunden har givet sit samtykke, og der skal samtidig være tungtvejende grunde til, at der ikke kan benyttes en anden form for kundenummer. Dog er det lovligt at videregive en kundes CPR-nummer uden samtykke, når videregivelsen er et naturligt led i den normale drift af din virksomhed, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af kunden eller kræves af en offentlig myndighed. Dette betyder eksempelvis, at hvis du leverer hjælpemidler til kunder, der er henvist af deres kommuner, og du i den forbindelse modtager en kundes CPR-nummer, vil du skulle have kundens 4 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

5 samtykke til at benytte dette til din egen registrering af kunden. Dog vil du godt kunne videregive CPR-nummeret til kommunen, hvis dette kræves af kommunen. I praksis vil du eksempelvis kunne bede kunden om at give sit samtykke til din registrering af kundens CPR-nummer som en del af en eventuel formular som kunden udfylder med sine oplysninger. HVORNÅR GÆLDER PERSONDATALOVEN? Persondataloven gælder altid, hvis alle kravene i figur 2 er opfyldt. Der foretages en behandling af personoplysninger, hver gang oplysningerne håndteres enten manuelt eller elektronisk. Når persondataloven taler om behandling skal dette altså forstås bredt. Behandling er ikke betinget af, at du aktivt vælger at anvende, systematisere eller læse personoplysninger FIGUR 2.: PERSONDATALOVEN GÆLDER ALTID HVIS ALLE KRAVENE NEDENFOR ER OPFYLDT: DIN VIRKSOMHED ER ETABLERET I DANMARK DE PERSONOPLYSNINGER, DU INDSAMLER OG BEHANDLER ER ELEKTRONISKE ELLER EN DEL AF ET REGISTER INDSAMLINGEN OG BEHANDLINGEN AF PERSONOPLYSNINGER FINDER STED INDEN FOR EU/EØS OMRÅDET PERSONDATALOVEN GÆLDER FOR DIN VIRKSOMHED HVORNÅR KAN PERSONOPLYSNINGER BEHANDLES LOVLIGT? Det er et grundlæggende krav i persondataloven, at personoplysninger altid skal behandles i overensstemmelse med god databehandlingsskik. Kravet gælder altid og for al form for behandling af personoplysninger. Eksempelvis gælder kravet også, selvom en person har givet sit samtykke til behandlingen af personoplysninger. Behandling af personoplysninger Din virksomhed anses for at behandle personoplysninger, hver gang der indsamles, opbevares, systematiseres, ændres, tilpasses eller slettes personoplysninger. Eksempelvis vil det være behandling af personoplysninger, når oplysningerne lægges ind i virksomhedens it-systemer. Ligesom god markedsføringsskik er begrebet god databehandlingsskik en dynamisk størrelse og det er derfor en god ide, at undergive din virksomheds persondatapolitik et juridisk tjek med jævne mellemrum. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 5

6 God behandlingsskik betyder at personoplysninger behandles i overensstemmelse med : tydeligt angivne formål (eksempelvis oprettelse af en brugerprofil), og at senere behandling af oplysningerne ikke er uforenligt med det oplyste formål. At der ikke må indsamles flere oplysninger end hvad der er nødvendigt og relevant (eksempelvis er CPR-nummer ikke altid relevant). At behandlingen af oplysningerne tilrettelægges så oplysningerne kan ajourføres, berigtiges og slettes når behandling af oplysningerne ikke længere er nødvendig. Hvis du eksempelvis ønsker at etablere en online kundeklub, vil du skulle definere det specifikke formål, hvortil oplysninger om kunder indsamles (eksempelvis oprettelse af profiler og markedsføring af specifikke tilbud til kunder). Samtidig skal du sikre, at der ikke indsamles oplysninger, der ikke er nødvendige for at opfylde disse formål. Det vil eksempelvis være relevant at indsamle oplysninger om kundens præferencer i forbindelse med, at kunden handler på din webshop. Derimod vil det kun sjældent være relevant at indsamle oplysninger om kundernes privatøkonomi eller civilstand. Du må kun behandle personoplysninger, hvis der er bemyndigelse til det. Der er bemyndigelse til behandling af almindelige personoplysninger, hvis et af følgendekrav er opfyldt: Kunden har givet sit udtrykkelige samtykke Behandlingen sker for at opfylde en aftale med den registrerede (det er eksempelvis nødvendigt for en webshop at kende kundens navn og adresse for at kunne sende varen). Behandlingen finder sted for at opfylde en retlig forpligtelse for din virksomhed (eksempelvis bogføring). Behandlingen er nødvendig for, at din virksomhed kan forfølge en berettiget interesse, og at hensynet til den kunde, hvis oplysninger behandles, ikke overstiger denne interesse. Eksempelvis vil din virksomhed kunne have en berettiget interesse i at behandle oplysninger om kunders adfærd, når kunderne besøger din webshop for at forbedre funktionalitet og brugeroplevelse. Denne interesse vil som hovedregel overstige hensynet til kunderne. Omvendt vil hensynet til kunden overstige din interesse i at offentliggøre kundernes navne og information om kundens køb i din webshop. 6 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

