DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

Transkript

1 fremtiden starter her... DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

2 Introduktion 3 Grundlæggende om persondatabeskyttelse 3 Hvad gælder for køb, salg og videregivelse af personoplysninger til brug ved markedsføring? 12 Virksomhedens loyalitets- og bonusklubber 12 Hvordan skal du beskytte personoplysninger? 13 Hvilke krav gælder for virksomhedens risikovurdering og sikkerhedspolitik 15 Hvad gælder, når du anvender Cookies? 15 INTRODUKTION Indsamling og behandling af personoplysninger er en integreret del af driften af en moderne virksomhed og er i stigende omfang også et egentlig forretningsområde. Indsamling og behandling af personoplysninger er underlagt de persondataretlige regler, og overtrædelse af disse kan i fremtiden medføre væsentlige bøder. Det er dog ikke altid let at navigere i de regler, og opgaven kan forekomme uoverstigelig. Dansk Erhverv har udarbejdet denne pjece for at give dig et kort overblik over de regler, der gælder for din behandling af personoplysninger, samt de tiltag, som du kan tage for at overholde reglerne. Dansk Erhverv henviser endvidere til PrivacyKompasset, der er udarbejdet af Erhvervsstyrelsen, hvor du også kan finde yderligere vejledning om, hvordan du kan sikre, at din virksomhed overholder reglerne på området. PrivacyKompasset kan findes på Hvornår må du foretage tv-overvågning? 16 Fremtidsperspektiver og hvordan du får styr på persondata compliance 18 GRUNDLÆGGENDE OM PERSONDATABESKYTTELSE HVAD ER PERSONOPLYSNINGER? Personoplysninger er enhver form for oplysning, som kan henføres til en person. Det vil sige, at alle oplysninger, der vedrører en identificerbar fysisk person, er personoplysninger, eksempelvis oplysningerne om en kunde. Der er stadig tale om personoplysninger, selvom det kræver særligt kendskab, adgang og/eller information for at kunne identificere personen, eksempelvis brug af kundenumre i stedet for navne. Personlige oplysninger Navn og adresse Telefonnummer eller adresse Kundenummer eller ordrenummer Oplysninger om kundens præferencer eksempelvis hvilken størrelse tøj kunden bruger, eller hvilken bil kunden har Kundens købshistorik Kundens IP-adresse Kundens CPR-nummer Udgivet af Dansk Erhverv 1. udgave, april 2016 Tryk: Dansk Erhverv 2 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 3

3 FIGUR 1.: PERSONOPLYSNINGER KAN OPDELES I FIRE KATEGORIER AF OPLYSNINGER: ALMINDELIGE PERSONOPLYSNINGER Oplysninger, der ikke har følsom karakter. Navn, adresse, telefonnummer, adresse eller oplysninger om køb af varer eller ydelser (købshistorik). PERSONOPLYSNINGER CPR-NUMRE Brug af CPR-numre er særligt reguleret i persondataloven. Persondatalovens regler om CPR-numre gælder alene, hvis det fulde CPR-nummer registreres. Hvis det alene er de fire første cifre i kundens CPR-nummer, der registreres, er der tale om almindelige personoplysninger. samtykke til at benytte dette til din egen registrering af kunden. Dog vil du godt kunne videregive CPR-nummeret til kommunen, hvis dette kræves af kommunen. I praksis vil du eksempelvis kunne bede kunden om at give sit samtykke til din registrering af kundens CPR-nummer som en del af en eventuel formular, som kunden udfylder med sine oplysninger. HVORNÅR GÆLDER PERSONDATALOVEN? Persondataloven gælder altid, hvis alle kravene i figur 2 er opfyldt. Der foretages en behandling af personoplysninger hver gang, oplysningerne håndteres enten manuelt eller elektronisk. Når persondataloven taler om behandling, skal dette altså forstås bredt. Behandling er ikke betinget af, at du aktivt vælger at anvende, systematisere eller læse personoplysninger. FIGUR 2.: PERSONDATALOVEN GÆLDER ALTID, HVIS ALLE KRAVENE NEDEN FOR ER OPFYLDT: SEMI-FØLSOMME PERSONOPLYSNINGER Oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold. FØLSOMME PERSONOPLYSNINGER Oplysninger om race, etnicitet, politisk eller fagforeningsmæssigt tilhørsforhold, religiøs eller filosofisk overbevisning. Oplysninger, der angiver eller indikerer, at en person har en sygdom (eksempelvis oplysninger om køb af medicin eller hjælpemidler). DIN VIRKSOMHED ER ETABLERET I DANMARK DE PERSONOPLYSNINGER, DU INDSAMLER OG BEHANDLER, ER ELEKTRONISKE ELLER EN DEL AF ET REGISTER INDSAMLINGEN OG BEHANDLINGEN AF PERSONOPLYSNINGER FINDER STED INDEN FOR EU/EØS-OMRÅDET Oplysninger, der angiver eller indikerer en persons religiøse overbevisning (eksempelvis at en person ønsker kosher-mad). PERSONDATALOVEN GÆLDER FOR DIN VIRKSOMHED Når en kunde eksempelvis foretager et køb via din webshop eller tilmelder sig et nyhedsbrev, og kundens navn, adresse, kreditkortoplysninger, adresse, eller hvilke varer kunden har købt, registreres, er der altså tale om personoplysninger, der er omfattet af persondatalovens regler. CPR-NUMRE Du må som altovervejende hovedregel kun registrere en kundes CPR-nummer, hvis kunden har givet sit samtykke. Det er eksempelvis ikke lovligt at benytte kundens CPR-nummer som kundenummer, med mindre kunden har givet sit samtykke, og der skal samtidig være tungtvejende grunde til, at der ikke kan benyttes en anden form for kundenummer. Dog er det lovligt at videregive en kundes CPR-nummer uden samtykke, når videregivelsen er et naturligt led i den normale drift af din virksomhed, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af kunden eller kræves af en offentlig myndighed. HVORNÅR KAN PERSONOPLYSNINGER BEHANDLES LOVLIGT? Det er et grundlæggende krav i persondataloven, at personoplysninger altid skal behandles i overensstemmelse med god databehandlingsskik. Kravet gælder altid og for al form for behandling af personoplysninger. Eksempelvis gælder kravet også, selvom en person har givet sit samtykke til behandlingen af personoplysninger. Behandling af personoplysninger Din virksomhed anses for at behandle personoplysninger hver gang, der indsamles, opbevares, systematiseres, ændres, tilpasses eller slettes personoplysninger. Eksempelvis vil det være behandling af personoplysninger, når oplysningerne lægges ind i virksomhedens it-systemer. Dette betyder eksempelvis, at hvis du leverer hjælpemidler til kunder, der er henvist af deres kommuner, og du i den forbindelse modtager en kundes CPR-nummer, vil du skulle have kundens Ligesom god markedsføringsskik er begrebet god databehandlingsskik en dynamisk størrelse, og det er derfor en god idé med jævne mellemrum at undergive din virksomheds persondatapolitik et juridisk tjek. 4 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 5

