Vejledning om behandling af personoplysninger

Transkript

1 Vejledning om behandling af personoplysninger for FSR danske revisorers medlemmer Oktober

2 Indledning Persondataloven regulerer, hvordan man må behandle personoplysninger. Reglerne gælder kun oplysninger om fysiske personer. Det vil sige, at reglerne ikke gælder for oplysninger om selskaber som sådan, men derimod deres ansatte. I praksis betyder det, at alle revisionsvirksomheder er omfattet af persondataloven, da man altid vil have registreret personoplysninger om kunder, hvad enten de er fysiske personer eller selskaber, for hvilke man normalt har kontaktdata på ansatte i selskabet (fx adm. dir., bogholderen, regnskabschefen eller andre). Reglerne om persondata bygger på forskellige principper. Det er fx ikke tilladt at indsamle oplysninger om personer, hvis man ikke aktuelt har noget at bruge dem til. Man må heller ikke indsamle flere oplysninger, end det er nødvendigt. Desuden skal persondata slettes eller anonymiseres, når der ikke længere er brug for oplysningerne. Den grundlæggende interesse i at indsamle, behandle og opbevare persondata i henhold til reglerne er, ud over det selvfølgelige i at være inden for lovens rammer, at revisionsvirksomheden dermed sikrer sig kundernes fortsatte tillid. En forudsætning for at kunne overholde reglerne er, at man skaffer sig overblik over, hvordan man modtager personoplysninger, hvad de bliver brugt til og ikke mindst, hvordan disse oplysninger bliver sendt rundt såvel internt som eksternt. Det sidste er særligt vigtigt at være opmærksom på, hvis virksomhedens it hostes eksternt, eller virksomheden bruger cloud-tjenester, lønbureau eller eksterne konsulenter, såsom skatterådgivere eller it-support. Alle ansatte i revisionsvirksomheden skal i dagligdagen være opmærksomme på persondatareglerne i forhold til de arbejdsopgaver, som de hver især har. Databeskyttelse kræver løbende indsats, evaluering, overvågning og kontrol. For at medarbejderne kan være opmærksomme på reglerne, er uddannelse nødvendigt ikke bare for eksisterende medarbejdere, men også, når der kommer nye medarbejdere ind i virksomheden. Den nuværende persondatalov afløses i maj 2018 af persondataforordningen, som kommer til at gælde direkte i Danmark. I skrivende stund (oktober 2017) er en ny lov på vej, nemlig databeskyttelsesloven, som supplerer forordningen på en række punkter. Herudover vil Justitsministeriet udgive forskellige vejledninger om de nye regler. Formålet med denne vejledning er at give et overblik over reglerne, og hvordan man kan gribe processen med at implementere dem an. Vejledningen er målrettet mod revisorer, og det er kun de regler, som må formodes at have betydning for revisors virksomhed, som er taget med. Vejledningen er således ikke udtømmende. Hvis man er i tvivl om, hvordan en given regel skal forstås, eller den konkrete situation, som man ønsker vurderet, så er der hjælp at hente i de 7 bilag, som findes bagerst. 2

3 Indholdet af vejledningen er således: Side Kort om implementeringen af persondatareglerne 4 # 1. Kortlægning af persondata 6 # 2. Hvilke regler gælder? 9 # 3. Implementering af persondatareglerne 12 Bilag 1: Hvad er persondata? 13 Bilag 2: Databehandlingssikkerhed 15 Bilag 3: Databehandleraftaler 18 Bilag 4: s, hjemmesider og følsomme oplysninger 21 Bilag 5: Cookies 22 Bilag 6: Oplysninger om personale 23 Bilag 7: Indholdet af en persondatapolitik 27 I #1 - #3 gennemgås overordnet processen med at indføre reglerne i virksomheden. I bilagene er de krav, der stilles, nærmere gennemgået. FSR danske revisorers Faglige Hotline kan besvare generelle spørgsmål om persondataforordningen. Medlemmer af FSR danske revisorer kan også gratis kontakte revisorjura s hotline på FSRpersondata@revisorjura.dk 3

4 Kort om implementeringen af persondatareglerne Implementering af persondatareglerne i en revisionsvirksomhed adskiller sig i princippet ikke fra implementering af reglerne i andre typer af virksomheder; men der er forskel på, hvilke persondata virksomhederne behandler. For revisionsvirksomheder drejer det sig fx om: Man kan gribe dette arbejde an på forskellige måder, men grundlæggende set handler det om at få overblik over: 1. Hvilke persondata behandler virksomheden? 2. Hvilke regler i persondataforordningen gælder for denne behandling? 3. Hvordan det sikres, at virksomhedens behandling af persondata følger reglerne (implementering). Det er en god idé at udpege en person i virksomheden, som er tovholder for implementeringen og har overblikket over processen. Som nævnt ovenfor bygger persondatareglerne på en række principper. Et vigtigt princip er, at overholdelsen af reglerne om behandlingssikkerhed skal ske ud fra en risikovurdering. Noget forenklet kan man sige, at ressourcerne skal bruges der, hvor risikoen for fejl er størst, og der, hvor læk af personoplysninger har de mest alvorlige konsekvenser for de personer, det drejer sig om. Det vil typisk være ved læk af følsomme oplysninger, men også oplysninger om fx økonomiske forhold og andre typer af oplysninger, som normalt ville skulle behandles fortroligt. I en revisionsvirksomhed kan der være opbevaret følsomme oplysninger om ansatte helbredsforhold, personlighedstest, fagforeningsmedlemskab. Også i forbindelse med levering af ydelser kan der være følsomme oplysninger at finde. Det kan fx være ved lønadministration, hvor der kan være oplysninger om helbredsforhold og medlemskab af fagforening. Ved siden af persondataforordningen gælder revisors tavshedspligt efter revisorloven. I forhold til persondata skal reglerne i såvel persondataforordningen som revisorloven følges. 4