7 Behandling af følsomme og semi-følsomme oplysninger Følsomme og semi-følsomme oplysninger må som udgangspunkt alene behandles af din virksomhed, hvis kunden giver udtrykkeligt samtykke eller oplysninerne er gjort offentlige af kunden selv. Oplysninger om fagforeningsmæssigt tilhørsforhold (følsom oplysning) kan godt behandles, hvis det er nødvendigt for at overholde din virksomheds arbejdsretlige forpligtelser eller specifikke rettigheder. HVAD ER ET GYLDIGT SAMTYKKE? Hvis din behandling af personoplysninger er baseret på et samtykke fra den person som oplysningerne vedrører, skal du sikre, at samtykket er frivilligt, specifikt og informeret. Det betyder, at den person, der afgiver samtykket, skal være i stand til at gennemskue (og forstå) omfanget og konsekvenserne af samtykket. Eksempel på et samtykke, der ikke er tilstrækkeligt præcist: Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger i forbindelse med aktiviteter vedrørende salg og markedsføring. Virksomhed A/S er endvidere berettiget til at videregive mine oplysninger til Virksomhed A/S leverandører og samarbejdspartnere til brug for tilsvarende formål. Eksempel på et samtykke, der er tilstrækkeligt præcist: Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger til brug for administrationen af min profil på Virksomhed A/S online kundeklub. I det omfang jeg eksplicit har accepteret dette, er Virksomhed A/S endvidere berettiget til at benytte mine oplysninger i forbindelse med fremsendelse af særlige tilbud og events. Samtykke kan altid tilbagekaldes Adgangen til at tilbagekalde et samtykke skal være let og umiddelbar. Dette krav vil eksempelvis kunne opfyldes ved at angive følgende i forbindelse med, at kunden afgiver sit samtykke. Eks.: Du kan til enhver tid tilbagekalde dit samtykke ved at kontakte os på tilbagekald@virksomhed-as.dk eller telefonnummer Hvis du vælger at tilbagekalde dit samtykke vil dette eventuelt kunne medføre, at du ikke længere kan anvende vores kundeklub. HVAD ER DEN REGISTREREDES/KUNDENS RETTIGHEDER? Som kunde har man en række rettigheder: Man har ret til at blive oplyst om, at ens personoplysninger behandles. Man har ret til løbende at få indsigt i, hvordan ens personoplysninger behandles Man har ret til at klage over, at ens personoplysninger behandles. Du er derfor ansvarlig for at sikre, at disse rettigheder overholdes. Rettighederne gælder i relation til alle former for indsamling og behandling af personoplysninger. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 7

8 RETTEN TIL AT BLIVE OPLYST Retten til at blive oplyst om behandlingen af personoplysninger betyder, at du skal oplyse om følgende, når du indsamler personoplysninger: Din virksomheds identitet (dvs. din virksomheds CVR-nummer, adresse og øvrige kontaktoplysninger). Formålene med indsamlingen og behandlingen af personoplysningerne. Reglerne om indsigt i og om berigtigelse af personoplysningerne. Hvilken type oplysninger der indsamles, og hvem der modtager oplysningerne. Denne oplysningspligt gælder også selvom det ikke er nødvendigt at indhente kundens samtykke. Eksempelvis kan oplysningerne gives til kunder via din virksomheds persondatapolitik eller i forbindelse med, at kunden selv angiver oplysningerne (eksempelvis hvor kunden indtaster oplysningerne online). Desuden skal du oplyse om alle yderligere oplysninger, der konkret er nødvendige for, at kunden kan varetage sine interesser. Det omfatter eksempelvis oplysninger om, hvilke konsekvenser det vil have, hvis kunden ikke afgiver de efterspurgte personoplysninger (eksempelvis at det begrænser muligheden for at gøre brug af tjenester eller købe produkter). RETTEN TIL INDSIGT Foruden de oplysninger, som du skal oplyse kunden om i forbindelse med indsamlingen af oplysninger om kunden, er kunden også berettiget til løbende at få indsigt i, hvilke oplysninger du behandler om kunden Retten til at få indsigt i behandlingen af personoplysninger betyder, at du på anmodning skal oplyse en kunde om: Hvilke oplysninger der behandles? Hvad formålet er med behandlingen? Hvem der får adgang til de indsamlede oplysninger? Information om, hvor personoplysningerne stammer fra. Hvis en person retter henvendelse til din virksomhed og anmoder om indsigt, skal du besvare anmodningen inden for 4 uger efter modtagelse. Hvis det ikke er muligt, skal du inden for 4 uger underrette den pågældende om grunden hertil, samt om, hvornår den endelige besvarelse kan forventes at foreligge. Ved omfattende anmodninger kan du undersøge muligheden for at opkræve et mindre gebyr for en skriftlig besvarelse. Anmodning om indsigt Har du besvaret en anmodning om indsigt, har kunden ikke krav på indsigt før efter 6 måneder, medmindre personen godtgør en særlig interesse heri. RETTEN TIL INDSIGELSER En kunde kan til enhver tid over for din virksomhed gøre indsigelse mod, at oplysninger om vedkommende behandles. Hvis indsigelsen er berettiget, er du forpligtet til ikke længere at behandle de pågældende oplysninger. 8 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

9 HVAD GÆLDER NÅR DU OVERFØRER PERSONOPLYSNINGER UDEN FOR EU/EØS Persondatalovgivningen i EU er baseret på et EU Direktiv. Det betyder, at alle medlemsstater, samt EØS landende, har det samme grundlæggende niveau for beskyttelse af personoplysninger. Derfor gælder der også et princip om, at personoplysninger frit kan overføres til andre lande inden for EU/ EØS området. Lande uden for EU/EØS området betragtes som ikke-sikre tredjelande og personoplysninger kan derfor, som udgangspunkt, ikke overføres til disse lande. Der er dog alligevel en række muligheder for at overføre personoplysninger til sådanne tredjelande. Når du overvejer at overføre personoplysninger til et land uden for EU/EØS området, er det vigtigt at være opmærksom på, at både faktisk og potentiel overførsel af personoplysninger betragtes som overførsel. Det betyder eksempelvis, at der vil være tale om overførsel af personoplysninger, hvis en it-leverandør i et tredjeland har fjernadgang til personoplysninger i et it-system i Danmark. Det er uanset om it-leverandøren ikke faktisk tilgår personoplysningerne. SAMTYKKE TIL OVERFØRSEL Persondataloven opstiller en række undtagelser til hovedreglen om, at du ikke kan overføre personoplysninger til tredjelande, som gør, at du kan overføre personoplysninger til lande uden for EU/ EØS området. Den, i praksis, mest relevante undtagelse er situationen, hvor der er givet samtykke til overførslen. Hvis overførslen af personoplysninger sker løbende, eksempelvis i forbindelse med din brug af et HR system, vil overførslen som udgangspunkt ikke kunne baseres på et samtykke. Grunden til dette er, at du som udgangspunkt ikke kan forvente, at den person hvis oplysninger behandles kan overskue konsekvenserne af et samtykke til løbende overførsel. Du vil derfor skulle sikre dig et andet grundlag for overførslen typisk ved indgåelse af Kommissionens Standardkontrakter. KOMMISSIONENS STANDARDKONTRAKTER Kommissionens Standardkontrakter er en standardaftale, der kan indgås mellem en virksomhed beliggende inden for EU/EØS området og en virksomhed beliggende i et tredjeland. Ved at indgå standardkontrakten påtager den virksomhed, der er beliggende i et tredjeland, at beskytte oplysningerne som de ville være beskyttet inden for EU/EØS. Hvis en virksomhed beliggende inden for EU/EØS området og en virksomhed beliggende i et tredjeland har indgået en dataoverførselsaftale baseret på standardkontrakt, kan EU/EØS-virksomheden lovligt overføre personoplysninger til virksomheden i tredjelandet, uden at indhente samtykke til overførelsen hos de enkelte persondatasubjekter. Hvis der er tale om følsomme personoplysninger, vil du dog skulle informere de berørte kunder om overførslen. Kommissionens Standardkontrakter Der findes grundlæggende to typer kontrakter. Den ene version er bestemt til overførsel af personoplysninger fra en EU/EØS-virksomhed til en virksomhed i et tredjeland, med henblik på denne virksomheds behandling af personoplysninger på vegne af EU/EØS-virksomhed (dataansvarlig til databehandler). Den anden version er bestemt til overførsel af personoplysninger fra en EU/EØSvirksomhed til en virksomhed i et tredjeland med henblik på denne virksomheds selvstændige brug af personoplysninger (dataansvarlig til dataansvarlig). Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 9