4 God behandlingsskik betyder, at personoplysninger behandles i overensstemmelse med: Tydeligt angivne formål (eksempelvis oprettelse af en brugerprofil), og at senere behandling af oplysningerne ikke er uforenligt med det oplyste formål. At der ikke må indsamles flere oplysninger, end hvad der er nødvendigt og relevant (eksempelvis er CPR-nummer ikke altid relevant). Behandling af følsomme og semi-følsomme oplysninger Følsomme og semi-følsomme oplysninger må som udgangspunkt alene behandles af din virksomhed, hvis kunden giver udtrykkeligt samtykke, eller oplysningerne er gjort offentlige af kunden selv. Oplysninger om fagforeningsmæssigt tilhørsforhold (følsom oplysning) kan godt behandles, hvis det er nødvendigt for at overholde din virksomheds arbejdsretlige forpligtelser eller specifikke rettigheder. At behandlingen af oplysningerne tilrettelægges, så oplysningerne kan ajourføres, berigtiges og slettes, når behandling af oplysningerne ikke længere er nødvendig. HVAD ER ET GYLDIGT SAMTYKKE? Hvis din behandling af personoplysninger er baseret på et samtykke fra den person, som oplysningerne vedrører, skal du sikre, at samtykket er frivilligt, specifikt og informeret. Hvis du eksempelvis ønsker at etablere en online kundeklub, vil du skulle definere det specifikke formål, hvortil oplysninger om kunder indsamles (eksempelvis oprettelse af profiler og markedsføring af specifikke tilbud til kunder). Samtidig skal du sikre, at der ikke indsamles oplysninger, der ikke er nødvendige for at opfylde disse formål. Det vil eksempelvis være relevant at indsamle oplysninger om kundens præferencer i forbindelse med, at kunden handler på din webshop. Derimod vil det kun sjældent være relevant at indsamle oplysninger om kundernes privatøkonomi eller civilstand. Du må kun behandle personoplysninger, hvis der er bemyndigelse til det. Der er bemyndigelse til behandling af almindelige personoplysninger, hvis et af følgende krav er opfyldt: Det betyder, at den person, der afgiver samtykket, skal være i stand til at gennemskue (og forstå) omfanget og konsekvenserne af samtykket. Eksempel på et samtykke, der ikke er tilstrækkeligt præcist: Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger i forbindelse med aktiviteter vedrørende salg og markedsføring. Virksomhed A/S er endvidere berettiget til at videregive mine oplysninger til Virksomhed A/S leverandører og samarbejdspartnere til brug for tilsvarende formål.. Eksempel på et samtykke, der er tilstrækkeligt præcist: Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger til brug for administrationen af min profil på Virksomhed A/S online kundeklub. I det omfang jeg eksplicit har accepteret dette, er Virksomhed A/S endvidere berettiget til at benytte mine oplysninger i forbindelse med fremsendelse af særlige tilbud og events.. Kunden har givet sit udtrykkelige samtykke. Behandlingen sker for at opfylde en aftale med den registrerede (det er eksempelvis nødvendigt for en webshop at kende kundens navn og adresse for at kunne sende varen). Behandlingen finder sted for at opfylde en retlig forpligtelse for din virksomhed (eksempelvis bogføring). Samtykke kan altid tilbagekaldes Adgangen til at tilbagekalde et samtykke skal være let og umiddelbar. Dette krav vil eksempelvis kunne opfyldes ved at angive følgende i forbindelse med, at kunden afgiver sit samtykke: Du kan til enhver tid tilbagekalde dit samtykke ved at kontakte os på tilbagekald@virksomhed-as.dk eller telefonnummer Hvis du vælger at tilbagekalde dit samtykke, vil dette eventuelt kunne medføre, at du ikke længere kan anvende vores kundeklub.. Behandlingen er nødvendig, for at din virksomhed kan forfølge en berettiget interesse, og at hensynet til den kunde, hvis oplysninger behandles, ikke overstiger denne interesse. Eksempelvis vil din virksomhed kunne have en berettiget interesse i at behandle oplysninger om kunders adfærd, når kunderne besøger din webshop for at forbedre funktionalitet og brugeroplevelse. Denne interesse vil som hovedregel overstige hensynet til kunderne. Omvendt vil hensynet til kunden overstige din interesse i at offentliggøre kundernes navne og information om kundens køb i din webshop. HVAD ER DEN REGISTREREDES/KUNDENS RETTIGHEDER? Som kunde har man en række rettigheder: Man har ret til at blive oplyst om, at ens personoplysninger behandles. Man har ret til løbende at få indsigt i, hvordan ens personoplysninger behandles. Man har ret til at klage over, at ens personoplysninger behandles. Du er derfor ansvarlig for at sikre, at disse rettigheder overholdes. Rettighederne gælder i relation til alle former for indsamling og behandling af personoplysninger. 6 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 7

5 RETTEN TIL AT BLIVE OPLYST Retten til at blive oplyst om behandlingen af personoplysninger betyder, at du skal oplyse om følgende, når du indsamler personoplysninger: Din virksomheds identitet (dvs. din virksomheds CVR-nummer, adresse og øvrige kontaktoplysninger). Formålene med indsamlingen og behandlingen af personoplysningerne. Reglerne om indsigt i og om berigtigelse af personoplysningerne. Hvilken type oplysninger, der indsamles, og hvem der modtager oplysningerne. Denne oplysningspligt gælder også, selvom det ikke er nødvendigt at indhente kundens samtykke. Eksempelvis kan oplysningerne gives til kunder via din virksomheds persondatapolitik eller i forbindelse med, at kunden selv angiver oplysningerne (eksempelvis hvor kunden indtaster oplysningerne online). Desuden skal du oplyse om alle yderligere oplysninger, der konkret er nødvendige for, at kunden kan varetage sine interesser. Det omfatter eksempelvis oplysninger om, hvilke konsekvenser det vil have, hvis kunden ikke afgiver de efterspurgte personoplysninger (eksempelvis at det begrænser muligheden for at gøre brug af tjenester eller købe produkter). RETTEN TIL INDSIGT Foruden de oplysninger, som du skal oplyse kunden om i forbindelse med indsamlingen af oplysninger om kunden, er kunden også berettiget til løbende at få indsigt i, hvilke oplysninger du behandler om kunden. Retten til at få indsigt i behandlingen af personoplysninger betyder, at du på anmodning skal oplyse en kunde om: hvilke oplysninger der behandles hvad formålet er med behandlingen hvem der får adgang til de indsamlede