5 Persondatareglerne er de samme for alle revisionsvirksomheder; men implementeringen vil typisk være mere enkel i en mindre virksomhed, hvor risici, processer og kompleksitet ofte er meget mindre end i en stor revisionsvirksomhed. FAKTABOKS: Indsamle oplysninger Når revisionsvirksomheden modtager personoplysninger fra kunden i forbindelse med kundeoprettelse eller løsning af en konkret opgave, kaldes det at indsamle oplysninger. Det samme gælder, hvis revisor indhenter oplysninger fra andre end kunden selv fx hos RKI eller CPR. 5

6 # 1. Kortlægning af persondata Overblik Når persondatareglerne skal implementeres, er det helt afgørende at skaffe sig overblik over, hvilke persondata virksomheden behandler. FAKTABOKS: Behandle data Behandling af persondata dækker over en lang række forskellige måder at håndtere persondata på, såsom fx: indsamle, gemme, redigere, systematisere, sende, slette, kopiere og tilpasse. Persondata er i denne forbindelse et meget bredt begreb, som omfatter enhver oplysning, som kan henføres til en fysisk person. Se nærmere bilag 1, hvor definitionen af personoplysninger er gennemgået. I praksis vil almindelige persondata, såsom personnavne, adresser og , give langt det største arbejde i forhold til at efterleve persondatareglerne. Persondata optræder mange steder i virksomheden, som fx: Det er vigtigt at have overblik over de personoplysninger, som virksomheden behandler. Det kan gøres ved at udarbejde en oversigt over de processer i virksomheden, der involverer personoplysninger. Hjemmel Af procesoversigten bør det fremgå, hvilke formål der er med behandlingen. Samtidig bør man have overblik over, hvad hjemlen er til behandlingen. Hjemlen kan være: Samtykke fra personen At behandlingen sker for at opfylde en aftale (fx kundens navn og ) En retlig forpligtelse (fx opbevaring af legitimationsoplysninger, jf. hvidvaskloven eller bogføringsloven) At forfølge en berettiget interesse, som virksomheden har, og som ikke overstiger hensynet til personen (fx når en virksomhed lægger kontaktoplysninger til medarbejderne ud på hjemmesiden). 6

7 Databehandler Det er vigtigt at have overblik over, hvornår revisor benytter databehandler, da data, der behandles af andre, også skal være en del af kortlægningen, da revisionsvirksomheden også er ansvarlig for den rette behandling heraf. I de situationer skal der foreligge en databehandleraftale, som skal opfylde en række krav se bilag 3. Af databehandleraftalerne skal det fremgå, hvilke personoplysninger aftalen dækker. FAKTABOKS: Databehandler En databehandler behandler persondata på vegne af revisionsvirksomheden. Det kan fx dreje sig om et lønbureau eller en virksomhed, som står for it-driften i revisionsvirksomheden. I begge tilfælde vil revisionsvirksomheden sende personoplysninger ud til eksterne parter i forbindelse med, at de løser opgaver for revisionsvirksomheden. Når revisionsvirksomheden bruger en databehandler, er det revisionsvirksomheden, som bestemmer præcis, hvad databehandleren må gøre med personoplysningerne det vil sige har instruktionsbeføjelsen. Lønbureauet vil normalt altid få instruks om, at personoplysningerne alene må bruges i forbindelse med lønadministration og ikke fx til markedsføring af ydelser over for den personkreds, som bureauet behandler løn for. Hvis revisionsvirksomheden afbryder samarbejdet med lønbureauet, vil revisionsvirksomheden kunne kræve, at alle oplysninger, som lønbureauet har modtaget, bliver slettet. Når man benytter sig af en databehandler, er det lovpligtigt at indgå en databehandleraftale. Dette behøver ikke at være en særskilt aftale, men kan godt være et punkt i den aftale, som parterne har indgået om den ydelse, som skal leveres. Oversigter For revisionsvirksomheder med mere end 250 ansatte er det lovpligtigt med en oversigt over de personoplysninger, som virksomheden behandler. Det er ikke lovpligtigt for revisionsvirksomheder med færre medarbejdere; men det er en rigtig god idé at udarbejde en sådan oversigt. Det letter arbejdet, når virksomheden skal opfylde kravet om slettepligt, udlevering af oplysninger m.v. se nærmere i afsnit #2. Nedenfor er vist et eksempel på en oversigt over persondata vedr. medarbejdere. 7

8 Eksempel: Persondata om medarbejdere Hovedprocesser Underprocesser/ Formål Persondata Databehandler Hjemmel Ansættelse Ansøgning Personlighedstest Sociale medier Navn Adresse Telefon Noter (referencetjek) CPR-nr. Profil Ekstern backup GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra a (samtykke) GDPR, A 87, stk. 1 (særlig regel for CPR nr.) GDPR A 9, stk. 2, litra a (samtykke) GDPR, A 9, stk. 2, litra e (offentliggjort af personen) Ansat (yderligere oplysninger) Medarbejder-nr. Billede til hjemmeside Bankoplysninger Fagforening Ansættelsesdato Arbejdstid Ekstern backup GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra a (samtykke) GDPR, A 6, stk. 1, litra b (kontrakt) GDPR, A 9, Stk. 2, litra b (arbejdsretlig pligt) GDPR, A 6, stk. 1, litra b (kontrakt) GDPR, A 6, stk. 1, litra b (kontrakt) Tilsvarende oversigter kan udarbejdes for kunder delt op i processer, svarende til den måde, som virksomheden arbejder på. Hovedprocesser kunne fx være registrering af stamdata for nye kunder, udarbejdelse af regnskab, revision, skatterådgivning, anden rådgivning, erhvervsservice (lønadministration, ejendomsadministration m.v.). Herudover skal man også være meget opmærksom på de uformelle processer. Det forekommer ofte, at medarbejdere på eget initiativ opretter tjenester som Dropbox, Google Drive m.fl. og gemmer oplysninger om kunder for lettere at kunne tilgå oplysningerne uden for virksomheden, fx hos kunder. Der kan også være tale om små programmer til fx redigering og abonnementsstyring af nyhedsbreve. Desuden bør man gennemgå it-systemer for at se, om der her opbevares yderligere personoplysninger. Det vil fx ofte være tilfældet med mailsystemer (fx Outlook), hvor der ligger mange personoplysninger gemt i s. Det er vigtigt, at disse oversigter løbende vedligeholdes i takt med, at processer ændres, eller nye processer opstår, fx i forbindelse med nye produkter eller andre ændringer i virksomhedens drift. Kompleksiteten af de formelle processer og persondata samt kortlægningen heraf tager ofte mere tid, jo større virksomheden er. 8

9 # 2. Hvilke regler gælder? Som virksomhed skal man efterleve en lang række regler og principper, når man behandler personoplysninger. Her kan der være hjælp at hente ved at bruge Erhvervsstyrelsens og Datatilsynets PrivacyKompas, som giver vejledning om, hvordan persondatareglerne efterleves med udgangspunkt i virksomhedens konkrete forhold holdt op imod de dertil hørende krav (læs mere her). I forhold til den registrerede person søger reglerne at gøre det gennemsigtigt for den enkelte, hvilke personoplysninger der indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Her har revisor en række oplysningsforpligtelser. Se bilag 7 om persondatapolitikker. Hvis virksomheden bruger databehandlere, skal der indgås særlige aftaler med de pågældende. Se nærmere i bilag 3. Samtidig har virksomheden pligt til at dokumentere, at virksomheden overholder reglerne i persondataforordningen. Det er ikke nok at følge dem. Det skal også dokumenteres, at det rent faktisk sker. Nedenfor er gennemgået, hvilke forpligtelser revisionsvirksomheden har: Persondatapolitik Kunder Man har som virksomhed en lang række oplysningsforpligtelser i forhold til de personer, som man har registreret personoplysninger om. Disse kan med fordel samles i en persondatapolitik og lægges på virksomhedens hjemmeside. I bilag 7 er oplistet en række punkter, som bør være med i en sådan politik. Ved implementering af forordningen i virksomheden er det vigtigt at sikre sig, at der er forretningsgange, som i praksis beskriver, hvad virksomheden internt skal gøre for at overholde de forpligtelser, som meddeles kunden. Interne retningslinjer Dokumentation Reglernes overholdelse Interne retningslinjer Indføre sletterutiner Opbevaringsbegrænsning Dataminimering Indsaml kun nødvendig data Der skal udarbejdes interne retningslinjer, som sikrer, at persondatareglerne efterleves internt i virksomheden. Efterlevelsen af reglerne skal dokumenteres. Der er ikke formkrav til dokumentationen. Nogle større virksomheder vælger at få en revisorerklæring. FSR danske revisorer har udarbejdet en standarderklæring, som kan afgives i forhold til databehandlere. Den indeholder en lang tjekliste over databehandlerens forpligtelser og kan også bruges som inspiration, når man skal udarbejde interne retningslinjer. En anden mulighed er, at man jævnligt følger op på de interne retningslinjer med dokumenteret kontrol af, om de efterleves i praksis. Persondata skal slettes, når det ikke er nødvendigt at opbevare oplysningerne længere. Opbevaringsregler, som følger af anden lovgivning fx hvidvaskloven og bogføringsloven gælder dog fortsat. I praksis betyder det, at revisor skal vurdere, om det er nødvendigt at opbevare personoplysninger efter udløbet af de lovbestemte opbevaringstidsrum. Princippet er, at virksomheden skal opbevare så få personoplysninger i så kort tid som muligt. Det skal undersøges, om der indsamles flere personoplysninger end nødvendigt. Her kan man bruge oversigten over processer og persondata. 9

10 Databehandler Særlige aftaler Personaleoplysninger Krav til behandling Sikkerhedsbrud Håndtering Det skal undersøges, i hvilket omfang virksomheden benytter sig af databehandlere, og sikres, at der er indgået databehandleraftaler, som lever op til kravene i forordningen. Ofte vil revisor også være i den situation, at han i visse henseender selv er databehandler. Ikke ved erklæringsopgaver, men hvis han under instruks behandler data for andre, fx ved bogføringsopgaver, lønadministration m.v., hvor de behandlede data efterfølgende (også) opbevares af revisor. Derfor bør der ofte også indgås databehandleraftaler med kunder. Se nærmere i bilag 3. Se nærmere i bilag 6 for de krav, der stilles i forbindelse med personaleoplysninger. Hvordan håndteres sikkerhedsbrud i forhold til registrerede personer? Håndtering af den registreredes rettigheder De personer, som revisionsvirksomheden behandler oplysninger om, har ret til at få at vide, hvilke oplysninger der behandles, få indsigt i oplysningerne, kræve, at de er rigtige, ret til at få dem slettet, sikkerhed for, at de bliver behandlet fortroligt samt at få en digital kopi: Retten til at modtage oplysning om en indsamling af personoplysninger Når kunden giver personoplysninger til revisor, skal revisor oplyse, hvad personoplysningerne vil blive brugt til. Hvis der indsamles oplysninger om en kunde uden dennes viden fx hos RKI skal kunden gøres opmærksom på dette, hvilke regler og rettigheder den pågældende har, og hvordan den pågældende kan udøve sine rettigheder i den forbindelse. Dette kan ske ved at henvise til revisionsvirksomhedens persondatapolitik. Se bilag 7. Retten til at få indsigt i personoplysninger Personen har ret til at få indsigt i de personoplysninger, som den pågældende ikke selv har afgivet. Retten til at få urigtige personoplysninger berigtiget Revisor vil normalt bestræbe sig på, at alle kundeoplysninger er korrekte, så bestemmelsen har i den forbindelse næppe den store betydning. Et eksempel kunne være en jobansøger, hvor revisionsvirksomheden har noteret vedkommendes adresse forkert og sender bekræftelse af ansøgningen til en anden. Her har ansøgeren krav på at få rettet adressen straks. Retten til at få personoplysninger slettet ( retten til at blive glemt ) Det kunne dreje sig om en ansøgning fra en ansøger, som ikke fik jobbet, eller personoplysninger om tidligere ansatte. Retten til at få personoplysninger behandlet fortroligt Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed og fortrolighed, og som forhindrer uautoriseret adgang. Retten til at få udleveret personoplysninger digitalt (dataportabilitet) Kunden kan kræve at få udleveret de oplysninger, som revisor har om vedkommende, i et digitalt læsbart format. Retten til at tilbagekalde samtykke til behandling af oplysninger Hvis en person tidligere har givet samtykke til, at en virksomhed må bruge personens oplysninger, kan personen trække samtykket tilbage med den virkning, at virksomheden skal slette oplysningerne. Den dataansvarlige - og en eventuel databehandler har pligt til at sikre sig, at den person, som virksomheden meddeler oplysninger til, er rette person, så oplysninger om den registrerede ikke kommer til uvedkommendes kendskab. Der må kun udleveres oplysninger, når vedkommende har legitimeret sig behørigt, eller når der på anden måde er skabt sikkerhed for, at den, der fx fremsætter en indsigtsbegæring, er identisk med den person, som oplysningerne vedrører. 10