10 Hvis overførsel af personoplysninger er baseret på indgåelse af en dataoverførselsaftale, som er baseret på en standardkontrakt uden ændringer, er det ikke nødvendigt at få Datatilsynets godkendelse for at overførslen er lovlig. Standardkontrakter skal indgås direkte mellem din virksomhed og den virksomhed, der behandler eller får adgang til personoplysninger uden for EU/EØS. Hvis du eksempelvis har en aftale med en dansk it-leverandør, der benytter en indisk underleverandør til behandling af personoplysninger, skal du altså indgå standardkontrakten direkte med den indiske underleverandør. Du kan ikke indgå en standardkontrakt direkte med en it-leverandør, der er beliggende inden for EU/EØS. Standardkontrakterne dækker alene overførsel af personoplysninger til leverandører eller underleverandører, der er beliggende uden for EU/EØS og som derfor ikke er underlagt EU s databeskyttelsesregler. Du kan med fordel kræve, at din it-leverandør udarbejder og indhenter underskrift på standardkontrakterne. Standardkontrakten kan også anvendes, hvis du overfører personoplysninger til selskaber inden for din koncern, der er beliggende uden for EU/EØS. Ek-sempelvis vil standardkontrakten kunne anvendes, hvis du overfører HR-oplysninger til dit moderselskab i USA, i forbindelse med, at du anvender moderselskabets centrale HR-system. Download Kommissionens Standardkontrakter Kommissionens Standardkontrakter kan hentes gratis via EU Kommissionens hjemmeside eller via Datatilsynets hjemmeside (datatilsynet.dk). BINDENDE VIRKSOMHEDSREGLER Bindende virksomhedsregler (Binding Corporate Rules) er en model, der kan anvendes af større koncerner med henblik på at sikre lovlig overførsel af personoplysninger inden for koncernen til de af koncernens virksomheder, der er beliggende uden for EU/EØS området. For at etablere bindende virksomhedsregler, skal du udarbejde et bindende regelsæt for koncernens virksomheder, der skal godkendes af datatilsynene i de EU lande, hvor koncernens virksomheder er beliggende. Det er normalt en omfattende proces, at etablere bindende virksomhedsregler og du vil som oftest have brug for at kontakte en ekstern rådgiver, der kan hjælpe med processen. SAFE HARBOR Safe Harbor-ordningen er i oktober 2015 blevet kendt ugyldig af EU Domstolen i forbindelse med en sag anlagt mod Facebook. Derfor kan danske virksomheder ikke længere basere overførsel af personoplysninger til USA på Safe Harbor-ordningen. Hvis leverandører eller samarbejdspartnere tilbyder dette, som en del af deres vilkår, bør du derfor indgå en standardkontrakt i stedet. Der er blevet indgået en aftale mellem EU og USA om en ny ordning betegnet EU-US Privacy Shield. Denne ordning forventes at træde i kraft i foråret Det er i skrivende stund ikke klart, hvordan ordningen kommer til at fungere, men det må forventes, at ordningen i lighed med Safe Harborordningen vil gøre det lovligt at overføre personoplysninger til virksomheder i USA, der har tilsluttet sig ordningen. HVILKE KRAV ER DER TIL INDGÅELSE AF IT-, OUTSOURCING- OG CLOUD-AFTALER? Der anvendes ofte it-leverandører i forbindelse med din virksomheds daglige drift. Hvis du vælger 10 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

11 at lade dele af it-driften outsource, eller anvender du online applikationer/tjenester, vil det ofte også betyde, at personoplysninger behandles af en ekstern it-leverandør. Det kan eksempelvis være ved anvendelse af elektroniske betalingstjenester, mailtjenester, online kundekartoteker, webhosting eller ved helt eller delvis outsourcing at din virksomheds it-drift. Du er forpligtet til at sikre, at den behandling af personoplysninger, der foretages af eksterne it-leverandører, er i overensstemmelse med persondatalovens regler og alene sker under instruks fra din virksomhed. Det betyder i praksis, at der skal indgås en databehandleraftale mellem din virksomhed og it-leverandøren. Det kan enten ske i form af en selvstændig aftale eller indeholdt som et afsnit i serviceaftalen/leveranceaftalen mellem din virksomhed og it-leverandøren. Bagerst i disse retningslinjer kan du finde et eksempel på, hvilke bestemmelser du kan anvende i aftaler med leverandører, der behandler personoplysninger på vegne af din virksomhed. Hvis der anvendes en it-leverandør, som behandler og/eller tilgår personoplysninger fra lande uden for EU/EØS, skal reglerne om afsnit: Hvad gælder når du overfører personoplysninger uden for EU/EØS, Samtykke til overførsel og afsnit Kommisionens standartkontrakter på s.9 følges. Dette er særligt vigtigt at være opmærksom på i forhold til online- og cloud-tjenester, da disse typisk leveres ud af flere globale lokationer. Det vil ofte ikke være muligt, eller vanskeligt, for leverandøren at begrænse, hvor oplysningerne er lagret geografisk eller hvorfra oplysningerne tilgås. Dette skyldes, at cloud-tjenester ofte er bygget op omkring et globalt leverancesetup for at optimere og minimere omkostninger. De enkelte servere eller services kan derfor ikke udskilles til mindre lokale enheder, da dette ødelægger selve den forretningsmodel, som systemet er opbygget efter. Reglsæt ved indgåelse af it-, outsourcing- og cloud-aftaler Det skal af databehandleraftalen tydeligt fremgå, at it-leverandøren er underlagt samme regelsæt for behandling af personoplysninger som din virksomhed, og at it-leverandøren kun foretager behandling af personoplysningerne på instruks fra din virksomhed. FIGUR 3.: HVAD SKAL DU VÆRE OPMÆRKSOM PÅ, NÅR DU INDGÅR IT-AFTALER: Lagres eller behandles der overhovedet personoplysninger i de it-systemer eller cloud tjenester, der hostes, vedligeholdes eller leveres af eksterne it-leverandører? Er der indgået en databehandlingsaftale eller indeholder aftalen med it-leverandøren bestemmelser, der forpligter it-leverandøren til alene at behandle personoplysninger i henhold til din virksomheds instruks og sikre, at personoplysninger opbevares og behandles sikkert? Ved du, hvor it-leverandøren og dennes underleverandører opbevarer og tilgår personoplysninger fra? Hvis personoplysninger opbevares eller tilgås af it-leverandøren fra lande uden for EU/EØS, er der så indgået en dataoverførselsaftale (Kommissionens Standardkontrakt) mellem din virksomhed og it-leverandøren? Har du mulighed for at kontrollere it-leverandørens behandling af dine personoplysninger (eksempelvis via revision). Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 11

12 HVAD GÆLDER FOR KØB, SALG OG VIDEREGIVELSE AF PERSONOPLYSNINGER TIL BRUG VED MARKEDSFØRING? Du må ikke videregive personoplysninger om en kunde til en anden virksomhed. Heller ikke til brug for markedsføring. Du må heller ikke anvende oplysningerne på vegne af en anden virksomhed til brug for markedsføring af denne virksomheds vare eller ydelser. Det betyder, at virksomheder ikke må sælge eller videregive personoplysninger om en forbruger til samarbejdspartnere eller associerede virksomheder. Det er kun tilladt, hvis kunden (forbrugeren) har samtykket til, at oplysningerne bliver videregivet. Det gælder også inden for virksomhedens egen koncern. Uden samtykke er det ikke lovligt at dele personoplysninger om en kunde (forbruger), der eksempelvis er mobilabonnent hos et selskab, med søsterselskabet, som forhandler internetløsninger. Det er derfor vigtigt, at virksomheden allerede i forbindelse med indsamling af oplysningerne sikrer et samtykke, som dækker din virksomheds behov 1. Er der givet samtykke til markedsføring og givet samtykke til overførslen? - Hvis ja, til markedsføring af hvilke ydelser/produkter? 2. Giver samtykket mulighed for at videregive oplysningerne til en anden erhvervsdrivende? - Giver samtykket mulighed for at videregive oplysningerne til en datter/søsterselskab? Hvis samtykke ikke allerede er givet, skal du være opmærksom på, at et efterfølgende samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens 6 (spam reglerne). Det betyder eksempelvis, at du ikke må rette henvendelse til forbrugeren via for at indhente samtykket. VIRKSOMHEDENS LOYALITETS- OG BONUSKLUBBER Mange virksomheder opretter loyalitets- eller bonusklubber, hvor medlemmer opnår særlige rabatter og tilbud. Der indsamles og behandles i den forbindelse oplysninger om kundernes købshistorik, kundeprofil mv. Sådanne oplysninger er personoplysninger, hvis de kan henføres til en specifik kunde. Dette betyder også, at virksomheden skal informere kunderne om og sikre samtykke til den specifikke behandling af personoplysninger. Hvis oplysningerne skal bruges til markedsføring, skal kravene i Hvad er et gyldigt samtykke s.7 også overholdes. 12 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

13 Hvis virksomheden som en del af loyalitetsklubben foretager markedsføring på vegne af andre virksomheder, eksempelvis i form af tilbud fra disse virksomheder, skal virksomheden opfylde følgende krav: Der skal være en naturlig sammenhæng mellem loyalitetsklubben og de ydelser, der markedsføres via loyalitetsklubben. Der skal gives præcis information om de andre virksomheder, som virksomheden vil foretage markedsføring på vegne af. Virksomheden skal informere om, hvorvidt der senere kan blive tilknyttet yderligere samarbejdspartnere til loyalitetsklubben.. Hvis der kommer nye samarbejdspartnere til, så skal medlemmerne informeres og gives 14 dages frist til at gøre indsigelse. Det er eksempelvis lovligt at oprette en loyalitets- og bonusklub, hvor oplysninger om kundernes køb registreres og kunderne herefter tilbydes særlige rabatter eller fordelagtige tilbud ud fra kundens tidligere køb, når blot kunden har givet sit samtykke og er blevet informeret om behandlingen af kundens personoplysninger. Det er dog vigtigt at bemærke, at kundens samtykke altid er påkrævet. HVORDAN SKAL DU BESKYTTE PERSONOPLYSNINGER? Virksomheder, der behandler personoplysninger, skal ifølge persondataloven træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de personoplysninger, der behandles af virksomheden. Persondatalovens bestemmelser om sikkerhed er blandt persondatalovens mest grundlæggende krav. I praksis er sikkerhed en dynamisk størrelse, der udvikler sig i takt med teknologien og det aktuelle trusselsbillede. De sikkerhedsforanstaltninger der i dag er nødvendige for at sikre en tilstrækkelig sikkerhed, er ikke de samme som de foranstaltninger, der var nødvendige og tilgængelige i går. Loven foreskriver ikke de specifikke foranstaltninger, der skal træffes og du skal derfor løbende sikre, at din virksomheds beskyttelse af personoplysninger er tilstrækkelig ud fra de konkrete risici forbundet med din virksomheds brug af personoplysninger. Det er vigtigt, at du gør dig klart, at overholdelse af persondatalovens sikkerhedsregler er en opgave, der involverer hele virksomheden. Selv om mange af de foranstaltninger, der er nødvendige for at sikre tilstrækkelig sikkerhed i praksis, ofte vil være tæt knyttet til din virksomheds it-infrastruktur, er etableringen af fornødne sikkerhedsforanstaltninger ikke blot et anliggende for it-afdelingen. Det kan også betyde ændring af arbejdsgange eller omlægning af administrative opgaver for virksomhedens øvrige afdelinger. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 13