oplysninger information om, hvor personoplysningerne stammer fra. Hvis en person retter henvendelse til din virksomhed og anmoder om indsigt, skal du besvare anmodningen inden for 4 uger efter modtagelse. Hvis det ikke er muligt, skal du inden for 4 uger underrette den pågældende om grunden hertil, samt om, hvornår den endelige besvarelse kan forventes at foreligge. Ved omfattende anmodninger kan du undersøge muligheden for at opkræve et mindre gebyr for en skriftlig besvarelse. HVAD GÆLDER, NÅR DU OVERFØRER PERSONOPLYSNINGER UDEN FOR EU/EØS Persondatalovgivningen i EU er baseret på et EU-direktiv. Det betyder, at alle medlemsstater samt EØS-landene har det samme grundlæggende niveau for beskyttelse af personoplysninger. Derfor gælder der også et princip om, at personoplysninger frit kan overføres til andre lande inden for EU/ EØS-området. Lande uden for EU/EØS-området betragtes som ikke-sikre tredjelande, og personoplysninger kan derfor, som udgangspunkt, ikke overføres til disse lande. Der er dog alligevel en række muligheder for at overføre personoplysninger til sådanne tredjelande. Når du overvejer at overføre personoplysninger til et land uden for EU/EØS-området, er det vigtigt at være opmærksom på, at både faktisk og potentiel overførsel af personoplysninger betragtes som overførsel. Det betyder eksempelvis, at der vil være tale om overførsel af personoplysninger, hvis en it-leverandør i et tredjeland har fjernadgang til personoplysninger i et it-system i Danmark. Det er uanset, om it-leverandøren ikke faktisk tilgår personoplysningerne. SAMTYKKE TIL OVERFØRSEL Persondataloven opstiller en række undtagelser til hovedreglen om, at du ikke kan overføre personoplysninger til tredjelande, som gør, at du kan overføre personoplysninger til lande uden for EU/ EØS-området. Den, i praksis, mest relevante undtagelse er situationen, hvor der er givet samtykke til overførslen. Hvis overførslen af personoplysninger sker løbende, eksempelvis i forbindelse med din brug af et HR-system, vil overførslen som udgangspunkt ikke kunne baseres på et samtykke. Grunden til dette er, at du som udgangspunkt ikke kan forvente, at den person, hvis oplysninger behandles, kan overskue konsekvenserne af et samtykke til løbende overførsel. Du vil derfor skulle sikre dig et andet grundlag for overførslen typisk ved indgåelse af Kommissionens standardkontrakter. KOMMISSIONENS STANDARDKONTRAKTER Kommissionens standardkontrakter er en standardaftale, der kan indgås mellem en virksomhed beliggende inden for EU/EØS-området og en virksomhed beliggende i et tredjeland. Ved at indgå standardkontrakten påtager den virksomhed, der er beliggende i et tredjeland, sig at beskytte oplysningerne, som de ville være beskyttet inden for EU/EØS. Hvis en virksomhed beliggende inden for EU/EØS-området og en virksomhed beliggende i et tredjeland har indgået en dataoverførselsaftale baseret på standardkontrakt, kan EU/EØS-virksomheden lovligt overføre personoplysninger til virksomheden i tredjelandet uden at indhente samtykke til overførelsen hos de enkelte persondatasubjekter. Hvis der er tale om følsomme personoplysninger, vil du dog skulle informere de berørte kunder om overførslen. Anmodning om indsigt Har du besvaret en anmodning om indsigt, har kunden ikke krav på indsigt før efter 6 måneder, medmindre personen godtgør en særlig interesse heri. RETTEN TIL INDSIGELSER En kunde kan til enhver tid over for din virksomhed gøre indsigelse mod, at oplysninger om vedkommende behandles. Hvis indsigelsen er berettiget, er du forpligtet til ikke længere at behandle de pågældende oplysninger. Kommissionens standardkontrakter Der findes grundlæggende to typer kontrakter. Den ene version er bestemt til overførsel af personoplysninger fra en EU-/EØS-virksomhed til en virksomhed i et tredjeland med henblik på denne virksomheds behandling af personoplysninger på vegne af en EU-/EØS-virksomhed (dataansvarlig til databehandler). Den anden version er bestemt til overførsel af personoplysninger fra en EU-/EØSvirksomhed til en virksomhed i et tredjeland med henblik på denne virksomheds selvstændige brug af personoplysninger (dataansvarlig til dataansvarlig). 8 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 9

6 Hvis overførsel af personoplysninger er baseret på indgåelse af en dataoverførselsaftale, som er baseret på en standardkontrakt uden ændringer, er det ikke nødvendigt at få Datatilsynets godkendelse for, at overførslen er lovlig. også betyde, at personoplysninger behandles af en ekstern it-leverandør. Det kan eksempelvis være ved anvendelse af elektroniske betalingstjenester, mailtjenester, online kundekartoteker, webhosting eller ved helt eller delvis outsourcing af din virksomheds it-drift. Standardkontrakter skal indgås direkte mellem din virksomhed og den virksomhed, der behandler eller får adgang til personoplysninger uden for EU/EØS. Hvis du eksempelvis har en aftale med en dansk it-leverandør, der benytter en indisk underleverandør til behandling af personoplysninger, skal du altså indgå standardkontrakten direkte med den indiske underleverandør. Du kan ikke indgå en standardkontrakt direkte med en it-leverandør, der er beliggende inden for EU/EØS. Standardkontrakterne dækker alene overførsel af personoplysninger til leverandører eller underleverandører, der er beliggende uden for EU/EØS, og som derfor ikke er underlagt EU s databeskyttelsesregler. Du kan med fordel kræve, at din it-leverandør udarbejder og indhenter underskrift på standardkontrakterne. Standardkontrakten kan også anvendes, hvis du overfører personoplysninger til selskaber inden for din koncern, der er beliggende uden for EU/EØS. Eksempelvis vil standardkontrakten kunne anvendes, hvis du overfører HR-oplysninger til dit moderselskab i USA i forbindelse med, at du anvender moderselskabets centrale HR-system. Download Kommissionens standardkontrakter Kommissionens standardkontrakter kan hentes gratis via EU-Kommissionens hjemmeside eller via Datatilsynets hjemmeside. Du er forpligtet til at sikre, at den behandling af personoplysninger, der foretages af eksterne it-leverandører, er i overensstemmelse med persondatalovens regler og alene sker under instruks fra din virksomhed. Det betyder i praksis, at der skal indgås en databehandleraftale mellem din virksomhed og it-leverandøren. Det kan enten ske i form af en selvstændig aftale eller indeholdt som et afsnit