Persondataforordning Hvad betyder den nye persondataforordning for din virksomhed? Er du omfattet af ordningen? Alle virksomheder, organisationer og offentlige myndigheder, der behandler personoplysninger, er underlagt den nye persondataforordning. Er du virksomhedsejer (dataansvarlig), håndterer du data for andre virksomheder (databehandler), eller er du ansvarlig for personaleadministration, er det derfor vigtigt, at du er bevidst om, hvilke tiltag, I skal foretage for at efterleve kravene. Det vigtigste for dig og din virksomhed i forhold til persondataforordningens nye ikrafttræden er, at du til hver en tid skal kunne dokumentere brugen af persondata. 1
Det går stærkt.. 2
3
Hvad er formålet med den nye persondataforordning? Grundelementerne i de nye regler i Persondataforordningen er at opnå en mere ensartet anvendelse af reglerne på tværs af Europa, og en effektiv håndhævelse. Den nye forordning skal ligeledes ses som en modernisering af beskyttelsen af behandling af personoplysninger. Der er ved udformningen af forordningen taget hensyn til en række forskellige forhold: Styrkelse af individernes ret til databeskyttelse Understøttelse af det frie data flow Reduktion af administrative byrder for den dataansvarlige Forordningen balancerer altså flere forskellige hensyn. Dataansvarlig: Typisk en virksomhed eller offentlig myndighed, der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Databehandler: Typisk en virksomhed eller offentlig myndighed, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige. I Danmark gælder databeskyttelsesforordningen som hovedregel, hvis Den dataansvarlige myndighed eller virksomhed m.v. er etableret i DK, og Behandlingen af personoplysningerne foregår inden for EU s område 4
Hvad er en personoplysning? Forordningen indeholder en opdeling af personoplysninger i forskellige kategorier. Nogle personoplysninger er almindelige mens andre er følsomme. Personoplysning: Enhver form for information om en identificeret eller identificerbar fysisk person f.eks. kunde eller HR Race, etnisk oprindelse, politisk, religiøs el. filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data mhp. Entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering Straffedomme og lovovertrædelser Væsentlige sociale problemer, andre rent private forhold, økonomi, SKAT, gæld, sygedage, tjenstlige forhold, familieforhold, bolig eksamen, ansøgning, CV, ansættelsesdato, navn, adresse og fødselsdato, Cpr.nr. Følsomme personoplysninger Almindelige personoplysninger Jo højere oppe i trekanten oplysningerne er, desto strengere betingelser for at behandle dem! 5
Hvad er behandlinger af personoplysninger? Der findes i forordningen en række principper som skal følges, hvis virksomheden ønsker at behandle personoplysninger. Det betyder, at personoplysningerne skal behandles Hvis din virksomhed har en hjemmeside, er det også vigtig at du har en persondatapolitik, hvis du bruger programmer som Google Analytics til at tracke dine besøgende efter de har besøgt din hjemmeside. Husk at sørge for, at dine besøgende giver samtykke ved udfyldning af kontaktformularer og nyhedsbreve. Behandling af personoplysninger: Lovligt (f.eks. med samtykke) Oplysningerne må kun behandles til et specifikt og legitimt formål Der må ikke behandles flere oplysninger end nødvendigt Oplysningerne skal være korrekte og opdaterede Oplysningerne må ikke lagres længere end nødvendigt Oplysningerne skal beskyttes via sikkerhedsforanstaltninger iværksat efter en risikovurdering 6
Hvad er behandlinger af personoplysninger fortsat? Registreredes rettigheder De registrerede har en række rettigheder ift. til de personlysninger som behandles - de vigtigste er: Retten til at modtage oplysning om behandling af sine personoplysninger (oplysningspligt) Retten til at få indsigt i sine personoplysninger Retten til at få urigtige personoplysninger berigtiget Retten til at få sine personoplysninger slettet Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring Retten til at tilbagekalde et samtykke Retten til at gøre indsigelse mod automatiske individuelle afgørelser Retten til at flytte sine personoplysninger (Dataportabilitet) Behandling af personlysninger: Indsamling, Registrering, Organisering, Systematisering, Opbevaring, Tilpasning eller ændring, Genfinding, Søgning, Brug, Videregivelse ved transmission, Formidling, eller enhver anden form for overladelse, sammenstilling eller samkøring, Begrænsning, Sletning eller Tilintetgørelse 7
Behandling af personoplysninger fortsat. Det er vigtigt at være opmærksom på, at begrebet behandling dækker over en række forskellige måder at håndtere personoplysninger på. Har man ret til at foretage én bestemt form for databehandling, f.eks. indsamling af oplysninger, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling, f.eks. videregivelse af de samme oplysninger. For at behandlingen af personoplysningerne kan være lovlig, skal der i en række sammenhænge indhentes: Samtykke til behandlingen af de registrerede Samtykket skal være utvetydigt, når de registrerede foretager en bekræftende handling, som tilkendegiver at de registrerede accepterer den pågældende behandling af personoplysningerne til det konkrete formål. Samtykke: Frivillig, specifik, informeret og utvetydig viljetilkendegivelse der bekræfter, at personoplysninger må behandles. Et samtykke kan til enhver tid trækkes tilbage. Der behøver ikke at være tale om et skriftligt samtykke, men den dataansvarlige skal kunne bevise, at der er givet samtykke. Den dataansvarlige er forpligtet til at kunne dokumentere, at samtykket er givet. Hvis der behandles følsomme personoplysninger, skal samtykket være eksplicit (formuleret direkte og åbenlyst så det ikke misforstås). 8
Behandling af personoplysninger fortsat. I praksis vil almindelige persondata, såsom personnavne, adresser og e-mail, give langt det største arbejde i forhold til at efterleve persondatareglerne. Persondata optræder mange steder i en virksomhed, som f.eks.: JOBANSØGERE NYHEDSMAIL KUNDER ANSATTE NETVÆRKSDREV, USB, BÆRBAR, HARDDISKE, MAIL VIRKSOMHED SMARTPHONE, COMPUTERE, TABLETS, MENORYCARDS... LØNBUREAU TREDJEMAND VIDEREGIVELSE AF IT DRIFT KONSULENTER OUTSOURCING EGEN ADVOKAT EGEN REVISOR Det bør fremgå, hvilke formål der er med behandlingen. Samtidig bør man have overblik over, hvad hjemlen er til behandlingen. Hjelmen kan være: Samtykke fra personen Behandlingen sker for at opfylde aftale (f.eks. kundens navn og e-mail At forfølge en berettiget interesse, som virksomheden har og som ikke overstiger hensynet til personen (fx når en virksomhed lægger kontaktoplysninger til medarbejderne ud på hjemmesiden). Det er vigtigt at have overblik over de personoplysninger, som virksomheden behandler. Det kan gøres ved at udarbejde en oversigt 9 over de processer i virksomheden, der involverer personoplysninger.
Data flow/datastrømme Persondataforordningen fastsætter ingen forpligtelse til at udarbejde dataflowanalyser eller datastrømsanalyser. Persondataforordningen fastsætter heller ikke regler for at beskrive data flows/datastrømme. Men det vil være umuligt at efterkomme dokumentationskravene i Persondataforordningen uden et overblik over IT-struktur, herunder identifikation af data behandlere, formål med behandlingen, typer af personoplysninger, datakilder, videregivelse mv. Det er uladsiggørligt at vurdere, hvornår der skal gennemføres en konsekvensanalyse uden et godt overblik over den måde, data bevæger sig i virksomheden, herunder i hvilke sammenhænge og i hvilke processer, den pågældende personlige oplysning indgår. Forudsætningen for at leve op til reglerne og dermed for alt arbejde med persondata er at man har: En tilstrækkelig beskrivelse af personlige oplysningers livscyklus i virksomheden Data flows/dataanalyser skal også forstås som en form for statusopgørelse for persondatabehandlingen Afdækning af data flow/datastrømme er noget af det største arbejde særligt for danske virksomheder uanset om man er dataansvarlig eller databehandler. 10
Data flows/datastrømme fortsat.. Eksempel på data flow ift. jobansøgninger: En virksomhed annoncerer efter medarbejdere til en ledig stilling. Saga Lauritsen vil sende en ansøgning. Hun udarbejder en ansøgning, hvori hun beskriver sig selv, sin uddannelse, kompetence og erfaring, bopæl, og hun er medlem af fagforeningen HK. Hun skriver også, at hun er gift med Lise og at hendes fritidsinteresse er karate. Ansøgningen indeholder altså en lang række personlige oplysninger og person følsomme oplysninger om Saga Lauritsen. Den kæde af behandlinger, som personoplysningerne udsættes for enten samlet eller hver for sig er hver især en selvstændig behandling, som kræver selvstændig lovhjemmel. Og databeskyttelsen skal være effektiv i alle led i kæden. En forenklet oversigt over de behandlinger, som ansøgningen udsættes for, kan være følgende: Du indsamler personoplysningerne når Saga sender ansøgningen Du lægger ansøgningen i en fysisk mappe på kontoret Du scanner ansøgningen og gemmer den i din mailboks Du sender ansøgningen med en mail til evt. ansatte/leder i virksomheden Ansatte/Leder gemmer mail med ansøgning i sin mailboks Du sender en mødeindkaldelse til Saga via din mailboks Du indhenter evt. referencer fra tidligere arbejdsgiver Du printer ansøgningen til brug for en evt. jobsamtale Efter jobsamtalen smider du ansøgningen i papirkurven 11 Du sender afslag til Saga via mail Du arkiverer afslag i din mailboks Herefter sletter du og øvrige ansatte som ligger inde med ansøgningen
Databehandler aftale Når den dataansvarlige overlader hele eller dele af behandlingen af personoplysninger til eksterne leverandører og samarbejdspartnere, skal der indgås en databehandleraftale, dvs. har man hovedrollen, så er man dataansvarlig, eller har man en birolle, så er man databehandler. Databehandleren må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Krav om skriftlig kontrakt med databehandler Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale herom imellem den dataansvarlige og databehandleren (en såkaldt databehandleraftale). Af databehandleraftalerne skal det fremgå, hvilke personoplysninger aftalen dækker. Databehandleraftale Dataansvarlig kan vælge at overlade det til en anden at udføre den praktiske behandling af personoplysninger på den dataansvarliges vegne Databehandler kan være en (fysisk) person En virksomhed En offentlig myndighed Databehandleren må ikke bruge oplysningerne til andet end udførelsen af opgaven for den dataansvarlige 12
Databehandler aftale fortsat. Indholdet af den skriftlige aftale (databehandleraftale) Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal træffe forskellige tekniske og organisatoriske sikkerhedsforanstaltninger. Disse sikkerhedsforanstaltninger skal sikre mod, at oplysningerne: Hændeligt eller ulovligt tilintetgøres Fortabes eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller I øvrigt behandles i strid med lov om behandling af personoplysninger Databehandleraftalen skal fastsætte: Genstanden for behandlingen Behandlingens karakter og formål Typen af personoplysninger Kategorierne af registrerede Dataansvarliges forpligtelser og rettigheder 13
Behandling af fratrådt medarbejders e-mailkonto: Hvis der ikke er aftalt andet, gælder følgende ifølge Datatilsynet: Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e- mailkontoen kun holdes aktiv i en periode, der er så kort som muligt. Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. Snarest muligt efter medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto, sættes et autosvar på e-mailkontoen med besked om medarbejderens fratræden og eventuel anden relevant information. Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejders e- mailkonto og informere medarbejderne herom. Persondataloven giver ikke en arbejdsgiver lov til at tilsidesætte straffelovens regler om brevhemmelighed mv. Den aktive e-mailkonto benyttes kun: Til modtagelse af e-mails Modtages der private e-mails, kan e-mailkontoen dog benyttes til videre sendelse af disse til den fratrådte medarbejders private e-mailkonto Oplysninger om den personlige e-mailadresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentlige tilgængelige informationssteder Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e- mailkonto. 14
Ved sikkerhedsbrud (anmeldelse til Datatilsynet kan ske trinvis) Den dataansvarlige skal underrette den registrerede, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Underretningen skal gives i et klart og forståeligt sprog, beskrive karakteren af bruddet og anmeldelsen mindst indeholder oplysninger om: Navn på og kontaktoplysninger for databeskyttelsesrådgiveren De sandsynlige konsekvenser af bruddet på persondatasikkerheden De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder begrænse dets mulige skadevirkninger Det er ikke nødvendigt at underrette den registrerede, hvis én af følgende betingelser er opfyldt: Dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger Dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke længere er reel Det vil kræve en uforholdsmæssigt indsats i så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, 15 hvorved de registrerede underrettes på en tilsvarende effektiv måde. Sikkerhedsbrud: Anmelde bruddet uden unødig forsinkelse og om muligt indenfor 72 timer via virk.dk Databehandler skal underrette den dataansvarlige om et brud uden unødig forsinkelse Dataansvarlige skal dokumentere alle brud, faktiske omstændigheder, konsekvenser og trufne afhjælpende foranstaltninger Datatilsynet kan kræve, at der sker underretning af de registrerede