14 TABEL 1.: HVILKE ELEMENTER BØR INDGÅ I VIRKSOMHEDENS BESKYTTELSE AF PERSON- OPLYSNINGER? SIKKERHED EMNER HVAD SKAL DIN VIRKSOMHED GØRE Tekniske Ulovlig adgang og misbrug af data Du bør sikre, at din virksomheds it-systemer er beskyttet mod ulovlig indtrængen eller misbrug af personoplysninger. Sikkerhed der bør overvejes er eksempelvis adgangskontrol (password) til it-systemer og applikationer (programmer/apps), sikring af netværk (eksempelvis password til wifi eller intranet, firewall, intrusion detection), logning af brug af it-systemer og kryptering af følsomme data. Tab eller beskadigelse af data Du bør sikre, at personoplysninger ikke fortabes, beskadiges eller ændres utilsigtet. Derfor bør du sikre, at der tages nødvendig back-up af data. Fysiske Uretmæssig adgang til virksomheden. Tilstrækkelig sikkerhed betyder også, at virksomheden skal sikre det ydre værn mod ulovlig indtrængen både i virksomheden og i virksomhedens systemer. Organisatoriske Overblik over persondatabehandling Du skal have overblik over virksomhedens behandling af personoplysninger og de funktioner i virksomheden, der behandler personoplysninger (eksempelvis HR, Salg). Processer og retningslinjer Du bør sikre, at der er klare processer og retningslinjer for, hvordan din virksomheds enkelte funktioner behandler personoplysninger. Eksempelvis bør der være klare retningslinjer for, hvem der har adgang til kundeoplysninger og hvordan oplysningerne kan anvendes. Undervisning af medarbejdere Du bør sikre, at de medarbejdere, der behandler personoplysninger er uddannet i din virksomheds retningslinjer og ved hvilke regler, der gælder. Du kan overveje at søge vejledning i en anerkendt sikkerhedsstandard. Som eksempel kan nævnes ISO 27001, der er en generel standard for informationssikkerhed, der kan rekvireres via iso.org. Det er vigtigt at være opmærksom på, at det altid er dig, der er ansvarlig for, at din virksomhed behandler personoplysninger sikkert. Dette ansvar gælder også selv om din virksomhed benytter en ekstern leverandør (eksempelvis en it-leverandør) til behandlingen. Du skal derfor altid sikre dig, at du er bekendt med de sikkerhedsforanstaltninger, der er implementeret for at beskytte din virksomheds personoplysninger. 14 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

15 HVILKE KRAV GÆLDER FOR VIRKSOMHEDENS RISIKOVURDERING OG SIKKERHEDSPOLITIK Virksomhedens sikring af et tilstrækkeligt beskyttelsesniveau bør tage udgangspunkt i en risikovurdering af virksomhedens datasikkerhed. Den typiske fremgangsmåde, der anvendes i forbindelse med gennemførelsen af en risikoanalyse, omfatter en overordnet vurdering af de risici, der er forbundet med virksomhedens persondatabehandling og brug af informationsteknologi. Et eksempel på en risiko, der bør behandles i en risikoanalyse er risikoen for, at personoplysninger behandles til formål, der ikke er forenelige med det formål, de er indsamlet til (eksempelvis at virksomheden har indsamlet oplysningerne til brug for et log-in, men nu bruges de til at målrette annoncerne på hjemmesiden, hver gang brugeren er logget ind). Ved at afdække denne risiko gennem risikoanalysen, kan du lave en procedure for dokumentation af de formål, som personoplysninger er indsamlet til og sikre, at efterfølgende behandlinger af oplysningerne ikke er uforenelige med det formål. Du bør gennemgå risikoanalysen regelmæssigt for at sikre, at din virksomheds foranstaltninger til sikring af sikkerhed, afspejler det aktuelle trusselsbillede. HVAD GÆLDER NÅR DU ANVENDER COOKIES? Cookies er små tekstfiler, der gemmes på brugerens computer, tablet, telefon eller andet it-udstyr, når en bruger besøger en hjemmeside. Cookies gør det muligt at indsamle information om brugerens adfærd på hjemmesiden. Det kan være alt fra statistisk data, eller data, der hjælper til at optimere markedsføringen på hjemmesiden, til data der vedrører brugerens sprogpræferencer eller brug af en indkøbskurv. Data indsamlet fra Cookies vil derfor som udgangspunkt være personoplysninger. Brugen af Cookies reguleres derfor foruden af cookiebekendtgørelsen også af persondataloven. Cookies er almindelig anvendt og indgår som en integreret del af de fleste hjemmesideløsninger. Bannerannoncer på hjemmesider vil ofte placere Cookies, ligesom links i form af like -henvisninger til eksempelvis Facebook, Twitter eller Instagram ofte også vil placere en Cookie som en del af linket. Brugeren af en hjemmeside skal acceptere, at der placeres Cookies på brugerens udstyr. Cookievejledning Der henvises i øvrigt til Erhvervsstyrelsens cookievejledning, der kan hentes på Erhvervsstyrelsens hjemmeside: Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 15

16 FIGUR 4.: NÅR EN BRUGER AF DIN VIRKSOMHEDS HJEMMESIDE SKAL ACCEPTERE, AT DER PLACERES COOKIES, SKAL BRUGEREN OPLYSES OM: TYPE Hvilke Cookies der anvendes OPLYSNINGER OM COOKIES FORMÅL Hvad formålet med placeringen af Cookien er (eksempelvis, at du bruger Cookies til statistik eller målrettet markedsføring til brugeren) HVEM BRUGER DEN Hvem der placerer Cookies (er det kun din virksomhed selv, eller anvendes tredjepart Cookies, som eksempelvis Google Analytics) AFVISNINGS MULIGHED Brugerens mulighed for ikke at acceptere lagring af Cookies, eller at tilbagekalde sin accept. UDLØBSDATO Hvor længe er Cookies gemt på brugerens udstyr (en Cookie vil normalt være sat til at have et bestemt udløbstidspunkt) HVORNÅR MÅ DU FORETAGE TV-OVERVÅGNING? Brug af tv-overvågning er underlagt både TV-overvågningslovens og persondatalovens regler. TV-overvågningsloven opstiller de grundlæggende regler for, hvor en virksomhed lovligt kan foretage TV-overvågning. Persondatalovens regler finder anvendelse i forhold til behandlingen af de personoplysninger, der er en følge af TV-overvågningen. TV-OVERVÅGNINGSLOVEN Udgangspunktet i TV-overvågningsloven er, at du ikke må foretage TV-overvågning af gade, vej, plads eller lignende område, som benyttes til almindelig færdsel. Derimod kan du lovligt foretage TV-overvågning af din virk-somheds egne lokaler. TV-overvågningsloven opstiller desuden en række undtagelser, hvorefter visse typer af virksomheder lovligt kan foretage TV-overvågning af offentlige områder (eksempelvis butikscentre, hæveautomater mv.). For at TV-overvågning af steder eller lokaler, hvortil der er almindelig adgang eller af arbejdspladser anses for lovlig, skal du tydeligt skilte med, at der foretages TV-overvågning. 16 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

17 PERSONDATALOVEN OG TV-OVERVÅGNING De almindelige regler i persondataloven, der er gældende for anden behandling af personoplysninger, gælder tilsvarende for behandlingen af optagelser fra TV-overvågning, hvori der indgår personoplysninger (eksempelvis optagelser af personer). Derudover opstiller persondataloven en række begrænsninger i forhold til, hvornår optagelser fra TV-overvågning med henblik på kriminalitetsforebyggelse kan videregives. Med mindre du er forpligtet til at videregive optagelser i henhold til anden lovgivning, er det således alene lovligt at videregive optagelser, hvis: (a) den person der optræder på optagelserne har givet sit samtykke til videregivelsen, eller (b) videregivelsen sker til politiet i kriminalitetsopklarende øjemed. Som udgangspunkt skal du slette optagelser senest 30 dage efter, at optagelserne er foretaget. Dog kan du opbevare optagelser længere, hvis det er nødvendigt for behandlingen af en konkret tvist. I dette tilfælde skal du dog underrette den som tvisten vedrører og på anmodning udlevere en kopi af optagelsen. Du er som udgangspunkt ikke forpligtet til at anmelde TV-overvågning til Datatilsynet. OPTAGELSE AF TELEFONSAMTALER Du kan som udgangspunkt optage telefonsamtaler, der eksempelvis foretages af kundeservice, forudsat at medarbejderne forinden er informeret herom. Desuden skal de kunder, der ringer til kundeservice også informeres om, at samtalen optages og optagelse af samtalen er kun lovlig, hvis dette sker til et sagligt formål så som træning og behandling af klager. De kunder der op-tages skal havde de samme oplysninger som de, der fremgår af Retten til at blive oplyst s.8. I praksis kan oplysningerne eksempelvis gives ved, at der inden samtalen påbegyndes gives en automatisk besked om, at samtalen optages og til hvilke formål optagelsen foretages. BEHANDLING AF MEDARBEJDEROPLYSNINGER Såvel i forbindelse med selve ansættelsen, som under ansættelsesforholdets beståen, vil der typisk blive indsamlet en række personoplysninger om medarbejderen som eksempelvis navn, adresse, eksamensbevis(er), helbredserklæringer, oplysninger om fagforeningsforhold osv. Oplysningerne indføres normalt i et personaleregister, der føres enten manuelt eller elektronisk eller som en kombination heraf. Dermed er oplysningerne omfattet af persondatalovens regler. Det indebærer, at: (a) du kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål, (b) personoplysningerne skal være relevante og tilstrækkelige og ikke omfatte mere end hvad der kræves til opfyldelse af disse formål, og at (a) personoplysningerne ikke må opbevares i et længere tidsrum end nødvendigt. På Dansk Erhvervs hjemmeside kan du finde uddybende retningslinjer for, hvordan du må indsamle og behandle personoplysninger om dine medarbejdere. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 17

18 FREMTIDSPERSPEKTIVER OG HVORDAN DU FÅR STYR PÅ PERSONDATA COMPLIANCE NY PERSONDATAFORORDNING I slutningen 2015 blev den endelige tekst til EU s ny databeskyttelsesforordning vedtaget. Forordningen kommer til at betyde en række ændringer af de krav, der stilles til din virksomheds behandling af personoplysninger. Den nye persondataforordning træder i kraft i De væsentligste nye regler, der har betydning for din virksomhed er: Den registreredes rettigheder. Oplysning: Ved indsamling af personoplysninger skal der oplyses om, hvilket hjemmelsgrundlag der anvendes, så som opfyldelse af en aftale eller samtykke. Ret til at blive glemt: Den registrerede får en ret til at blive glemt. Risikoanalyse. Før du behandler personoplysninger skal du foretage en analyse af konsekvensen af de påtænkte behandlinger. Indarbejde persondatabeskyttelse (Privacy by design and by default). Når du udvikler nye produkter, ydelser eller forretningsgange skal du tage persondatabeskyttelse med i dine overvejelser og sikre, at kunder altid som udgangspunkt beskyttes bedst muligt. Rapportering af databrud. Du vil være forpligtet til at underrette myndigheder og kunder om eventuelle brud på din virksomheds sikkerhed, hvis kunders personoplysninger er blevet kompromitterede. Dokumentation af compliance. Du vil skulle dokumentere, hvordan din virksomhed overholder de persondataretlige regler og løbende føre en fortegnelse over de kategorier af persondatabehandling som foretages af din virksomhed. Databeskyttelsesofficer. Nogle virksomheder vil være forpligtet til at udpege en databeskyttelsesofficer, der er ansvarlig for virksomhedens behandling af personoplysninger. Som udgangspunkt vil det særligt være virksomheder, der monitorerer personer i stort omfang eller som behandler mange følsomme personoplysninger, der vil skulle udpege en databeskyttelsesofficer. 18 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

19 DEN REGISTREREDES RETTIGHEDER De regler du i fremtiden skal være opmærksom på i forhold til de registreredes rettigheder er i al væsentlighed svarende til de regler, der er gengivet i punkterne af Retten til at blive oplyst og Retten til insigelser s.8. I fremtiden vil du dog også skulle oplyse dine kunder om, hvilket juridisk grundlag du har baseret indsamlingen og behandlingen af personoplysninger på. I praksis betyder dette, at du eksempelvis vil skulle angive, hvis behandlin-gen af personoplysninger er baseret på kundens samtykke eller er nødvendig for, at du kan opfylde gældende lovgivning (eksempelvis indberetning af skatteoplysninger om medarbejdere). RISIKOANALYSE, INDARBEJDELSE AF PERSONDATABESKYTTELSE OG DOKUMENTATION AF COMPLIANCE Reglerne om risikoanalyse, indarbejdelse af persondatabeskyttelse og dokumentation af compliance betyder grundlæggende, at du i fremtiden vil skulle overveje persondatabeskyttelse i forhold til alle aspekter af din virksomhed, herunder nye produkter og forretningsprocesser. I praksis vil du skulle vurdere, om der er særlige risici i forhold til den måde, hvorpå din virksomhed behandler og beskytter personoplysninger, hver gang din virksomhed udvikler et nyt produkt eller forretningsproces. Du skal endvidere kunne dokumentere, hvordan din virksomhed behandler personoplysninger, og at du har foretaget en risikovurdering i forhold til de enkelte former for behandling. Det er derfor væsentligt, at du fremadrettet husker at overveje persondatabeskyttelse i driften af din virksomhed og dokumenterer, når din virksomhed vælger at behandle personoplysninger. Desuden vil du løbende skulle føre en oversigt over, hvordan din virksomhed behandler personoplysninger og hvordan du overholder forordningens regler. RAPPORTERING AF DATABRUD Hvis din virksomhed oplever et brud på datasikkerheden, hvor der er risiko for, at personoplysninger er blevet kompromitterede, vil du med indførelsen af de nye regler skulle underrette Datatilsynet og de personer hvis oplysninger er blevet kompromitterede, om bruddet. Konkret vil underretningen skulle foretages senest 72 timer efter, at du er blevet bekendt med, at personoplysningerne er blevet kompromitterede, og du vil skulle underrette de berørte personer uden ugrundet ophold. I praksis vil du derfor med fordel kunne udarbejde en plan for, hvordan din virksomhed skal håndtere et brud på din virksomheds datasikkerhed, således at der foreligger klare retningslinjer for hvordan virksomhedens medarbejdere skal agere i situationen. BØDER FOR OVERTRÆDELSE AF REGLERNE Med den ny forordning indføres der også væsentligt skærpede bøder for overtrædelse af de persondataretlige regler, og overtrædelse af reglerne kan derfor i fremtiden have stor økonomisk betydning. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 19

20 TABEL 2.: HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE BØDENIVEAU Bøde op til eller 2% af din virksomheds årlige globase omsætning. HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE Manglende overholdelse af regler vedrørende behandling af personoplysninger om børn Manglende overholdelse af regler om privacy by design and by default Manglende samarbejde med databeskyttelsesmyndigheder Manglende overholdelse af sikkerhedskrav eller underretning om databrud Manglende udarbejdelse af risikoanalyse Manglende overholdelse af regler om databeskyttelsesofficer (Data Protection Officer) Bøde op til eller 4% af din virksomheds årlige globale omsætning. Behandling af personoplysninger uden behandlingshjemmel Manglende overholdelse af reglerne om indsigt eller rettelse af oplysninger Ulovlig overførsel af personoplysninger uden for EU/EØS HVORDAN FÅR DU STYR PÅ COMPLIANCE At få styr på compliance af personoplysningsreglerne er omfattende og tidskrævende, og det er derfor vigtigt at skabe sig et overblik og gå systematisk til værks. Det første skridt til at få styr på compliance er at lave en data flow mapping over indsamling af personoplysninger, organisationens struktur, it-systemer og data flows (dvs. et landkort over de virksomheder, leverandører systemer og brugere, der har adgang til og behandler personoplysninger). Ved at udarbejde en oversigt over din virksomheds behandling af personoplysninger, kan du få et overblik over de tiltag, der er nødvendige for, at du kan overholde persondatalovgivningen. FIGUR 5.: OVERSIGT OVER DIN VIRKSOMHEDS BEHANDLING AF PERSONOPLYSNINGER Din virksomhed It-systemer It-leverandør Underleverandør Kina USA Datterselvskaber Kunder 20 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