i serviceaftalen/leveranceaftalen mellem din virksomhed og it-leverandøren. Bagerst i disse retningslinjer kan du finde et eksempel på, hvilke bestemmelser du kan anvende i aftaler med leverandører, der behandler personoplysninger på vegne af din virksomhed. Hvis der anvendes en it-leverandør, som behandler og/eller tilgår personoplysninger fra lande uden for EU/EØS, skal reglerne om afsnit Hvad gælder, når du overfører personoplysninger uden for EU/EØS, Samtykke til overførsel og afsnit Kommisionens standartkontrakter på side 9 følges. Dette er særligt vigtigt at være opmærksom på i forhold til online- og cloud-tjenester, da disse typisk leveres af flere globale lokationer. Det vil ofte ikke være muligt, eller vanskeligt, for leverandøren at begrænse, hvor oplysningerne er lagret geografisk, eller hvorfra oplysningerne tilgås. Dette skyldes, at cloud-tjenester ofte er bygget op omkring et globalt leverancesetup for at optimere og minimere omkostninger. De enkelte servere eller services kan derfor ikke udskilles til mindre lokale enheder, da dette ødelægger selve den forretningsmodel, som systemet er opbygget efter. BINDENDE VIRKSOMHEDSREGLER Bindende virksomhedsregler (Binding Corporate Rules) er en model, der kan anvendes af større koncerner med henblik på at sikre lovlig overførsel af personoplysninger inden for koncernen til de af koncernens virksomheder, der er beliggende uden for EU/EØS-området. For at etablere bindende virksomhedsregler, skal du udarbejde et bindende regelsæt for koncernens virksomheder, der skal godkendes af datatilsynene i de EU-lande, hvor koncernens virksomheder er beliggende. Regelsæt ved indgåelse af it-, outsourcing- og cloud-aftaler Det skal af databehandleraftalen tydeligt fremgå, at it-leverandøren er underlagt samme regelsæt for behandling af personoplysninger som din virksomhed, og at it-leverandøren kun foretager behandling af personoplysningerne på instruks fra din virksomhed. Det er normalt en omfattende proces at etablere bindende virksomhedsregler, og du vil som oftest have brug for at kontakte en ekstern rådgiver, der kan hjælpe med processen. FIGUR 3.: HVAD SKAL DU VÆRE OPMÆRKSOM PÅ, NÅR DU INDGÅR IT-AFTALER: SAFE HARBOR Safe Harbor-ordningen er i oktober 2015 blevet kendt ugyldig af EU-Domstolen i forbindelse med en sag anlagt mod Facebook. Derfor kan danske virksomheder ikke længere basere overførsel af personoplysninger til USA på Safe Harbor-ordningen. Hvis leverandører eller samarbejdspartnere tilbyder dette som en del af deres vilkår, bør du derfor indgå en standardkontrakt i stedet. Lagres eller behandles der overhovedet personoplysninger i de it-systemer eller cloud-tjenester, der hostes, vedligeholdes eller leveres af eksterne it-leverandører? Er der indgået en databehandlingsaftale eller indeholder aftalen med it-leverandøren bestemmelser, der forpligter it-leverandøren til alene at behandle personoplysninger i henhold til din virksomheds instruks og sikrer, at personoplysninger opbevares og behandles sikkert? Der er blevet indgået en aftale mellem EU og USA om en ny ordning betegnet EU-US Privacy Shield. Denne ordning forventes at træde i kraft i foråret Det er i skrivende stund ikke klart, hvordan ordningen kommer til at fungere, men det må forventes, at ordningen i lighed med Safe Harbor-ordningen vil gøre det lovligt at overføre personoplysninger til virksomheder i USA, der har tilsluttet sig ordningen. Ved du, hvor it-leverandøren og dennes underleverandører opbevarer og tilgår personoplysninger fra? Hvis personoplysninger opbevares eller tilgås af it-leverandøren fra lande uden for EU/EØS, er der så indgået en dataoverførselsaftale (Kommissionens standardkontrakt) mellem din virksomhed og it-leverandøren? HVILKE KRAV ER DER TIL INDGÅELSE AF IT-, OUTSOURCING- OG CLOUD-AFTALER? Der anvendes ofte it-leverandører i forbindelse med din virksomheds daglige drift. Hvis du vælger at lade dele af it-driften outsource, eller anvender du online applikationer/tjenester, vil det ofte Har du mulighed for at kontrollere it-leverandørens behandling af dine personoplysninger (eksempelvis via revision). 10 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 11

7 HVAD GÆLDER FOR KØB, SALG OG VIDEREGIVELSE AF PERSONOPLYSNINGER TIL BRUG VED MARKEDSFØRING? Hvis virksomheden som en del af loyalitetsklubben foretager markedsføring på vegne af andre virksomheder, eksempelvis i form af tilbud fra disse virksomheder, skal virksomheden opfylde følgende krav: Der skal være en naturlig sammenhæng mellem loyalitetsklubben og de ydelser, der markedsføres via loyalitetsklubben. Du må ikke videregive personoplysninger om en kunde til en anden virksomhed. Heller ikke til brug for markedsføring. Du må heller ikke anvende oplysningerne på vegne af en anden virksomhed til brug for markedsføring af denne virksomheds vare eller ydelser. Det betyder, at virksomheder ikke må sælge eller videregive personoplysninger om en forbruger til samarbejdspartnere eller associerede virksomheder. Det er kun tilladt, hvis kunden (forbrugeren) har samtykket til, at oplysningerne bliver videregivet. Det gælder også inden for virksomhedens egen koncern. Uden samtykke er det ikke lovligt at dele personoplysninger om en kunde (forbruger), der eksempelvis er mobilabonnent hos et selskab, med søsterselskabet, som forhandler internetløsninger. Det er derfor vigtigt, at virksomheden allerede i forbindelse med indsamling af oplysningerne sikrer et samtykke, som dækker din virksomheds behov. Der skal gives præcis information om de andre virksomheder, som virksomheden vil foretage markedsføring på vegne af. Virksomheden skal informere om, hvorvidt der senere kan blive tilknyttet yderligere samarbejdspartnere til loyalitetsklubben. Hvis der kommer nye samarbejdspartnere til, skal medlemmerne informeres og gives 14 dages frist til at gøre indsigelse. Det er eksempelvis lovligt at oprette en loyalitets- og bonusklub, hvor oplysninger om kundernes køb registreres, og kunderne herefter tilbydes særlige rabatter eller fordelagtige tilbud ud fra kundens tidligere køb, når blot kunden har givet sit samtykke og er blevet informeret om behandlingen af kundens personoplysninger. Det er dog vigtigt at bemærke, at kundens samtykke altid er påkrævet. 1. Er der givet samtykke til markedsføring og givet samtykke til overførslen? - Hvis ja, til markedsføring af hvilke ydelser/produkter? 