11 Hvis fx en kunde mailer til revisor for at få oplysninger om sin selvangivelse, skal revisor være sikker på, at en stammer fra den pågældende kunde. Bruger kunden sin normale adresse, vil det normalt ikke give anledning til tvivl; men hvis kunden har benyttet en adresse, som revisor ikke har set før, bør revisor undersøge, om en nu også kommer fra kunden (fx ved telefonisk at kontakte kunden). Særligt i forbindelse med udlevering af følsomme og fortrolige oplysninger er det vigtigt at sikre, at oplysningerne ikke udleveres til uvedkommende. Se bilag 4 og 5 vedrørende s, hjemmesider, følsomme oplysninger og brugen af cookies. Virksomhederne skal sikre, at de kan håndtere de nævnte rettigheder. I den forbindelse gælder en række mere specifikke regler. Se næste afsnit. 11

12 # 3. Implementering af persondatareglerne Rækken af opgaver ved implementering af persondatareglerne er lang. De ressourcer, der skal bruges på opgaven, afhænger meget af, hvor stor og kompleks revisionsvirksomheden er. Det er en god idé at lægge en plan for, hvordan implementeringen af persondataforordningen gribes an. Samtidig bør der udpeges en ansvarlig for processen, som også efter implementeringen kan sikre, at virksomhedens persondatapolitik og interne retningslinjer overholdes i praksis. Først og fremmest bør man udarbejde retningslinjer for, hvordan man internt efterlever reglerne. Hvem gør hvad, hvis en person henvender sig og beder om indsigt i de oplysninger, der behandles om vedkommende. Hvordan håndteres kravet om sletterutiner (opbevaringsbegrænsning)? Hvad skal der gøres i dagligdagen for at opnå en tilstrækkelig behandlingssikkerhed? Se afsnit #2 om de regler, som skal overholdes. Revisionsvirksomheden har som nævnt i afsnit #2 en oplysningsforpligtelse over for de personer, som virksomheden indsamler oplysninger om. En måde at håndtere denne forpligtelse på er at udarbejde en persondatapolitik. Se nærmere i bilag 7. Desuden skal revisionsvirksomheden udarbejde en bestemmelse om databehandling i virksomhedens aftalebrev. Samtidig skal virksomhedens aftaler med eksterne parter gennemgås med henblik på at vurdere, om der er persondata involveret og i givet fald, om der er behov for en databehandleraftale. Se nærmere i bilag 3. 12

13 Bilag 1: Hvad er persondata? Det er kun data, der er "personhenførbare", som er omfattet af persondataforordningen. Det betyder, at data skal kunne relatere sig til en bestemt fysisk person, for at loven finder anvendelse. Både almindelige oplysninger og følsomme oplysninger er omfattet af loven. Personoplysninger er alle informationer om en identificeret eller identificerbar person. En identificerbar person er en person, som kan identificeres (direkte eller indirekte). Navn Adresse CPR-nr. Mobil nr. Ægteskabelig status Børn Daginstitution Boligform Biler(er) Arbejdsplads Fagforening A-kasse Pas-nr. Investeringer Folkekirkemedlemskab Statsborgerskab Reklamebeskyttelse Forældre (inkl. CPR-nr.) Fødselssted Alle skatteoplysninger Sociale problemer Hvor man færdes (tele) Uddannelsesforhold Straffe Sygdomsbehandling Lønindkomst CVR-register Tingbogen Bilbogen Livsforsikring Køn Pensionsordninger Værnepligt Gæld til det offentlige Lån i pengeinstitut Realkreditlån Efterretningstjeneste (hvad?) Sikkert mange flere Oplysninger er også personhenførbare, selvom oplysningerne ikke kan identificere personen uden at blive kombineret med andre oplysninger Behandling af almindelige oplysninger om personer må kun finde sted, hvis én af betingelserne er opfyldt: a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt. c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser. e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller en opgave, som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. f) Behandling er nødvendig, for at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn. 13

14 Typisk vil grundlaget for en revisionsvirksomheds behandling af personoplysninger være nødvendigt, for at aftalen med kunden kan opfyldes (pkt. b), eller for at forfølge en legitim interesse (pkt. f). Se også #1. Personoplysninger kan inddeles efter deres grad af følsomhed, og de såkaldte følsomme oplysninger findes i fjerde boks: Den behandling af personoplysninger, som revisionsvirksomheder foretager om kunder og evt. ansatte, vil normalt have hjemmel i persondatareglerne. Dette forudsætter naturligvis, at reglerne om dataminimering, opbevaringsbegrænsning, saglig behandling m.v. overholdes. Sondringen mellem almindelige og følsomme oplysninger har derimod betydning ved den risikovurdering, som skal foretages i forhold til behandlingssikkerhed. Her vil beskyttelse af følsomme oplysninger vægte højere end beskyttelse af almindelige oplysninger. 14

15 Bilag 2: Databehandlingssikkerhed Der er i forordningen krav om behandlingssikkerhed, og i den forbindelse er det et krav, at virksomheden har foretaget såkaldte tekniske og organisatoriske foranstaltninger. It-systemer indebærer risici; men det er vigtigt at være opmærksom på, at det gør personalet i revisionsvirksomheden også. Derfor er det ikke alene tekniske forhold, men også organisatoriske forhold, som skal indgå i virksomhedens risikostyring. Hvor meget der skal til, for at kravene om behandlingssikkerhed er opfyldt, kan der ikke siges noget generelt om, da det først og fremmest afhænger af en risikovurdering. Det afhænger bl.a. af, hvor megen data der behandles, hvilken type data der er tale om samt skadevirkningen af et eventuelt datalæk. Løsningens omfang skal stå i rimeligt forhold til den opnåede beskyttelse af persondata. Risikovurdering En risikovurdering fortæller, på hvilke områder virksomheden skal være særligt opmærksom, og hvor der skal sættes ind med foranstaltninger, som kan reducere denne risiko til et acceptabelt niveau. Revisionsvirksomheden kan derfor med fordel foretage en sådan vurdering for at skabe grundlaget for eventuelle tekniske foranstaltninger. Det kan være en praktisk hjælp at anvende Erhvervsstyrelsens it sikkerhedstjek, der netop hjælper med at identificere, hvor der skal sættes ind for at mindske risikoen for brud. Figuren til højre skitserer princippet i denne risikovurdering. Risikoen er mindst i det grønne område, stiger i det gule og er højest i det røde område. HØJ RISIKO Ved en risikovurdering skal man se på, hvor alvorlig konsekvensen for de registrerede personer er, hvis deres persondata bliver lækket, ændret eller går tabt. Alvorligheden skal herefter sammenholdes med sandsynligheden for, at persondata enten lækkes, ændres eller går tabt. Det er en individuel vurdering fra virksomhed til virksomhed. Omfanget af databehandlingen og antallet af planlagte dataoverførsler spiller også en stor rolle for risikovurderingen. LAV RISIKO LAV RISIKO I visse situationer vil virksomheden skulle udføre en konsekvensanalyse, hvis der foretages en type behandling, der - navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål - sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det er indtil videre (september 2017) ikke meldt ud fra Justitsministeriet, i præcis hvilke situationer der skal foretages konsekvensanalyse. Der er annonceret en vejledning herom i december

16 Eksempel 1 Medarbejderne i revisionsvirksomhed X har alle mobiltelefoner med adgang til deres e- mail. Ved gennemgang af processer, data og risikovurdering konstateres det, at der er medarbejdere, som ikke har sat adgangskode på deres telefon. Det betyder, at hvis telefonen tabes eller bliver glemt et sted, så har den, som finder telefonen, adgang til alle den pågældende medarbejders s. Virksomheden vurderer, at sandsynligheden for, at det sker, er mellem lav og middel; men at konsekvensen er alvorlig, hvis det sker. Risikoen vurderes så høj, at alle medarbejdere bliver bedt om straks at få sat adgangskode på deres telefon. Eksempel 2 Virksomheden opbevarer kopier af persondata om pårørende til medarbejderne for det tilfælde, at det ved akut sygdom eller lign. kan blive nødvendigt at komme i kontakt med disse. Det er alene bogholderen i virksomheden, som kender til oplysningerne og har disse opbevaret i en mappe, som står frit tilgængeligt. Konsekvensen af, at uvedkommende får adgang til oplysningerne, vurderes at være lille, og sandsynligheden for, at det sker, vurderes også lille. Virksomheden indfører ikke yderligere sikkerhedsforanstaltninger. Organisatoriske foranstaltninger Som nævnt ovenfor er der ikke blot it-tekniske risici ved behandlingen af persondata, men der er også tilknyttet risici ved den behandling, som de ansatte foretager. Man bør overveje, hvordan man i sin virksomhed bedst imødegår disse risici. Det kunne fx være: - At kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles (normalt ved brug af password). - Det er kun de personer, som til løsning af deres arbejdsopgaver har brug for personoplysningerne, som må få adgang til dem. Ansatte må ikke få adgang til personoplysninger, som ikke er nødvendige for deres arbejdsopgaver. - De ansatte skal have tilstrækkelig uddannelse og instruktion, der tilsigter at øge medarbejdernes generelle sikkerhedsbevidsthed, herunder deres kendskab til virksomhedens interne retningslinjer. - Der bør løbende efter behov foretages kontrol af, at ansatte kun er tildelt de adgange, som de har behov for. - Personoplysninger, som opbevares på fysiske medier (ringbind, USB, dvd m.v.), skal være låst inde eller på anden vis sikret mod almindelig adgang. 16

17 Tekniske foranstaltninger Der indføres en passende it-sikkerhed i forhold til de risici, der findes ved virksomhedens behandling af personoplysninger. Det drejer sig fx om: - Beskyttelse mod uautoriseret adgang til systemet (internt og eksternt) - Evt. brug af kryptering ( s, flytbare lagringsmedier) - Forretningsgang ved bortskaffelse/reparation af it-udstyr, som indeholder persondata, - Foranstaltninger imod virus - Regelmæssig backup - Tekniske krav til hjemmearbejdspladser - Løbende vurdering af, om sikkerhedsniveauet er tilstrækkeligt i forhold til risikovurderingen - Fysiske foranstaltninger. 17