21 FIGUR 6.: UD FRA OVERSIGTEN, BØR DU FOR HVER ENKELT BEHANDLING AF PERSONOP- LYSNINGER OVERVEJE FØLGENDE: SAMTYKKE? Har du lov til at behandle personoplysningerne? RISICI Hvilke risici er forbundet med behandlingen? GODKENDELSE FRA DATATILSYNET Skal du have godkendelse fra Datatilsynet? PERSONOPLYSNING DATABEHANDLINGS- AFTALER Er der indgået databehandlingsaftaler med evt. leverandører, der behandler personoplysningerne? SIKKERHED Har du styr på sikkerheden i forhold til behandlingen af personoplysninger? DATAOVERFØRSELS- AFTALER Overføres personoplysningerne til lande uden for EU/EØS, og er der indgået dataoverførselsaftale? Hvis din virksomhed behandler mange personoplysninger, kan det være en god ide at søge rådgivning fra en specialist, der kan hjælpe med at identificere, hvilke tiltag du bør foretage. Du bør også overveje, hvordan du løbende vil sikre, at du overholder reglerne om persondatabeskyttelse. Dette vil ofte kræve, at du udarbejder procedurer og politikker for, hvordan din virksomhed beskytter personoplysninger. En måde du i praksis kan systematisere, hvordan din virksomhed løbende sikrer personoplysninger er at anvende en risikostyringstilgang. Denne metode betyder, at hver enkelt del af organisationen skal forholde sig til følgende spørgsmål, i forhold til hvordan personoplysninger behandles i din virksomhed: Hvilke risici er der ved behandlingen af personoplysnin-gerne og hvad er de mulige konsekvenser Hvordan kan disse risici overvåges og kontrolleres hvilke foranstaltninger er nødvendige for at imødegå risici (henset til konsekvenser og sandsynlighed)? Hvordan kan du løbende evaluere, om foranstaltningerne er effektive og om der er nye risici, der skal tages i betragt-ning? Det er vigtigt, at din virksomheds bestræbelser på at overholde reglerne om persondatabeskyttelse forankres i hele virksomhedes og ikke kun i it-afdelingen eller i den juridiske afdeling. Beskyttelsen af personoplysninger kræver, at alle dele af organisationen har fokus på opgaven og løbende vurderer, om den behandling af personoplysninger, der foretages af en del af organisationen udgør en risiko. HVAD SKAL DU GØRE FREM TIL PERSONDATAFORORDNINGEN TRÆDER I KRAFT? Du kan med fordel bruge tiden frem til at persondataforordningen træder i kraft til at sikre, at din virksomhed er klar til at overholde reglerne. Dette kan være en omfattende øvelse, men der er en række enkle tiltag du kan igangsætte, med henblik på din virksomheds fremadrettede overholdelse af reglerne. Vi har samlet en tjekliste over tiltag. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 21

22 TABEL 3.: TILTAG TIL DIN VIRKSOMHEDS FREMADRETTEDE OVERHOLDELSE AF REGLERNE: TILTAG HVAD SKAL DU GØRE Skab overblik Skab overblik over de personoplysninger, som din virksomhed indsamler og behandler (data flow mapping). Sammen med de medarbejdere, der har indsigt i din virksomheds it-systemer, forretningsprocesser og HR processer kan du gennemgå din virksomheds enkelte afdelinger og identificere, hvilke personoplysninger, der indsamles og behandles. Du bør som minimum dokumentere, hvilke kategorier af persondatabehandling, der foretages i din virksomhed. Det bør i den forbindelse dokumenteres hvilke personoplysninger, der behandles, hvad der er formålet med behandlingen og hvordan oplysningerne behandles. Tjek at der er behandlingshjemmel Vurder om du har lov til at behandle personoplysninger. For hver indsamling og behandling af personoplysninger, bør du vurdere, om din virksomhed har lov til at behandle oplysningerne, herunder om du opfylder de krav, der er angivet under punkt 0. Overvej også om din virksomhed bør anmelde behandlingen af personoplysninger - eksempelvis din virksomheds HRadministration. Etabler rutiner for sletning af personoplysninger Undersøg om du har indgået databehandleraftaler og aftaler om overførsel af personoplysninger til modtagere uden for EU/EØS med din virksomheds leverandører, herunder særligt med din virksomheds it-leverandører. Du bør i alle aftaler som din virksomhed har indgået med leverandører, der har adgang til personoplysninger have bestemmelser, der opfylder de krav, der fremgår af Hvilke krav er der til it-, outsourcing - og colud-aftaler? s.10. Hvis en leverandør eller dennes underleverandør er beliggende uden for EU/EØS og har adgang til personoplysninger, skal du endvidere indgå en dataoverførselsaftale som beskrevet i afsnit Kommissionens standardkontrakter s.9 Etabler politikker og procedurer Etabler en persondatapolitik. Start arbejdet med at udarbejde retningslinjer for, hvordan din virksomhed behandler personoplysninger og hvilke sikkerhedsforanstaltninger som din virksomhed anvender for at beskytte personoplysninger. Samtidig kan du med fordel også beskrive din virksomheds procedurer i tilfælde af et brud på din virksomheds datasikkerhed. Hvis din virksomhed ikke har en juridisk afdeling, kan du overveje at inddrage en ekstern rådgiver. 22 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

23 Kontakt Dansk Erhverv spørgsmål vedrørende den persondataretlige behandling af medarbejderoplysninger skal stiles til Hotlinen på T sven petersen Erhvervsjuridisk fagchef T M martin jørgensen Advokat, chefkonsulent T M Eksempler på bestemmelser til databehandlingsaftale: Nedenfor finder du eksempler på bestemmelser, som du kan anvende i forbindelse med, at din virksomhed indgår aftaler med leverandører (eksempelvis it-leverandører), der vil udføre behandling af personoplysninger på vegne af din virksomhed. 1. Instruks, sikkerhed, opfølgning mv. 1.2 Leverandøren må alene behandle personoplysninger i henhold til Kundens instruks, herunder som led i leveringen af de aftalte Ydelser i henhold til Aftalen. 1.3 Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. 1.4 Leverandøren skal på Kundens anmodning give Kunden tilstrækkelige oplysninger og dokumentation til, (i) at Kunden kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, (ii) at Kunden kan verificere, at personoplysninger alene behandles af Leverandøren i henhold til Kundens instruks samt (iii) at Kunden kan opfylde sine forpligtelser i henhold til lov om behandling af personoplysninger. 1.5 Leverandøren skal give relevante myndigheder adgang til at foretage inspektion af Leverandørens be hand-ling af personoplysninger og skal, efter anmodning, yde sådanne myndigheder assistance i forbindelse med gennemførelsen af inspektion. 1.6 Leverandøren skal straks informere Kunden, såfremt Leverandøren bliver opmærksom på sikkerhedsbrud, herunder at Kundens personoplysninger hændeligt eller ulovligt er tilintetgjort, fortabt, forringet, er kommet til uvedkommendes kendskab, misbrugt eller i øvrigt behandlet i strid med lov om behandling af per sonoplysninger. 1.7 Leverandøren må ikke uden Kundens skriftlige samtykke eksportere personoplysninger til modtagere, herunder underleverandører, der er beliggende i lande uden for EU/EØS-området. Såfremt Kunden samtykker til sådan eksport af personoplysninger skal Leverandøren foranledige, at der indgås dataover førselsaftaler baseret på EU Kommissionens Standardkontraktbestemmelser mellem Kunden og modtagen af personoplys-ningerne uden for EU/EØS-området.