2. Giver samtykket mulighed for at videregive oplysningerne til en anden erhvervsdrivende? - Giver samtykket mulighed for at videregive oplysningerne til et datter-/søsterselskab? Hvis samtykke ikke allerede er givet, skal du være opmærksom på, at et efterfølgende samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens 6 (spam-reglerne). Det betyder eksempelvis, at du ikke må rette henvendelse til forbrugeren via for at indhente samtykket. HVORDAN SKAL DU BESKYTTE PERSONOPLYSNINGER? Virksomheder, der behandler personoplysninger, skal ifølge persondataloven træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de personoplysninger, der behandles af virksomheden. Persondatalovens bestemmelser om sikkerhed er blandt persondatalovens mest grundlæggende krav. VIRKSOMHEDENS LOYALITETS- OG BONUSKLUBBER Mange virksomheder opretter loyalitets- eller bonusklubber, hvor medlemmer opnår særlige rabatter og tilbud. Der indsamles og behandles i den forbindelse oplysninger om kundernes købshistorik, kundeprofil mv. Sådanne oplysninger er personoplysninger, hvis de kan henføres til en specifik kunde. Dette betyder også, at virksomheden skal informere kunderne om og sikre samtykke til den specifikke behandling af personoplysninger. Hvis oplysningerne skal bruges til markedsføring, skal kravene i Hvad er et gyldigt samtykke på side 7 også overholdes. I praksis er sikkerhed en dynamisk størrelse, der udvikler sig i takt med teknologien og det aktuelle trusselsbillede. De sikkerhedsforanstaltninger, der i dag er nødvendige for at sikre en tilstrækkelig sikkerhed, er ikke de samme som de foranstaltninger, der var nødvendige og tilgængelige i går. Loven foreskriver ikke de specifikke foranstaltninger, der skal træffes, og du skal derfor løbende sikre, at din virksomheds beskyttelse af personoplysninger er tilstrækkelig ud fra de konkrete risici forbundet med din virksomheds brug af personoplysninger. Det er vigtigt, at du gør dig klart, at overholdelse af persondatalovens sikkerhedsregler er en opgave, der involverer hele virksomheden. Selv om mange af de foranstaltninger, der er nødvendige for at sikre tilstrækkelig sikkerhed i praksis, ofte vil være tæt knyttet til din virksomheds it-infrastruktur, er etableringen af fornødne sikkerhedsforanstaltninger ikke blot et anliggende for it-afdelingen. Det kan også betyde ændring af arbejdsgange eller omlægning af administrative opgaver for virksomhedens øvrige afdelinger. 12 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 13

8 TABEL 1.: HVILKE ELEMENTER BØR INDGÅ I VIRKSOMHEDENS BESKYTTELSE AF PERSONOPLYSNINGER? HVILKE KRAV GÆLDER FOR VIRKSOMHEDENS RISIKOVURDERING OG SIKKERHEDSPOLITIK SIKKERHED EMNER HVAD SKAL DIN VIRKSOMHED GØRE Tekniske Ulovlig adgang og Du bør sikre, at din virksomheds it-systemer er beskyttet mod Virksomhedens sikring af et tilstrækkeligt beskyttelsesniveau bør tage udgangspunkt i en risikovur- misbrug af data ulovlig indtrængen eller misbrug af personoplysninger. Sikkerhed, dering af virksomhedens datasikkerhed. der bør overvejes, er eksempelvis adgangskontrol (password) til it-systemer og applikationer (programmer/apps), sikring af Den typiske fremgangsmåde, der anvendes i forbindelse med gennemførelsen af en risikoanalyse, netværk (eksempelvis password til wi-fi eller intranet, firewall, omfatter en overordnet vurdering af de risici, der er forbundet med virksomhedens persondatabe- intrusion detection), logning af brug af it-systemer og kryptering handling og brug af informationsteknologi. af følsomme data. Et eksempel på en risiko, der bør behandles i en risikoanalyse, er risikoen for, at personoplysnin- Tab eller Du bør sikre, at personoplysninger ikke fortabes, beskadiges eller ger behandles til formål, der ikke er forenelige med det formål, de er indsamlet til (eksempelvis at beskadigelse ændres utilsigtet. Derfor bør du sikre, at der tages nødvendig virksomheden har indsamlet oplysningerne til brug for et log-in, men nu bruges de til at målrette af data back-up af data. annoncerne på hjemmesiden, hver gang brugeren er logget ind). Fysiske Uretmæssig Tilstrækkelig sikkerhed betyder også, at virksomheden skal sikre Ved at afdække denne risiko gennem risikoanalysen kan du lave en procedure for dokumentation adgang det ydre værn mod ulovlig indtrængen både i virksomheden og i af de formål, som personoplysninger er indsamlet til, og sikre, at efterfølgende behandlinger af til virksomheden virksomhedens systemer. oplysningerne ikke er uforenelige med det formål. Organisatoriske Overblik over Du skal have overblik over virksomhedens behandling af person- Du bør gennemgå risikoanalysen regelmæssigt for at sikre, at din virksomheds foranstaltninger til persondata- oplysninger og de funktioner i virksomheden, der behandler sikring af sikkerhed afspejler det aktuelle trusselsbillede. behandling personoplysninger (eksempelvis HR, Salg). Processer og Du bør sikre, at der er klare processer og retningslinjer for, retningslinjer hvordan din virksomheds enkelte funktioner behandler personoplysninger. Eksempelvis bør der være klare retningslinjer for, hvem der har adgang til kundeoplysninger, og hvordan oplysningerne kan anvendes. Undervisning af Du bør sikre, at de medarbejdere, der behandler personoplysninger, er uddannet i din virksomheds retningslinjer, og ved hvilke medarbejdere regler, der gælder. Du kan overveje at søge vejledning i en anerkendt sikkerhedsstandard. Som eksempel kan nævnes ISO 27001, der er en generel standard for informationssikkerhed, der kan rekvireres via Det er vigtigt at være opmærksom på, at det altid er dig, der er ansvarlig for, at din virksomhed behandler personoplysninger sikkert. Dette ansvar gælder også, selv om din virksomhed benytter en ekstern leverandør (eksempelvis en it-leverandør) til behandlingen. Du skal derfor altid sikre dig, at du er bekendt med de sikkerhedsforanstaltninger, der er implementeret for at beskytte din virksomheds personoplysninger. HVAD GÆLDER, NÅR DU ANVENDER COOKIES? Cookies er små tekstfiler, der gemmes på brugerens computer, tablet, telefon eller andet it-udstyr, når en bruger besøger en hjemmeside. Cookies gør det muligt at indsamle information om brugerens adfærd på hjemmesiden. Det kan være alt fra statistisk data eller data, der hjælper til at optimere markedsføringen på hjemmesiden, til data, der vedrører brugerens sprogpræferencer eller brug af en indkøbskurv. Data indsamlet fra cookies vil derfor som udgangspunkt være personoplysninger. Brugen af cookies reguleres derfor foruden af cookiebekendtgørelsen også af persondataloven. Cookies er almindelig anvendt og indgår som en integreret del af de fleste hjemmesideløsninger. Bannerannoncer på hjemmesider vil ofte placere cookies, ligesom links i form af like -henvisninger til eksempelvis Facebook, Twitter eller Instagram ofte også vil placere en cookie som en del af linket. Brugeren af en hjemmeside skal acceptere, at der placeres cookies på brugerens udstyr. Cookievejledning Der henvises i øvrigt til Erhvervsstyrelsens cookievejledning, der kan hentes på Erhvervsstyrelsens hjemmeside 14 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 15

