6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Relaterede dokumenter
Bliv klar til Persondataforordningen

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Det skal du have styr pa inden 2018

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Persondataforordningen. Henrik Aslund Pedersen Partner

Overblik over persondataforordningen

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Er I klar til den nye persondataforordning?

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Regler om persondata Koordinatormøde den 28. nov. 2017

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Plesner Certifikat i Persondataret

Aftale vedrørende fælles dataansvar

GML-HR A/S CVR-nr.:

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Vi passer på dine persondata

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Side 2 af 15

BIG DATA OG PERSONDATABESKYTTELSE

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondataforordningen...den nye erklæringsstandard

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

BILAG 5 DATABEHANDLERAFTALE

! Databehandleraftale

Europaudvalget EUU Alm.del EU Note 27 Offentligt

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:


2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

Databehandleraftale e-studio.dk Side 1 af 6

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondataforordningen og offentlige organisationer

Er du klar til den nye Persondataforordning?

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Tjekliste til databehandleraftaler

BILAG 14: DATABEHANDLERAFTALE

Behandling af personoplysninger

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Persondatalovens dokumentationskrav

Tønder Kommune BILAG 10

Persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Persondataforordningen

DATABEHANDLERAFTALE [LEVERANDØR]

Persondatapolitik. Behandling af oplysninger Leasing Fyn behandler ikke personfølsomme oplysninger.

PERSONDATAREGLERNE MOCH STANDARDKURSUS. Persondata reglerne ET KURSUS OM BEHANDLING AF PERSONOPLYSNINGER

ORDINÆR GENERALFORSAMLING I H. LUNDBECK A/S - HÅNDTERING AF PERSONOPLYSNINGER

Standardvilkår. Databehandleraftale

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Wæde Consult ApS er dataansvarlig, og vi sikrer, at dine Persondata behandles i overensstemmelse med lovgivningen.

Ny persondataforordning

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Fortrolighedspolitik B&V SpetsCom. Pr Præambel

Persondatapolitik til ansøgere og rekruttering

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Generelt om persondata og EU s persondataforordning

Lector ApS CVR-nr.:

1. INDSAMLING AF PERSONOPLYSNINGERNE

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Kong Frederik den Syvendes Stiftelse paa Jægerspris

Introduktion til persondataforordning

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Rigsarkivets konference 2. november 2016

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Selskabet, som er ansvarlig for håndteringen af dine personoplysninger er:

PERSONDATAPOLITIK (EKSTERN)

Politikken skal opfylde kravene til oplysning om behandling af personoplysninger i EU s Forordning om beskyttelse af

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

PERSONDATA & PERSONDATAORDBOG

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

opfylde vores kontraktuelle forpligtelser over for dig, samt at

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

Transkript:

HR Dokumenter Forlaget Andersen A/S 6.1 Introduktion Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab jej@lett.dk Indhold Denne artikel har følgende 1. Indledning 2. Persondataloven gældende regler 3. Persondata EU-forordningen (nye regler per 25. maj 2018) 1. Indledning I dette kapitel findes en række af de dokumenter, der vil være relevante at implementere i en virksomheds HR, hvis reglerne om persondata skal overholdes, herunder de nye regler, der træder i kraft 25. maj 2018. Dokumenterne er eksempler og omfattet af særlige lovregler og må ikke benyttes uden forudgående juridisk rådgivning. Vidste du, at: Per 25. maj 2018 træder nye regler i kraft, som på en række områder vil stille høje krav til alle virksomheder og deres håndtering af personoplysninger, herunder om medarbejderne og deres data og vil indebære potentielt høje bøder, hvis reglerne ikke er overholdt? 2. Persondataloven gældende regler Persondataloven indeholder i dag en række krav til virksomhedernes behandling af persondata, herunder medarbejdernes persondata. Når en virksomhed eller offentlig myndighed indsamler og registrerer data om fysiske personer, herunder om ansatte eller kunder, er dette således reguleret af en række regler i persondataloven. I korte træk stiller persondataloven først og fremmest krav om, at alle persondata behandles i overensstemmelse med god databehandlingsskik, dvs. at virksomheden ikke må gå længere i behandlingen af persondata end relevant og nødvendigt for at varetage berettigede hensyn. Derudover indeholder persondataloven en række specielle regler for forskellige kategorier af oplysninger (følsomme oplysninger, semifølsomme oplysninger, CPR-oplysninger og almindelige personoplysninger). Kapitel 6.1. Side 1/8. Oktober 2016

For hver type af oplysninger gælder der særlige krav til behandling af oplysningerne ( hjemmelsgrundlag ). Persondatalovens behandlingsregler kan kort illustreres som følger: De forskellige hjemmelsgrundlag kan yderligere illustreres som følger: I tillæg til ovennævnte indeholder persondataloven en række krav til datasikkerhed og anmeldelse af personaleadministrationen i en virksomhed samt regler omkring videregivelse af persondata. Videregivelse til udlandet og lande uden for EU er underlagt særlige regler og krav. Reglerne indebærer også krav om indgåelse af fx databehandleraftaler, hvis en virksomhed benytter sig databehandlere (fx en ekstern lønadministrator eller HR-administrator). I tillæg hertil kommer en række rettigheder for de registrerede, som skal iagttages over for medarbejderne. De områder, hvor virksomhederne kommer i kontakt med persondatareglerne, er i den almindelige personaleadministration (altså behandling af oplysninger om medarbejderne, herunder brug af helbredsoplysninger og billeder), ved behandling af kundedata, herunder i markedsføringsøjemed, iværksættelse af forskellige kontroller af medarbejderne, herunder gennemgang af IT- og e-mails, TVovervågning, og i produktudvikling, herunder udviklingen af apps, brug af cloudløsninger mv. Kapitel 6.1. Side 2/8. Oktober 2016

En virksomhed bør altid undersøge, om den opfylder kravene til behandling af persondata, herunder om der er sket fornødne anmeldelser til Datatilsynet. En virksomhed vil typisk have behov for at anmelde sin personaleadministration samt whistleblowerordning (hvis den har en sådan). Andre områder, hvor en virksomhed eller en offentlig myndighed skal have fokus på overholdelse af persondatalovens regler, er ved overførsel af persondata til EU eller andre lande og til lønadministratorer mv., virksomhedsoverdragelser og anden overførsel af medarbejdere og data. I tillæg til reglerne i persondataloven gælder en del anden lovgivning, der også regulerer behandlingen af medarbejderdata. Disse andre regler omfatter især helbredsoplysningsloven, der blandt andet faststår, at det kun er berettiget for arbejdsgiveren at anmode medarbejderen om helbredsoplysninger, hvis det har væsentlig betydning for medarbejderens udførelsen af det pågældende arbejde. Dertil kommer fx TV-overvågningsloven, der sætter grænser for virksomhedernes brug af TV-overvågning, samt straffeloven, der blandt andet indeholder regler, der værner privatlivets fred og bestemmer, at en arbejdsgiver ikke uberettiget må gennemgå medarbejderens private e- mails og sms er eller tilsvarende privat kommunikation uden samtykke. De almindelige arbejdsretlige regler opstiller også visse betingelser for iværksættelse af såkaldte kontrolforanstaltninger, fx visitationer og drugtest, iværksættelse af e-mail og internetpolitik, alkoholpolitik mv. I nedennævnte dokumenter findes oplæg til de mest anvendte dokumenter til opfyldelse af kravene i persondataloven, nemlig Persondatameddelelse Samtykkeerklæring Persondatapolitik 3. Persondata EUforordningen (nye regler per 25. maj 2018) Processen med forberedelse til den nye persondataforordning kan illustreres som følger: Kapitel 6.1. Side 3/8. Oktober 2016

Den 15. december 2015 blev EU-Parlamentet, Rådet og EU- Kommissionen efter næsten fire års forhandlinger enige om en persondataforordning, der træder i kraft i Danmark den 25. maj 2018. Forordningen medfører væsentlige ændringer på det persondataretlige område, hvilket kommer til at påvirke alle danske virksomheder og offentlige myndigheder. Der er blandt andet tale om en væsentlig forhøjelse af bødeniveauet for overtrædelse af persondataforordningen, som for virksomheder svarer til op til 4 % af den globale årlige koncernomsætning. Den nye persondataforordning indfører også en række ændringer og nyskabelser i forhold til den gældende persondatalov, som virksomheder og offentlige myndigheder skal blive fortrolige med og indrette sig på. Nedenfor er nævnt de væsentligste nyskabelser i persondataforordningen: Væsentligt højere bøder Der kan for virksomheder udstedes bøder på op til 4 % af den globale årlige koncernomsætning og for øvrige op til 20.000.000 euro. Underretningspligt Der skal ved brud på datasikkerheden ske underretning til tilsynsmyndighederne inden for 72 timer og i visse tilfælde til de berørte personer. Data Protection Officer Offentlige myndigheder og private virksomheder, hvis kerneaktiviteter er behandling af persondata, eller som behandler følsomme personoplysninger i et større omfang (fx helbredsoplysninger), skal udpege en Data Protection Officer (DPO). Den person, der udpeges som DPO, skal have en særlig viden om persondatabeskyttelse og sikre, at forordningens regler overholdes i virksomhedens/myndighedens daglige drift. Skærpede dokumentationskrav Virksomheder og offentlige myndigheder skal kunne dokumentere, at de overholder forordningens regler. Betingelser for samtykke Et samtykke skal være frivilligt, specifikt, informeret og udtrykkeligt. Kravet om frivillighed betyder blandt andet, at der ved salg af varer eller serviceydelser ikke almindeligvis må stilles krav om samtykke til, at personoplysninger kan bruges til markedsføringsøjemed. Kapitel 6.1. Side 4/8. Oktober 2016

Privacy by design og Privacy by default Persondatabeskyttelse skal indbygges i produkter, services, forretningsprocesser osv. fra udviklingsstadiet, og der vil blive stillet krav om, at de mest restriktive privatlivsbeskyttende indstillinger automatisk skal gælde, når en kunde køber et nyt produkt eller en service, fx opretter sig som bruger på sociale medier eller downloader apps. Styrkelse af personers rettigheder Registrerede personer skal have mere information om, hvordan deres personoplysninger behandles. Informationen skal være tilgængelig på en klar og forståelig måde, og begæringer fra personer om indsigt i, hvilke personoplysninger en virksomhed eller den offentlige myndighed behandler eller opbevarer om dem, skal almindeligvis besvares uden ugrundet ophold og senest inden for en måned uden omkostninger for personen. Personers ret til at blive glemt De nugældende regler om sletning af data bliver præciseret, så det bliver lettere for personer at få slettet oplysninger, som ikke længere er nødvendige for virksomheder eller offentlige myndigheder at behandle også hvis oplysningerne har været offentliggjort. Dataportabilitet Personer skal have lettere ved at overføre deres personoplysninger fra én serviceudbyder til en anden. Den dataansvarlige pålægges i visse tilfælde en pligt til at overføre oplysninger om en person til vedkommende selv eller til en anden serviceudbyder. Oplysningerne skal desuden gives i et format, der gør det let for personen selv at overføre oplysningerne til en anden serviceudbyder. Særlig beskyttelse af mindreårige Behandling af oplysninger om personer under 16 år vil for fremtiden kræve forældresamtykke. Forordningen giver medlemsstaterne mulighed for at sænke alderskriteriet, således at samtykkekravet alene gælder personer under 13 år. One-stop-shop For koncerner med selskaber i flere EU-lande indføres en ny one-stop-shop. Dette betyder, at virksomheden alene skal have kontakt til én tilsynsmyndighed for så vidt angår alle virksomhedens koncernselskaber i EU og ikke, som det er tilfældet i dag, skal forholde sig til tilsynsmyndighederne i alle de lande, hvor virksomheden har etableret koncernselskaber. Kapitel 6.1. Side 5/8. Oktober 2016

På nævnte baggrund kan der opstilles fire konkrete tiltag, som virksomhederne bør iværksætte for at forberede sig på persondataforordningen. 1. Få overblik over virksomhedens data Først bør det kortlægges, hvilke personoplysninger der behandles i virksomhedens eller den offentlige myndigheds organisation. Det kan lyde som en forholdsvis simpel opgave, men al erfaring viser, at opgaven som oftest er særdeles kompleks og meget tidskrævende, da der i kortlægningsprocessen er behov for input fra mange forskellige interessenter i hele organisationen. Kortlægningen bør have som mål at give det fulde overblik over: Hvilke typer af personoplysninger der indsamles Hvorfra oplysningerne indsamles Hvordan oplysningerne indsamles Om oplysningerne videregives og til hvem Hvor og hvordan oplysningerne er gemt og sikret Hvordan oplysningerne bruges (herunder mulige fremtidige formål) Hvornår og hvordan oplysningerne vil blive slettet Da kortlægningen af organisationens indsamling og behandling af data danner grundlaget for at kunne iværksætte de korrekte foranstaltninger til overholdelse af forordningens regler, er det vigtigt, at kortlægningen bliver korrekt. Det betyder, at der bør afsættes god tid til kortlægningsprocessen, fordi denne vil kræve, at der stilles masser af spørgsmål til mange forskellige personer på tværs af hele organisationen, og at man gennem hele processen har for øje, at der er overensstemmelse mellem de svar, man får. Det kan anbefales, at virksomheden som en del af kortlægningsprocessen opbygger et såkaldt data map på baggrund af de oplysninger, der er blevet indsamlet. Dette data map bør opdateres regelmæssigt og mindst en til to gange om året. Et væsentligt punkt i kortlægningsprocessen vil være en kortlægning af de data, virksomheden indsamler og behandler omkring egne medarbejdere. Kapitel 6.1. Side 6/8. Oktober 2016

2. Få overblik over egne leverandører (databehandlere) Virksomheden er ikke kun ansvarlig for den behandling af personoplysninger, der foretages internt i organisationen, men også for den behandling, der sker hos eksterne leverandører (databehandlere, fx en lønadministrator). Reglerne i den nye persondataforordning medfører, at den dataansvarlige (typisk arbejdsgiveren) og databehandleren (typisk fx en lønadministrator) hæfter solidarisk over for de personer, der har lidt skade ved overtrædelse af forordningen. Derfor er det vigtigt, at virksomheden i forlængelse af datakortlægningsprocessen foretager en minutiøs gennemgang af, hvilke leverandører der er indgået aftaler med om behandling af personoplysninger i hele organisationen, fx cloudleverandører, outsourcing eller leverandører af internetbaserede personaleadministrationsværktøjer mv. Når virksomheden har fået et overblik over organisationens brug af databehandlere, bør kontrakterne med disse leverandører gennemgås med henblik på at identificere, om de pågældende aftaler lever op til de skærpede krav i forordningen. Når dette er afklaret, kan det være nødvendigt at igangsætte en genforhandlingsproces med visse leverandører, så det sikres, at kontrakten tager højde for de nye krav, som persondataforordningen indebærer, og dermed mindsker organisationens risikoeksponering ved brug af databehandlere. 3. Få overblik over egen dokumentation De skærpede dokumentationskrav i persondataforordningen betyder, at det blandt andet skal dokumenteres, hvorledes en række grundlæggende principper i forordningen er overholdt. Dette stiller væsentligt større krav til udarbejdelse af dokumentationen for forretningsprocesser, forretningsgange mv., end vi kender i dag. Det er derfor vigtigt at danne sig et overblik over, hvilken dokumentation der allerede findes i organisationen i dag, og om den er tilstrækkelig, eller om der eventuelt er behov for yderligere dokumentation på forskellige områder i organisationen. Er fx IT-sikkerheden blevet gennemgået og dokumenteret? Er der udarbejdet en beskrivelse for håndtering af eventuelle sikkerhedsbrister? Findes der en generel beskrivelse af organisationens sikring af de registreredes rettigheder, fx procesbeskrivelser for håndtering af indsigtsanmodninger, anmodninger om sletning eller berigtigelse fra de registrerede mv.? Kapitel 6.1. Side 7/8. Oktober 2016

4. Hvilke ændringer i persondataforordningen har størst betydning for virksomheden? Persondataforordningen indeholder mange krav, som i større eller mindre grad vil påvirke alle virksomheder og offentlige myndigheder i Danmark og resten af EU. Det er derfor vigtigt, at virksomheden får identificeret de områder, som har størst betydning for netop denne virksomhed. Dernæst kan virksomheden fokusere på at få sikret de områder, som har størst forretningsmæssig betydning og/eller medfører den største risikoeksponering. De indledende analyser, der er blevet udarbejdet for så vidt angår data, leverandører og dokumentation, vil kunne danne grundlag for at belyse, på hvilke områder virksomheden har den største risikoeksponering i forhold til den nye persondataforordning. Det er i denne proces også vigtigt at have for øje, hvordan de nyskabelser, forordningen medfører, kan påvirke salget af organisationens produkter, og om der tages specielle forholdsregler for at tilpasse produkterne og databehandlingen til de nye regler. Om forfatteren: Jeppe Høyer Jørgensen Hovedredaktør Jeppe Høyer Jørgensen er Partner hos LETT og er en af de førende specialister inden for arbejds- og ansættelsesret. Han har skrevet en række af de mest betydningsfulde bøger indenfor området ansættelsesret samt er en ofte anvendt foredragsholder og underviser på en række kurser indenfor området. Ligeledes har han lang erfaring i at rådgive multinationale og nationale virksomheder om alle problemstillinger inden for arbejds- og ansættelsesret; herunder om større omstruktureringer og transaktioner. Jeppe Høyer Jørgensen er desuden en del af LETTs persondatacompliance team. Kapitel 6.1. Side 8/8. Oktober 2016

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback