10 ting du skal vide om persondataforordningen

Persondataforordningen (EU GDPR) har til formål at sikre borgernes data, men den kan blive en udfordring for mange virksomheder. Vi har fundet 10 punkter man skal være opmærksom på, for at efterleve forordningens krav.

Her er 10 vigtige ting, I skal vide om persondataforordningen:

  1. Forordningen træder i kraft d. 25. maj 2018 – en vigtig dato at huske, for når først forordningen bliver til lov, skal alle virksomheder og organisationer overholde alle de nye, såvel som de eksisterende tiltag.
  2. Dokumentation er nøglen til efterlevelse af persondataforordningen. Det er ikke nok, at I har styr på al jeres data, hvis ikke I kan dokumentere det.
  3. Selvom din virksomhed ikke ligger i EU, men kun handler med EU-lande, skal I stadig overholde forordningen. Derfor påvirker den nye lovgivning alle, der ønsker at handle med EU.
  4. Arbejder I med behandling af data for børn under 16 år? Så skal I være opmærksomme på de skærpede regler. Hvis ikke der er en anden hjemmel der dækker, skal I have forældrenes samtykke.
  5. Nogle virksomheder skal udpege en databeskyttelsesrådgiver også kaldet en DPO (Data Protection Officer). Denne regel gælder blandt andet offentlige myndigheder og virksomheder, som har behandling af personoplysninger som en primær del af forretningen (e.g. plejehjem, etc.).
  6. Virksomhedens dataansvarlige har til opgave at anmelde alle brud på persondatasikkerheden inden for de første 72 timer, også selvom behandlingen udføres af tredje part.
  7. Hvis din virksomhed opbevarer eller får behandlet persondata hos 3.part, skal der laves en databehandleraftale, der beskriver krav til sikkerhed, begrænsninger af behandlingen, men også forventninger til  behandlingen.
  8. Alle registrerede personer har “retten til at blive glemt”, hvilket betyder at de til enhver tid har ret til, at få slettet deres data, hvis ikke der er en lovhjemmel, der siger det modsatte; forvaltningslov, arkivlov, revision, etc.
  9. Brud på persondataforordningen medfører et bødekrav på op til 4% af organisationens årlige globale omsætning eller op til 20 millioner euro, alt afhængig af hvilket beløb, der er størst.
  10. Bødekravet gælder også offentlige institutioner og virksomheder. 

Er I i tvivl om, hvad persondata er?

Ifølge persondatalovens paragraf 3, er: ”Personoplysninger er ‘enhver form for information om en identificeret eller identificerbar fysisk person”.

Alle personoplysninger indgår i følgende fire kategorier:

  • Almindelige personoplysninger: Navn, køn, alder, adresse, telefonnummer, email, mm. Oplysninger, som ikke er direkte følsomme, men som kan identificere en person, og dermed sammenholde denne med ellers følsomme personoplysninger.
  • Følsomme personoplysninger: Religion, race, helbred, seksualitet, politisk overbevisning, mm. Ikke desto mindre, er det oplysninger, som skal behandles på lige fod med alle andre følsomme oplysninger.
  • Personoplysninger af rent privat karakter: Strafbare forhold, sociale problemer, familiestridigheder, adoptionsforhold, personlighedstest, mm.
  • CPR-numre: Selv om CPR-oplysninger per definition ikke er en følsom personoplysning, skal vi stadig behandle dem med forsigtighed; Som offentlig myndighed må man behandle CPR-numre for at identificere en person entydig eller som journalnummer. Her gælder det som altid, at vi skal have en faglig grund til at gøre det.

Gemmer der sig persondata i jeres mails?

I skal også være opmærksomme på at persondata kan forekomme steder, hvor I måske ikke tror at det har betydning, for eksempel i forbindelse med emails. Et fornavn på en kunde er ikke en følsom personoplysning, men det er et fornavn i forbindelse med et telefonnummer, en adresse eller noget tredje. Derfor kan der også gemme sig personoplysninger i virksomhedens interne mails, dette skal også dokumenteres og der skal laves procedurer for sletning/arkivering.

Det kan være en god idé at læse Datatilsynets vejledninger, for at blive klogere på persondataforordningens paragraffer og hvordan de skal tolkes.

Vil I gerne være klogere på, hvordan I efterlever persondataforordningen? Så kontakt os i dag – vi laver gerne en demo for jer.

Vil du gerne vide mere, så læs vores blogindlæg “Persondataforordningen: er din organisation klar til 2018?”