9 FIGUR 4.: NÅR EN BRUGER AF DIN VIRKSOMHEDS HJEMMESIDE SKAL ACCEPTERE, AT DER PLACERES COOKIES, SKAL BRUGEREN OPLYSES OM: TYPE Hvilke cookies der anvendes OPLYSNINGER OM COOKIES FORMÅL Hvad formålet med placeringen af cookien er (eksempelvis at du bruger cookies til statistik eller målrettet markedsføring til brugeren). PERSONDATALOVEN OG TV-OVERVÅGNING De almindelige regler i persondataloven, der er gældende for anden behandling af personoplysninger, gælder tilsvarende for behandlingen af optagelser fra tv-overvågning, hvori der indgår personoplysninger (eksempelvis optagelser af personer). Derudover opstiller persondataloven en række begrænsninger i forhold til, hvornår optagelser fra tv-overvågning med henblik på kriminalitetsforebyggelse kan videregives. Med mindre du er forpligtet til at videregive optagelser i henhold til anden lovgivning, er det således alene lovligt at videregive optagelser, hvis: (a) den person, der optræder på optagelserne, har givet sit samtykke til videregivelsen (b) videregivelsen sker til politiet i kriminalitetsopklarende øjemed. Som udgangspunkt skal du slette optagelser senest 30 dage efter, at optagelserne er foretaget. Dog HVEM BRUGER DEN Hvem der placerer cookies (er det kun din virksomhed selv, eller anvendes tredjepartcookies, som eksempelvis Google Analytics) AFVISNINGSMULIGHED UDLØBSDATO Hvor længe er cookies gemt på brugerens udstyr (en cookie vil normalt være sat til at have et bestemt udløbstidspunkt). kan du opbevare optagelser længere, hvis det er nødvendigt for behandlingen af en konkret tvist. I dette tilfælde skal du dog underrette den, som tvisten vedrører, og på anmodning udlevere en kopi af optagelsen. Du er som udgangspunkt ikke forpligtet til at anmelde tv-overvågning til Datatilsynet. Brugerens mulighed for ikke at acceptere lagring af cookies, eller at tilbagekalde sin accept. OPTAGELSE AF TELEFONSAMTALER Du kan som udgangspunkt optage samtaler, som du selv deltager i. Datatilsynet har dog på baggrund af en konkret klage fra en forbruger udtalt, at optagelse af telefonsamtaler til uddannelsesmæssige formål ikke kan ske uden forbrugerens samtykke, medmindre samtalerne anonymiseres. Samtykket skal kunne trækkes tilbage når som helst, og forbrugeren skal have mulighed for at kunne få indsigt i, hvad der er er blevet optaget om ham/hende. HVORNÅR MÅ DU FORETAGE TV-OVERVÅGNING? Kun i helt specielle tilfælde kan den erhvervsdrivende nøjes med at meddele, at man optager samtalerne, forudsat at samtalerne ikke indeholder følsomme oplysninger. Har man eksempelvis behov for at kunne dokumentere en mundtlig aftale om salg/køb (pris, omfang, tidspunkt for handlen m.m.), og kan dette ikke ske på anden vis end ved at optage samtalen, vil dette kunne ske uden samtykke. Optagelserne skal slettes så snart, dokumentationsbehovet er opfyldt. Brug af tv-overvågning er underlagt både TV-overvågningslovens og persondatalovens regler. TV-overvågningsloven opstiller de grundlæggende regler for, hvor en virksomhed lovligt kan foretage tv-overvågning. Persondatalovens regler finder anvendelse i forhold til behandlingen af de personoplysninger, der er en følge af tv-overvågningen. BEHANDLING AF MEDARBEJDEROPLYSNINGER Såvel i forbindelse med selve ansættelsen som under ansættelsesforholdets beståen vil der typisk blive indsamlet en række personoplysninger om medarbejderen som eksempelvis navn, adresse, eksamensbevis(er), helbredserklæringer, oplysninger om fagforeningsforhold osv. TV-OVERVÅGNINGSLOVEN Udgangspunktet i TV-overvågningsloven er, at du ikke må foretage tv-overvågning af gade, vej, plads eller lignende område, som benyttes til almindelig færdsel. Derimod kan du lovligt foretage tv-overvågning af din virksomheds egne lokaler. TV-overvågningsloven opstiller desuden en række undtagelser, hvorefter visse typer af virksomheder lovligt kan foretage tv-overvågning af offentlige områder (eksempelvis butikscentre, hæveautomater mv.). For at tv-overvågning af steder, lokaler, hvortil der er almindelig adgang, eller af arbejdspladser anses for lovlig, skal du tydeligt skilte med, at der foretages tv-overvågning. Oplysningerne indføres normalt i et personaleregister, der føres enten manuelt eller elektronisk eller som en kombination heraf. Dermed er oplysningerne omfattet af persondatalovens regler. Det indebærer, at: (a) du kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål (b) personoplysningerne skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af disse formål (a) personoplysningerne ikke må opbevares i et længere tidsrum end nødvendigt. På Dansk Erhvervs hjemmeside kan du finde uddybende retningslinjer for, hvordan du må indsamle og behandle personoplysninger om dine medarbejdere. 16 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 17