18 Bilag 3: Databehandleraftaler I dette afsnit gennemgås en række problemstillinger, som gælder for mange af revisionsvirksomhedernes aktiviteter: Ansvaret for kundernes oplysninger, når de overlades til andre (databehandlere) Overførsel af personoplysninger via Overførsel af personoplysninger via hjemmesider Behandling af personnumre Cookies. Herudover er der en række problemstillinger, der specifikt gælder for revisionsvirksomheders forretning og personaleadministration, som gennemgås i de følgende afsnit. Ansvaret for kundernes oplysninger, når de overlades til andre (databehandlere) Revisionsvirksomheden er såkaldt dataansvarlig for al den persondata, som registreres i forhold til kunder og ansatte. Den, der herefter udfører databehandlingen, betegnes som databehandler. Det kan fx være en ekstern leverandør, som bruges til at udbetale løn eller til at rekruttere nye medarbejdere eller til lagring/ backup af data via cloud-løsninger. Det er fortsat revisionsvirksomheden, som har ansvaret for, at oplysningerne opbevares i overensstemmelse med persondatareglerne. I den forbindelse skal der skriftligt indgås en såkaldt databehandleraftale, der skal indeholde: Formål og varighed Hvilke kategorier af data der behandles Kategorier af registrerede Organisatorisk sikkerhed hvem får adgang og hvorfor? Krav om fortrolighed Den dataansvarliges instruktionsbeføjelse Krav til sikkerhed Beredskab og notifikation ved sikkerhedsbrist Dokumentation for overholdelse af forpligtelserne som databehandler Sletning eller overlevering af data ved ophør. Revisionsvirksomheden skal sikre sig, at databehandleren overholder aftalen. En metode kan være at indhente en årlig revisionserklæring. FSR danske revisorer har udarbejdet en ny revisorerklæring, der giver sikkerhed for, at databehandlere har styr på procedurer til beskyttelse af persondata. 18

19 Systematikken i brugen af databehandlere kan skitseres således: I eksemplet modtager revisor personoplysninger fra kunden. I forbindelse med revisors backup ender oplysningerne hos en ekstern hoster. Persondatareglerne gælder ikke oplysninger om selskaber. Revisor vil dog i praksis altid modtage personoplysninger fra kunder, som er selskaber. Det drejer sig fx om kontaktperson i virksomheden (typisk navn, , telefonnummer, stillingsbetegnelse m.v.). Det kan også dreje sig om aktionærer i selskabet eller om selskabets medarbejdere, når revisor står for lønadministration. Ved brug af databehandlere skal man være opmærksom på, om der sker behandling uden for EU. Princippet for behandling af personoplysninger uden for EU er, at det ikke må ske i et land, hvor beskyttelsen af personoplysninger er dårligere lovgivningsmæssigt set. Persondata kan overlades til databehandlere i andre EU- og EØS-lande, når reglerne om overførsel af persondata til databehandlere i øvrigt overholdes. Overlades personoplysninger til andre lande, kræver det, at dette land har et tilstrækkeligt beskyttelsesniveau for persondata + samtykke fra den registrerede. EU-Kommissionen har godkendt visse lande uden for EU (december 2012): Andorra Argentina Færøerne Guernsey Schweiz Canada (begrænset anvendelsesområde) Israel Jersey Isle of Man New Zealand Uruguay Herudover kan Datatilsynet give konkret tilladelse. Endelig kan overførsel ske ved at indgå en særlig EU-standardkontrakt. Det kræver altid Datatilsynets tilladelse at overføre (overlade) følsomme oplysninger eller oplysninger om kreditværdighed. 19

20 For en god ordens skyld skal det nævnes, at digitalt regnskabsmateriale kan opbevares i udlandet, hvis den bogføringspligtige i Danmark sørger for, at opbevaringen af regnskabsmaterialet sker på en måde, så det til enhver tid kan fremskaffes og gives adgang til her i landet. Her skal man være opmærksom på, at hvis regnskabsmateriale indeholder persondata, kan opbevaring ske inden for EU, men sker det uden for EU, skal det i hvert tilfælde undersøges, om det giver anledning til problemer i forhold til persondatareglerne. Den dataansvarlige skal sikre, at databehandleren overholder reglerne Når den dataansvarlige bruger en databehandler, stilles der en række krav til den dataansvarlige ud over selve databehandleraftalen. Det vigtigste er, at den dataansvarlige påser, at databehandleren har etableret passende tekniske og organisatoriske foranstaltninger, som imødegår de risici, som databehandleren vurderer, der er ved at behandle de pågældende persondata. Der foretages løbende - og mindst én gang årligt en vurdering af, hvorvidt risikovurderingen er opdateret og passende i forhold til de tekniske og organisatoriske foranstaltninger. 20

21 Bilag 4: s, hjemmesider og følsomme oplysninger Overførsel af personoplysninger via Datatilsynet anbefaler kryptering ved overførsel via af: Følsomme personoplysninger Personnummer Passwords m.v. Almindelige private (fortrolige) personoplysninger. Disse anbefalinger bør følges, da det at sende en svarer til at sende et åbent postkort med posten. Krypteringen kan siges at være kuverten. I øvrigt kan det nævnes, at offentlige myndigheder ikke må sende en ukrypteret, når den indeholder fortrolige oplysninger. Behandling af personnumre Persondataforordningen giver mulighed for at udstede regler om CPR-nr. I skrivende stund (september 2017) er det ikke meldt ud, hvordan Justitsministeriet har tænkt sig at bruge denne adgang. Meget tyder dog på, at reglerne vil blive som hidtil. Disse er gennemgået i det følgende. Revisionsvirksomheder må som hovedregel kun behandle CPR-nr., når det følger af lovgivningen, eller hvis personen har givet udtrykkeligt samtykke, når der samtidigt er et sagligt formål. Kravet om sagligt formål vil normalt være opfyldt i en revisionsvirksomhed, da de fleste opgaver, som løses for personer, kræver oplysninger om den pågældendes CPR-nr. Behandling skal forstås bredt som fx indsamling, registrering, systematisering, opbevaring, ændring, søgning, brug, videregivelse, formidling eller enhver anden form for overførsel, samkøring, sletning eller tilintetgørelse. Herudover skal man være opmærksom på, at der gælder særlige krav, hvis man overfører CPRnr. via hjemmesider eller s. 21

22 Bilag 5: Cookies Ved indsamling af oplysninger på virksomhedens hjemmeside er det Datatilsynets opfattelse, at den dataansvarlige bør give oplysninger om følgende: Den dataansvarliges identitet og adresse (både den fysiske og den elektroniske) Formålet med indsamlingen (alle formålene, hvis der er flere) Hvorvidt de oplysninger, der anmodes om, er obligatoriske eller valgfri (der må ikke være konsekvenser, hvis den registrerede vælger ikke at afgive en valgfri oplysning) Modtagerne/kategorier af modtagere af oplysningerne, og hvorfor der sker videregivelse - der skal samtidig være mulighed for at gøre indsigelse mod dette - eksempelvis med et afkrydsningsfelt Retten til indsigt og rettelse, samt hvem henvendelse skal ske til Retten til at gøre indsigelse, samt hvem henvendelse skal ske til Om der anvendes automatiske indsamlingsprocedurer Sikkerhedsniveauet ved behandlingerne, herunder ved overførslen af oplysninger, samt i modtagerlandet, hvis oplysningerne videregives til et andet land, og Navn og adresse (både den fysiske og den elektroniske) på den, der er ansvarlig for at besvare spørgsmål om beskyttelse af personoplysninger. Der bør desuden også være adgang til fuld information om virksomhedens persondatapolitik for beskyttelse af personoplysninger. Alt dette skal være direkte tilgængeligt på webstedet og alle de steder, hvor der indsamles personoplysninger. Det forudsættes, at persondatalovens regler i øvrigt overholdes. Det betyder bl.a., at der ikke må indsamles flere oplysninger, end hvad der er nødvendigt, ligesom indsamlingen skal ske til specifikke og saglige formål. 22

23 Bilag 6: Oplysninger om personale Der gælder en række regler for behandling af persondata om egne ansatte, som gennemgås i det følgende: Datatilsynets krav om datasikkerhed i forbindelse med personaleadministration Logning og kontrol af medarbejderes brug af telefon, internet og s Behandling af en fratrådt medarbejders konto Når en virksomhed indsamler og opbevarer oplysninger om personer, der er ansat i virksomheden, eller som har været ansat, eller som søger job i virksomheden, gælder persondataloven. Datatilsynets krav om datasikkerhed i forbindelse med personaleadministration Datatilsynet har udarbejdet en 12-punkts liste, som indeholder minimumskrav ved behandling af personaleoplysninger. Det skal dokumenteres skriftligt, hvilke tiltag revisionsvirksomheden har gjort for at opfylde de enkelte punkter, og dokumentation skal udleveres til Datatilsynet på anmodning. 1. Beskriv, hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir fx i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort m.v.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. 6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan fx bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8. Pc er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. 9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10. Hvis følsomme personaleoplysninger og personnummer sendes med via internettet, anbefaler Datatilsynet kryptering. 11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 12. Ved brug af en ekstern databehandler til håndtering af oplysninger skal persondatalovens 42 om skriftlig databehandleraftale m.v. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. 23

24 Følgende oplysninger anses som henholdsvis almindelige oplysninger og følsomme oplysninger, når det drejer sig om personaleadministration: Almindelige oplysninger er fx: Navn Adresse Telefonnummer Stillingsbetegnelse Uddannelse Kontonummer Sådanne almindelige oplysninger vil normalt kunne registreres i det omfang, hvori virksomheden skal bruge oplysningerne. Virksomheden må normalt registrere de oplysninger om en ansøger, som personen selv afgiver i sin ansøgning. Følsomme oplysninger er ifølge forordningen: Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Behandling af genetiske data Biometriske data med det formål entydigt at identificere en fysisk person Helbredsoplysninger Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering Som hovedregel må en virksomhed kun registrere følsomme oplysninger om en medarbejder, hvis medarbejderen har givet udtrykkeligt samtykke til dette. Der er dog også muligheder for at registrere følsomme oplysninger, hvis det er nødvendigt for at opfylde bestemmelser i en lov eller bekendtgørelse udstedt i medfør af lov. Der kan fx registreres helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale i henhold til dagpengelovens 28. Et andet eksempel er funktionærloven, som i visse tilfælde nødvendiggør registrering af følsomme oplysninger. Dette gælder fx i tilfælde af opsigelse, hvor en tidligere ansats ret til på begæring at få oplysning om årsagen til afskedigelsen nødvendiggør registrering af oplysninger herom. Der skal være tale om registrering, som er nødvendig, for at det kan fastlægges, om nogen har et retskrav. Det vil fx kunne forekomme, at en virksomhed har behov for at registrere oplysninger om et strafbart forhold i form af underslæb begået af en medarbejder, hvis dette er nødvendigt for at kunne gøre virksomhedens krav på erstatning gældende over for medarbejderen. Også på områder, hvor der kan tænkes at opstå et retskrav til medarbejderen, fx på erstatning som følge af en arbejdsskade, kan det være nødvendigt at foretage registreringer af følsomme oplysninger til brug for en eventuel sag. Logning og kontrol af medarbejderes brug af telefon, internettet og s Forbud mod registrering af de telefonnumre, som ansatte ringer til Der er forbud mod automatisk at registrere de telefonnumre, som ansatte ringer til. Det er heller ikke tilladt at modtage oversigter fra teleselskabet, der indeholder specifikation af de telefonnumre, der er ringet til. Det er dog tilladt at registrere telefonnumre, hvis det kun er en del af telefonnummeret, der fremgår (fx hvor de sidste to cifre mangler). 24

25 Overvågning af medarbejdernes brug af internettet Revisionsvirksomhedens registrering (logning) af medarbejdernes hjemmesidebesøg samt gennemgang af registreringerne ved mistanke om misbrug af internettet er ikke i strid med persondataloven, hvis medarbejderne på forhånd - på en klar og utvetydig måde er blevet informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer. Logningen bør som minimum fremgå af personalehåndbogen, og samtidig skal alle nye ansatte orienteres herom ved ansættelsen. Modsat hvad der gælder for offentlige myndigheder, er der ikke krav om anmeldelse til Datatilsynet ved private virksomheders logning og kontrol af medarbejdernes internetbrug. Overvågning af medarbejdernes s Revisionsvirksomheden kan under visse betingelser gennemgå medarbejdernes s ved mistanke om misbrug af systemet, uden at det er i strid med persondataloven. Følgende betingelser skal være opfyldt: Eventuel gennemgang af en medarbejders s må kun ske, hvis det er nødvendigt, for at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. De berettigede interesser kan fx være hensynet til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug. Medarbejderne skal på forhånd - på en klar og utvetydig måde - være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders s. Ved en gennemgang af en medarbejders s må arbejdsgiveren ikke læse medarbejderens private e- mails. Det skal understreges, at man som arbejdsgiver ikke må læse medarbejderens private s. Hvis revisionsvirksomheden bliver opmærksom på, at der er tale om en privat uden relation til virksomhedens drift, må den pågældende ikke læses, da det vil være en krænkelse af brevhemmeligheden, jf. straffelovens bestemmelse herom. En praktisk løsning vil være at opfordre medarbejderne til at oprette en særlig folder til private e- mails. Behandling af en fratrådt medarbejders konto Hvis der ikke er aftalt andet, gælder følgende ifølge Datatilsynet: Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige konto på arbejdspladsen, må kontoen kun holdes aktiv i en periode, der er så kort som muligt. Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige konto, sættes et auto-svar på kontoen med besked om medarbejderens fratræden og eventuel anden relevant information. Den aktive konto benyttes kun til modtagelse af s hvis der modtages private e- mails, kan kontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private konto. Oplysninger om den personlige adresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder. 25

26 Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige konto. Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt m.v., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders konto åben. Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes konti og informere medarbejderne herom. Persondataloven giver ikke en arbejdsgiver lov til at tilsidesætte straffelovens regler om brevhemmelighed m.v. 26

27 Bilag 7: Indholdet af en persondatapolitik Det er et krav, at revisionsvirksomheden har en persondatapolitik, som beskriver, hvad den gør for at overholde den registreredes rettigheder. Som nævnt i afsnit #2 har den registrerede person en række rettigheder efter persondataforordningen: Retten til at modtage oplysning om en behandling af personoplysninger(oplysningspligt) Retten til at få indsigt i personoplysninger Retten til at få urigtige personoplysninger berigtiget Retten til at få personoplysninger slettet Retten til at gøre indsigelse mod, at personoplysninger anvendes til direkte markedsføring Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering Retten til at flytte personoplysninger (dataportabilitet) Hvis den registrerede beder om at få slettet sine oplysninger, kan det give en række udfordringer. Det er ikke alene oplysninger i fx personalemappen eller kundemappen, der skal slettes. Det er alle oplysninger! Hvis der fx opbevares s, som omhandler den pågældende person, skal de også slettes. Det kan fx være tilfældet, hvis en jobansøgning fra den pågældende person har været sendt fra den ene medarbejder til den anden, og en fortsat ligger i Sendt post eller Indbakke. Hertil kommer, at der gælder en regel om, at oplysninger skal slettes eller anonymiseres, når man ikke længere har brug for dem. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Det vil sandsynligvis være sjældent, at en revisionsvirksomhed modtager en henvendelse fra en registreret, som direkte påberåber sig en af de nævnte rettigheder i boksen ovenover; men det kan ikke udelukkes, at det kan ske. Med den nye EU-forordning introduceres en ny rettighed dataportabilitet - som indebærer, at de registrerede kan kræve at få udleveret deres personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format, således at de registrerede kan sende disse personoplysninger til en anden dataansvarlig. Det kunne fx være på et USB memory stick. Såvel sletningen som håndteringen af kravet om at udlevere oplysninger kan være en udfordring, hvis man ikke har overblik over de persondata, der er opbevaret i revisionsvirksomheden. Udover at skaffe sig overblik bør man også se på, om der er behov for forretningsgange for at håndtere persondata. I forhold til eksemplet om en jobansøgning, der sendes videre på , kunne man overveje interne retningslinjer for, hvordan jobansøgninger må håndteres i forhold til intern rundsending, printning af kopier og evt. efterfølgende opbevaring. 27

28 Nedenfor er angivet en række punkter, som bør indgå i persondatapolitikken: Hvem er vi? Hvorfor har vi en persondatapolitik? Hvornår og hvordan indsamler vi oplysninger om dig? - etablering af kundeforhold - abonnement på nyhedsbrev Hvilken type information indsamles fra dig? - kun relevant - nødvendig - korrekt Hvad er formålet med indsamlingen? - løsning af kundeopgaver - udsendelse af nyhedsbreve Hvem har adgang til dine oplysninger? - vi videregiver ikke uden samtykke Hvordan kan du få adgang til og opdatere dine oplysninger? - hvad gør du i praksis? - opfyldelse af krav om dataportabilitet Hvordan kan du sørge for, at vi sletter dem? - kontakt os Hvordan opbevarer vi dem? - behandlingssikkerhed Fortrolighed - hvad gør vi for at sikre den? Indsamling af personoplysninger ved brug af cookies - cookiepolitik til opfyldelse af de regler, som gælder (se cookiebekendtgørelsen) Overførsel af dine oplysninger uden for Europa - er det noget, virksomheden gør, og hvordan sikres personens rettigheder i givet fald? Indsamling af oplysninger i henhold til hvidvaskloven - af hvidvaskloven følger en række krav til oplysninger om persondata, der skal gives (se FSR danske revisorers vejledning om hvidvask) 28