Persondata
Alle virksomheder skal forholde sig til persondata. Nye regler træder i kraft på området 25. maj 2018. Vi giver et kort overblik over, hvad du som mindre virksomhed skal lave.
Forskel på virksomheder
Nogle virksomheder registrerer masser af data. Det kan fx være Facebook, udlejningsvirksomheder, advokater, revisorer, bogholdere, banker mv. Og andre virksomheder er ikke i besiddelse af data, fx en bager hvor kunderne kommer ind fra gaden, og man aldrig hører deres navn eller andet. De to typer virksomheder skal reagere helt forskelligt på kravene til persondata, som skal tilpasses den enkeltes forhold. Vi tager udgangspunkt i en mindre virksomhed, som indsamler data om både kunder og medarbejdere:
Persondatapolitik
Alle virksomheder, som behandler persondata, skal have en politik for, hvordan de behandler persondata. Den kan fx omfatte sikringspolitik, slettepolitik, hvordan man sikrer den registreredes rettigheder, hvordan man orienterer datatilsynet ved brud på sikkerheden osv.
Fortegnelse
Stort set alle virksomheder skal have en fortegnelse over de databehandlinger der sker i virksomheden. Denne kaldes en databehandlingsfortegnelse. Der findes mange leverandører af systemer som tilbyder dette, og den kan også laves i regneark eller tekstbehandling eller andet. Fortegnelse skal indeholde navn på og kontaktoplysninger for den dataansvarlige, formålene med behandlingen, beskrivelse af kategorierne af registrerede personer, og kategorierne af personoplysninger, kategorier af modtagere som personoplysningerne bliver videregivet til, angivelse af overførselssted hvis data videregives udenfor EU, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger og en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.
Databehandleraftale
Der skal være skriftlige (kan herunder være elektroniske) aftaler, med de virksomheder som behandler personoplysninger på vegne af din virksomhed. Det kunne fx være Economic eller Dataløn.
Risikovurdering
Der skal være en vurdering af risikoen ifm. persondata. Hvis der høj risiko ifm. behandlingsaktiviteterne, skal der være handlingsplaner på området.
Samtykke
Der skal være en række samtykker, hvor den registrerede (fx en kunde eller medarbejder), giver lov til at data indsamles og behandles. Det gælder fx samtykke til nyhedsbreve, lov til at bruge medarbejderbillede på hjemmesiden eller virksomhedens LinkedInprofil, lov til at indsamle oplysninger om straffeforhold ved ansættelse, osv.
Oplysning
Der skal ske oplysning til fx medarbejdere om indsamling og behandling af data, fx sporing via GPS i virksomhedens biler, emailsystemer ved fratrædelse, medarbejderens rettigheder mv.
Privatlivspolitik/cookiepolitik
Hvis din virksomhed har en hjemmeside der anvender cookies, eller som behandler persondata via hjemmesiden (fx kunden skal indtaste sine personoplysninger), skal der være en privatlivspolitik/cookiepolitik som redegør for behandlingen, den registreredes rettigheder osv. Denne kan typisk ligge på hjemmesiden.
Vil du læse mere?
Dette link bringer dig ind på Datatilsynest hjemmeside, hvor du kan finde yderligere vejledning:
https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/
I skrivende stund er flere af tilsynets detaljerede vejledninger forsinket.
Du kan også hente denne vejledning i pdf.format på 20 sider som fortæller om de nye regler
Afslutning
Alt dette virker overvældende, især hvis man er en mindre virksomhed. Det skal principielt være på plads den 25. maj 2018, og der er givet mulighed for større bøder, hvis reglerne ikke overholdes.
Kontakt mig, hvis du vil høre mere.
Med venlig hilsen
Henrik Eriksen
Registreret revisor