10 FREMTIDSPERSPEKTIVER OG HVORDAN DU FÅR STYR PÅ PERSONDATA COMPLIANCE DEN REGISTREREDES RETTIGHEDER De regler, du i fremtiden skal være opmærksom på i forhold til de registreredes rettigheder, er i al væsentlighed svarende til de regler, der er gengivet i punkterne af Retten til at blive oplyst og Retten til insigelser på side 8. NY PERSONDATAFORORDNING I slutningen af 2015 blev den endelige tekst til EU s nye databeskyttelsesforordning vedtaget. Forordningen kommer til at betyde en række ændringer af de krav, der stilles til din virksomheds behandling af personoplysninger. Den nye persondataforordning træder i kraft i I fremtiden vil du dog også skulle oplyse dine kunder om, hvilket juridisk grundlag du har baseret indsamlingen og behandlingen af personoplysninger på. I praksis betyder dette, at du eksempelvis vil skulle angive, hvis behandlingen af personoplysninger er baseret på kundens samtykke eller er nødvendig for, at du kan opfylde gældende lovgivning (eksempelvis indberetning af skatteoplysninger om medarbejdere). De væsentligste nye regler, der har betydning for din virksomhed, er: Den registreredes rettigheder. Oplysning: Ved indsamling af personoplysninger skal der oplyses om, hvilket hjemmelsgrundlag der anvendes, såsom opfyldelse af en aftale eller samtykke. Ret til at blive glemt: Den registrerede får en ret til at blive glemt. RISIKOANALYSE, INDARBEJDELSE AF PERSONDATABESKYTTELSE OG DOKUMENTATION AF COMPLIANCE Reglerne om risikoanalyse, indarbejdelse af persondatabeskyttelse og dokumentation af compliance betyder grundlæggende, at du i fremtiden vil skulle overveje persondatabeskyttelse i forhold til alle aspekter af din virksomhed, herunder nye produkter og forretningsprocesser. Risikoanalyse. Før du behandler personoplysninger, skal du foretage en analyse af konsekvensen af de påtænkte behandlinger. Indarbejde persondatabeskyttelse (Privacy by design and by default). Når du udvikler nye produkter, ydelser eller forretningsgange, skal du tage persondatabeskyttelse med i dine overvejelser og sikre, at kunder altid som udgangspunkt beskyttes bedst muligt. Rapportering af databrud. Du vil være forpligtet til at underrette myndigheder og kunder om eventuelle brud på din virksomheds sikkerhed, hvis kunders personoplysninger er blevet kompromitterede. Dokumentation af compliance. Du vil skulle dokumentere, hvordan din virksomhed overholder de persondataretlige regler og løbende føre en fortegnelse over de kategorier af persondatabehandling, som foretages af din virksomhed. Databeskyttelsesofficer. Nogle virksomheder vil være forpligtede til at udpege en databeskyttelsesofficer, der er ansvarlig for virksomhedens behandling af personoplysninger. Som udgangspunkt vil det særligt være virksomheder, der monitorerer personer i stort omfang, eller som behandler mange følsomme personoplysninger, der vil skulle udpege en databeskyttelsesofficer. I praksis vil du skulle vurdere, om der er særlige risici i forhold til den måde, hvorpå din virksomhed behandler og beskytter personoplysninger, hver gang din virksomhed udvikler et nyt produkt eller forretningsproces. Du skal endvidere kunne dokumentere, hvordan din virksomhed behandler personoplysninger, og at du har foretaget en risikovurdering i forhold til de enkelte former for behandling. Det er derfor væsentligt, at du fremadrettet husker at overveje persondatabeskyttelse i driften af din virksomhed og dokumenterer, når din virksomhed vælger at behandle personoplysninger. Desuden vil du løbende skulle føre en oversigt over, hvordan din virksomhed behandler personoplysninger, og hvordan du overholder forordningens regler. RAPPORTERING AF DATABRUD Hvis din virksomhed oplever et brud på datasikkerheden, hvor der er risiko for, at personoplysninger er blevet kompromitterede, vil du med indførelsen af de nye regler skulle underrette Datatilsynet og de personer, hvis oplysninger er blevet kompromitterede om bruddet. Konkret vil underretningen skulle foretages senest 72 timer efter, at du er blevet bekendt med, at personoplysningerne er blevet kompromitterede, og du vil skulle underrette de berørte personer uden ugrundet ophold. I praksis vil du derfor med fordel kunne udarbejde en plan for, hvordan din virksomhed skal håndtere et brud på din virksomheds datasikkerhed, således at der foreligger klare retningslinjer for, hvordan virksomhedens medarbejdere skal agere i situationen. BØDER FOR OVERTRÆDELSE AF REGLERNE Med den ny forordning indføres der også væsentligt skærpede bøder for overtrædelse af de persondataretlige regler, og overtrædelse af reglerne kan derfor i fremtiden have stor økonomisk betydning. 18 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 19

11 TABEL 2.: HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE FIGUR 6.: UD FRA OVERSIGTEN BØR DU FOR HVER ENKELT BEHANDLING AF PERSONOPLYSNINGER OVERVEJE FØLGENDE: BØDENIVEAU Bøde op til euro eller 2 % af din virksomheds HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE Manglende overholdelse af regler vedrørende behandling af personoplysninger om børn SAMTYKKE? Har du lov til at behandle personoplysningerne? RISICI Hvilke risici er forbundet med behandlingen? årlige globale omsætning. Manglende overholdelse af regler om privacy by design and by default Manglende samarbejde med databeskyttelsesmyndigheder Manglende overholdelse af sikkerhedskrav eller underretning om databrud Manglende udarbejdelse af risikoanalyse Manglende overholdelse af regler om databeskyttelsesofficer (Data Protection Officer) GODKENDELSE FRA DATATILSYNET Skal du have godkendelse fra Datatilsynet? PERSONOPLYSNING DATABEHANDLINGS- AFTALER Er der indgået databehandlingsaftaler med evt. leverandører, der behandler personoplysningerne? Bøde op til euro eller 4 % af din virksomheds årlige globale omsætning. Behandling af personoplysninger uden behandlingshjemmel Manglende overholdelse af reglerne om indsigt eller rettelse af oplysninger Ulovlig overførsel af personoplysninger uden for EU/EØS SIKKERHED Har du styr på sikkerheden i forhold til behandlingen af personoplysninger? DATAOVERFØRSELS- AFTALER Overføres personoplysningerne til lande uden for EU/EØS, og er der indgået dataoverførselsaftale? HVORDAN FÅR DU STYR PÅ COMPLIANCE At få styr på compliance af personoplysningsreglerne er omfattende og tidskrævende, og det er derfor vigtigt at skabe sig et overblik og gå systematisk til værks. Det første skridt til at få styr på compliance er at lave en data flow mapping over indsamling af personoplysninger, organisationens struktur, it-systemer og data flows (dvs. et landkort over de virksomheder, leverandører, systemer og brugere, der har adgang til og behandler personoplysninger). Ved at udarbejde en oversigt over din virksomheds behandling af personoplysninger, kan du få et overblik over de tiltag, der er nødvendige, for at du kan overholde persondatalovgivningen. Hvis din virksomhed behandler mange personoplysninger, kan det være en god idé at søge rådgivning fra en specialist, der kan hjælpe med at identificere, hvilke tiltag du bør foretage. Du bør også overveje, hvordan du løbende vil sikre, at du overholder reglerne om persondatabeskyttelse. Dette vil ofte kræve, at du udarbejder procedurer og politikker for, hvordan din virksomhed beskytter personoplysninger. En måde du i praksis kan systematisere, hvordan din virksomhed løbende sikrer personoplysninger, er ved at anvende en risikostyringstilgang. Denne metode betyder, at hver enkelt del af organisationen skal forholde sig til følgende spørgsmål, i forhold til hvordan personoplysninger behandles i din virksomhed: FIGUR 5.: OVERSIGT OVER DIN VIRKSOMHEDS BEHANDLING AF PERSONOPLYSNINGER Din virksomhed It-systemer It-leverandør Underleverandør Kina Hvilke risici er der ved behandlingen af personoplysningerne, og hvad er de mulige konsekvenser? Hvordan kan disse risici overvåges og kontrolleres hvilke foranstaltninger er nødvendige for at imødegå risici (henset til konsekvenser og sandsynlighed)? Hvordan kan du løbende evaluere, om foranstaltningerne er effektive, og om der er nye risici, der skal tages i betragtning? Det er vigtigt, at din virksomheds bestræbelser på at overholde reglerne om persondatabeskyttelse forankres i hele virksomheden og ikke kun i it-afdelingen eller i den juridiske afdeling. Beskyttelsen af personoplysninger kræver, at alle dele af organisationen har fokus på opgaven og løbende vurderer, om den behandling af personoplysninger, der foretages af en del af organisationen, udgør en risiko. Datterselskaber USA Kunder HVAD SKAL DU GØRE, FREM TIL PERSONDATAFORORDNINGEN TRÆDER I KRAFT? Du kan med fordel bruge tiden, frem til persondataforordningen træder i kraft, til at sikre, at din virksomhed er klar til at overholde reglerne. Dette kan være en omfattende øvelse, men der er en række enkle tiltag, du kan igangsætte med henblik på din virksomheds fremadrettede overholdelse af reglerne. Vi har samlet en tjekliste over tiltag. 20 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 21

12 TABEL 3.: TILTAG TIL DIN VIRKSOMHEDS FREMADRETTEDE OVERHOLDELSE AF REGLERNE: Kontakt Dansk Erhverv TILTAG Skab overblik HVAD SKAL DU GØRE Skab overblik over de personoplysninger, som din virksomhed indsamler og behandler (data flow mapping). Sammen med de medarbejdere, der har indsigt i din virksomheds it-systemer, forretningsprocesser og HR-processer kan du gennemgå din virksomheds enkelte afdelinger og identificere, hvilke personoplysninger der indsamles og behandles. Du bør som minimum dokumentere, hvilke kategorier af persondatabehandling der foretages i din virksomhed. Det bør i den forbindelse dokumenteres, hvilke personoplysninger der behandles, hvad der er formålet med behandlingen, og hvordan oplysningerne behandles. Spørgsmål vedrørende den persondataretlige behandling af medarbejderoplysninger skal stiles til Hotlinen på T Tjek, at der er behandlingshjemmel Etabler rutiner for sletning af personoplysninger Etabler politikker og procedurer Vurder, om du har lov til at behandle personoplysninger. For hver indsamling og behandling af personoplysninger bør du vurdere, om din virksomhed har lov til at behandle oplysningerne, herunder om du opfylder de krav, der er angivet under punkt 0. Overvej også, om din virksomhed bør anmelde behandlingen af personoplysninger - eksempelvis din virksomheds HRadministration. Undersøg, om du har indgået databehandleraftaler og aftaler om overførsel af personoplysninger til modtagere uden for EU/EØS med din virksomheds leverandører, herunder særligt med din virksomheds it-leverandører. Du bør i alle aftaler, som din virksomhed har indgået med leverandører, der har adgang til personoplysninger, have bestemmelser, der opfylder de krav, der fremgår af Hvilke krav er der til it-, outsourcing - og colud-aftaler? på side 10. Hvis en leverandør eller dennes underleverandør er beliggende uden for EU/EØS og har adgang til personoplysninger, skal du endvidere indgå en dataoverførselsaftale som beskrevet i afsnit Kommissionens standardkontrakter på side 9. Etabler en persondatapolitik. Start arbejdet med at udarbejde retningslinjer for, hvordan din virksomhed behandler personoplysninger, og hvilke sikkerhedsforanstaltninger som din virksomhed anvender for at beskytte personoplysninger. Samtidig kan du med fordel også beskrive din virksomheds procedurer i tilfælde af et brud på din virksomheds datasikkerhed. Brug evt. som hjælp til formulering af dine politikker Hvis din virksomhed ikke har en juridisk afdeling, kan du overveje at inddrage en ekstern rådgiver. Sven Petersen Erhvervsjuridisk fagchef T M svp@danskerhverv.dk Martin Jørgensen Advokat, chefkonsulent T M mjo@danskerhverv.dk Eksempler på bestemmelser til databehandlingsaftale: Nedenfor finder du eksempler på bestemmelser, som du kan anvende i forbindelse med, at din virksomhed indgår aftaler med leverandører (eksempelvis it-leverandører), der vil udføre behandling af personoplysninger på vegne af din virksomhed. 1. Instruks, sikkerhed, opfølgning mv. 1.2 Leverandøren må alene behandle personoplysninger i henhold til Kundens instruks, herunder som led i leveringen af de aftalte Ydelser i henhold til Aftalen. 1.3 Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. 1.4 Leverandøren skal på Kundens anmodning give Kunden tilstrækkelige oplysninger og dokumentation til, (i) at Kunden kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, (ii) at Kunden kan verificere, at personoplysninger alene behandles af Leverandøren i henhold til Kundens instruks, samt (iii) at Kunden kan opfylde sine forpligtelser i henhold til lov om behandling af personoplysninger. 1.5 Leverandøren skal give relevante myndigheder adgang til at foretage inspektion af Leverandørens behandling af personoplysninger og skal, efter anmodning, yde sådanne myndigheder assistance i forbindelse med gennemførelsen af inspektion. 1.6 Leverandøren skal straks informere Kunden, såfremt Leverandøren bliver opmærksom på sikkerhedsbrud, herunder at Kundens personoplysninger hændeligt eller ulovligt er tilintetgjort, fortabt, forringet, er kommet til uvedkommendes kendskab, misbrugt eller i øvrigt behandlet i strid med lov om behandling af per - sonoplysninger. 1.7 Leverandøren må ikke uden Kundens skriftlige samtykke eksportere personoplysninger til modtagere, herunder underleverandører, der er beliggende i lande uden for EU/EØS-området. Såfremt Kunden samtykker til sådan eksport af personoplysninger, skal Leverandøren foranledige, at der indgås dataoverførselsaftaler baseret på EU-Kommissionens Standardkontraktbestemmelser mellem Kunden og modtage ren af personoplysningerne uden for EU/EØS-området. 22 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv