Få svarene på populære spørgsmål

Databeskyttelsesloven er en samling af regler. De er specifikke for Danmark på områder, hvor GDPR tillader enkelte EU-stater at lave særlige supplerende regler.

Databeskyttelsesforordningen er blot et andet ord for GDPR (General Data Protection Regulation).

I 1990 fremsatte EF-Kommissionen (i dag EU-Kommissionen) et lovforslag til et EU-direktiv om at beskytte personoplysninger og sikre en fri udveksling af oplysninger i EU. Formålet var at ensrette beskyttelsen af alle EU-borgeres rettigheder, når deres personoplysninger blev behandlet – og ikke mindst at sikre en fri udveksling af personoplysninger mellem alle EU-medlemslandene.

EU-direktivet blev vedtaget den 24. juli 1995 og trådte i kraft i Danmark som Persondataloven den 1. juli 2000. Persondataloven blev i 2018 erstattet af GDPR og Databeskyttelsesloven.

Alle juridiske enheder. Det vil sige, at virksomheder og foreninger skal overholde GDPR, samt privatpersoner som behandler personoplysninger hvor det ikke er som led  i rent personlige eller familiemæssige aktiviteter.

Ja. Selvom du ikke har medarbejdere, vil du stadig behandle, opbevare og indsamle oplysninger, der kan knyttes til en person. Det kan være kontaktoplysninger på dine kunder eller samarbejdspartnere – eller IP-adresse på folk der besøger din hjemmeside.

Derfor er du underlagt principperne i lovgivningen og kravene til dokumentation, databehandleraftaler, risikovurderinger m.m. på lige fod med alle andre virksomheder.

Nej. GDPR gælder for alle virksomheder, der har oplysninger, som kan henføres til personer. F.eks. kontaktoplysninger på kunder eller billeder af medarbejdere.

Det er svært at sige, hvor meget det koster at implementere GDPR. Det er vores erfaring, at der typisk indledningsvist skal bruges en del interne ressourcer på oprydning i gamle arkiver, filstrukturer og systemer med persondata.

Derudover sætter mange virksomheder et beløb af til ekstern hjælp eller uddannelse af medarbejdere indenfor GDPR. Det er også vigtigt at budgettere med, at GDPR-implementeringen skal vedligeholdes.

For at implementere GDPR starter du med at få et overblik over de processer i din virksomhed, hvor du behandler personoplysninger. Dette inkluderer personoplysninger på f.eks. kunder, patienter, medarbejdere, bestyrelsesmedlemmer, tidligere medarbejdere, jobansøgere, besøgende på din hjemmeside, besøgende på sociale medier, leverandører, samarbejdspartnere, debitorer, kreditorer, personer der færdes i videoovervågede områder m.v.

Oplysninger om behandlingen af personoplysninger hældes ind i en fortegnelse (se ”Hvad er en artikel 30 fortegnelse”).

Derefter skal der laves risikovurderinger på processernes (se ”Hvad er en risikovurdering”).

Personoplysninger der er indsamlet til et formål, må kun benyttes til det specifikke formål og ikke viderebehandles til andre formål. Et eksempel er, at hvis du har indsamlet din kundes e-mail for at kunne sende dem en faktura, må du ikke pludselig begynde at sende dem invitationer til firmaarrangementer.

Behandling af persondata skal være rimelig, hvilket er mere end bare at overholde loven. En databehandling kan godt være lovlig, men samtidig urimelig, hvilket i sidste ende vurderes af tilsynsmyndigheden på baggrund af den gældende gængse opfattelse i samfundet. Ofte er der tale om sund fornuft.

Princippet om gennemsigtighed betyder helt grundlæggende, at virksomheden skal kunne vise, hvordan de behandler personoplysninger, så de registrerede, ikke er i tvivl. Gennemsigtighed opnås via oplysningspligten.

Se ”Hvordan overholder vi oplysningspligten?”

Vi har pligt til at minimere den data, som vi indsamler og behandler om de registrerede. Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

Et eksempel for en virksomhed der sælger køleskabe. For at
levere et køleskab til en kunde skal vi kende:

• Kundens navn –  så vi ved, hvem de er i tilfælde af, at de ikke betaler.
• Kundens adresse – så vi ved, hvor vi skal sende varen hen.
• Kundens e-mail – så vi kan sende en faktura.
• Kundens telefonnummer – så fragtmanden kan ringe 30 min. før, at han ankommer.

Alle disse oplysninger vil betragtes som relevante og nødvendige i relation til formålet – at levere et køleskab. Derimod vil det ikke være relevant at registrere, om kunden bor i hus eller lejlighed, er mand eller kvinde etc. Så for at registrere disse typer af oplysninger skal der defineres et andet formål end ”Levering af ordre”, og der skal findes en lovlig hjemmel.

Vi har pligt til at tage ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«). I praksis vil det betyde, for de fleste virksomheder, at hvis en medarbejder bliver bekendt med, at f.eks. efternavnet på en kontaktperson har ændret sig, skal dette rettes i systemet hvor kunders kontaktoplysninger er registreret.

Der er ingen konkrete retningslinjer i lovgivningen omkring opbevaringsperioder på personoplysninger. Der er dog krav om, at personoplysninger ikke opbevares længere, end det er nødvendigt for det formål, de er indsamlet til. Og at virksomheden tager stilling til og nedskriver de sletterutiner eller slettekriterier, der er for persondata. Hvornår det giver mening at slette personoplysninger kan variere fra virksomhed til virksomhed og fra afdeling til afdeling. Sletterutiner eller slettekriterier skal angives i virksomhedens artikel 30 fortegnelse.

Se ”Hvad er en artikel 30 fortegnelse”.

Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse – under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

Hvad der kan betragtes som passende tekniske og organisatoriske foranstaltninger skal i teorien afgøres ved at lave en risikovurdering.

Se ”Hvad er en risikovurdering”.

Helt lavpraktisk anbefaler vi, at virksomheden følger best pratices på informationssikkerhedsområdet.
Herunder bl.a.:

• Begrænse adgang til personoplysninger så meget som muligt, både fysiske dokumenter med personoplysninger og oplysninger i systemer/på filservere m.v.
• Sikre it-miljøet mod angreb ved bl.a. at implementere firewalls, antivirus-systemer og opdatere styresystemer applikationer.
• Implementere krav om stærke password og/eller to faktor authendication.
• Awareness-træne medarbejderne i god it-sikkerhed og hvad de skal gøre, hvis de oplever et brud på sikkerheden.
• Backup og restoretest af databaser og systemer med personoplysninger.

Datatilsynet har lavet en meget udførlig beskrivelse af deres position i forhold til anvendelse af Google Analytics, som kan læses her:

Datatilsynet – Google Analytics

Et brud på GDPR kan være mange ting. Det kan være, hvis virksomheden ikke overholder de grundlæggende principper eller kan påvise, at de overholdes. F.eks. at der opbevares en masse personoplysninger, som der er ikke nødvendige. Eller hvis der sendes nyhedsbreve uden samtykke. Det kan være, hvis der ikke er indgået de nødvendige databehandleraftaler eller at sikkerhedsbrud, der bør indberettes, ikke bliver indberettet til Datatilsynet.

Nej ikke nødvendigvis. Det beror sig på en konkret vurdering, men som udgangspunkt skal personoplysninger ikke være tilgængelige overfor uvedkommende. Derfor anbefales det altid, at ansættelseskontrakter, lønbilag og andet ansættelsesrelateret låses inde, når det ikke er under opsyn af relevante medarbejdere.

Der må gerne ligge en telefonliste i receptionen, så receptionisten kan finde relevante kontaktoplysninger på medarbejdere i huset, men den skal placeres således, at den ikke kan ses, når gæster står og venter på at blive modtaget.

Det er et meget bredt spørgsmål, men helt grundlæggende undgår man bøder ved at overholde de overordnede principper i GDPR, etablere de påkrævede juridiske dokumenter og dokumentere, hvordan man har forholdt sig til reglerne. Og i øvrigt sørger for at rette ind ved påbud fra Datatilsynet.

Hvis virksomheden har ressourcer til det, kan det være en god ide at søge ekstern hjælp eller sende medarbejder på uddannelse indenfor GDPR.

Ja det må du gerne, men grunden til at mange virksomheder har forbudt behandling af fysiske ansøgninger er, at papir nemt kan blive væk, blive set af andre og arbejdsgangene med at beskytte og slette ansøgninger er mere ressourcekrævende, når de ligger fysisk. En central e-mail indboks til modtagelse af ansøgninger er altid at foretrække.

Det korte svar er nej – man skal ikke have samtykke til at behandle personoplysninger. Det er kun i nogle tilfælde, at det er svært at finde andre lovlige hjemler til at behandle personoplysninger, og at man derfor anvender samtykke. Det kan f.eks. være:

• hvis man gerne vil sende et nyhedsbrev til en person.
• hvis man som arbejdsgiver gerne vil offentliggøre et billede af en medarbejder.
• hvis man gerne vil gemme en ansøgning efter endt rekrutteringsforløb.
• hvis man vil optage en telefonsamtale.

Ja du må gerne modtage e-mails med personoplysninger. Dét du skal være opmærksom på, er, at du får slettet de e-mails med personoplysninger, som ikke er nødvendige at beholde. Særligt e-mails med CPR nr. eller andre fortrolige eller følsomme personoplysninger bør ikke ligge længere end absolut nødvendigt i din e- mail.

Privatlivspolitik, persondatapolitik, datapolitik, privacy policy – kært barn har mange navne. Der er ikke krav om, at en virksomhed skal have en privatlivspolitik på deres hjemmeside, men vi anbefaler det.

Privatlivspolitikken kan bruges til at vise gennemsigtighed og imødekomme oplysningspligten til de registrerede, hvis I linker direkte til den, når I indsamler personoplysninger.

Desuden er det mere udtagelsen end normen, at man ikke har en privatlivspolitik på sin hjemmeside. Hvis man ikke har kan det sende et signal om, at virksomheden ikke har styr på GDPR.

Vi anbefaler, at privatlivspolitikken, persondatapolitikken, datapolitikken indeholder i punkter, som skal oplyses om iht. oplysningspligten.

Se ”Hvordan overholder vi oplysningspligten?”.

Det kommer an på, hvilke personer det er. Det er ikke tilladt at offentliggøre billeder af medarbejdere, der er på arbejde uden deres samtykke.

Billeder og videoer som anvendes i rekrutterings- og markedsføringsmateriale kan offentliggøres uden samtykke ved at oplyse medarbejderen om, at der skal laves markedsføringsmateriale. Dertil at de kan give besked, hvis de ønsker at medvirke, og at man som ansat – i lyset af omkostningerne herved – ikke uden videre kan fortryde igen.

Billeder af eksterne som ikke er medarbejdere, kan offentliggøres, hvis vi har legitim interesse i at offentliggøre dem og at de personer, der er på billedet, ikke med rimelighed kan føle sig udstillet, udnyttet eller krænket, f.eks. i forbindelse med markedsføring eller andet kommercielt øjemed. Alderen på personen på billedet skal i den forbindelse, også tages i betragtning.

Eksempler på billeder der som udgangspunkt kan offentliggøres uden samtykke:

• Billeder af publikum til en koncert/deltagere på en messe.
• Billeder af besøgende i en zoologisk have eller lignende.
• Billeder optaget under en fritidsklub eller forenings udfoldelse af aktiviteter.
• Vindere af en konkurrence.

Eksempler på billeder der normalt ikke vil kunne offentliggøres uden samtykke:

• Billeder af besøgende hos lægen, kunder i banken og i fitnesscentret eller lignende.
• Billeder af besøgende på en bar, natklub, diskotek eller lignende.
• Billeder af ansatte på arbejde i en privat virksomhed eller en offentlig myndighed*.

Ja, men hvis medarbejdere kan genkendes på billederne, skal deres samtykke indhentes.

Billeder af eksterne som ikke er medarbejdere, kan offentliggøres, hvis vi har legitim interesse i at offentliggøre dem og at de personer, der er på billedet, ikke med rimelighed kan føle sig udstillet, udnyttet eller krænket, f.eks. i forbindelse med markedsføring eller andet kommercielt øjemed. Alderen på personen på billedet skal i den forbindelse også tages i betragtning.

Eksempler på billeder der som udgangspunkt kan offentliggøres uden samtykke:

• Billeder af publikum til en koncert/deltagere på en messe.
• Billeder af besøgende i en zoologisk have eller lignende.
• Billeder optaget under en fritidsklub eller forenings udfoldelse af aktiviteter.
• Vindere af en konkurrence.

Eksempler på billeder der normalt ikke vil kunne offentliggøres uden samtykke:

• Billeder af besøgende hos lægen, kunder i banken og i fitnesscentret eller lignende.
• Billeder af besøgende på en bar, natklub, diskotek eller lignende.
• Billeder af ansatte på arbejde i en privat virksomhed eller en offentlig myndighed*.

Husk dog at oplysningspligten skal imødekommes f.eks. ved at hænge oplysningsteksten op ved indgangen til arrangementet.

Se “Hvordan overholder vi oplysningspligten?”.

Alle potentielle brud på sikkerheden skal undersøges og bør registreres i en databrudslog.

Et sikkerhedsbrud er alle hændelser hvor personoplysninger:

• er blevet delt med uvedkommende (har mistet fortrolighed).
• er blevet ødelagt eller uretmæssigt ændret i (har mistet integritet).
• er blevet mistet eller har været utilgængelige i en kortere eller længere periode (har mistet tilgængelighed).

Et sikkerhedsbrud, som bør registreres, er f.eks. hvis en medarbejder har:

• sendt personoplysninger til en forkert modtager eller ved en fejl delt
  personoplysninger.
• anvendt CC-feltet fremfor BCC-feltet når du sender fælles-mails eksternt.
• slettet personoplysninger ved en fejl.
• opdaget at personoplysninger har været tilgængelige for uautoriserede personer.
• mistanke om at der er sket uautoriserede ændringer i filer.
• opdaget at systemer ikke virker, som de plejer (det kan være tegn på, at vi er under angreb).
• mistet sin computer, telefon, USB-stik eller andre medier indeholdende personlige oplysninger.
• opdaget at fysiske sikkerhedsforanstaltninger er defekte, f.eks. låse og alarmer.
• opdaget svagheder i jeres systemer.
• glemt dokumenter udenfor kontoret/til kundemøde/andet indeholdende personoplysninger.
• viden om at uvedkommende personer har overhørt en telefonsamtale indeholdende personoplysninger.
• modtaget e-mails, SMS’er eller opkald, som kan være forsøg på phishing.
• trykket på et mistænkeligt link eller downloadet mistænkelig fil.

Kriminelle prøver at franarre dig personlige oplysninger for f.eks. at kunne oprette kreditkort eller bankkonti i dit navn, søge om lån, begå bedrageri etc.

De kriminelle anvender nogle forskellige taktikker, f.eks. at sende e-mails og sms-beskeder der ligner, at de er fra virksomheder eller kolleger du kender, for at lokke dig til at dele oplysninger eller foretage transaktioner.
De vil forsøge at få dig til at åbne en vedhæftet fil i en e-mail, klikke på et link, udfylde en formular, opdatere dit password, ringe til et telefonnummer eller bruge et nyt wi-fi hotspot.

For at undgå at falde i phishingfælden skal du:

• Undlade at åbne bilag og klikke på links i mistænkelige og uopfordrede e-mail eller SMS-beskeder (videresend aldrig mistænkelige beskeder til en kollega).
• Altid få en mundtlig bekræftelse fra den formodede afsender hvis du modtager en e-mail eller SMS fra en kollega eller samarbejdspartner om for eksempel at overføre penge, sende fortrolige oplysninger eller give adgang til fortrolige oplysninger.
• Altid få en mundtlig bekræftelse fra den formodede afsender hvis du modtager en e-mail eller SMS om ændringer af kreditorers, debitorers og medarbejders kontonummer.
• Aldrig oplyse dit password til nogen, hverken over telefon eller e-mail.

For at spotte om en e-mail er en phishing e-mail skal du se på:
AFSENDEREN: Bare fordi du genkender navnet på den person der står som afsender, så kan det sagtens være en anden, da navne på e-mailafsendere er rigtig nemme at forfalske. Tjek altid e-mailadressen for at sikre at e-mailen virkelig er fra den person, som du tror, den er.

DEN INDLEDENDE HILSEN: Hold øje med den indledende hilsen i en e-mail. Vær varsom hvis dit navn ikke er en del af den, og der f.eks. bare står: ”Kære kunde”.

E-MAILENS INDHOLD: Hvis en e-mail indeholder følgende, skal du udvise varsomhed:

• En opfordring til at gøre noget som haster. En kriminel vil forsøge at skabe en følelse af, at det haster, så du handler i stedet for at tænke (f.eks. din konto bliver blokeret, hvis du ikke skifter dit password NU!).
• Dårlig grammatik og stavefejl er generelt tegn på, at tekst er oversat
  med f.eks. Google Translate.
• De beder dig om at indtaste personlige eller økonomiske oplysninger.
• De beder dig om at opdatere din konto eller ændre din adgangskode.

LINKS ELLER KNAPPER I E-MAILEN: Phishing e-mails vil ofte forsøge at få dig til at klikke på et link eller en knap, som tager dig til en falsk hjemmeside eller installere virus på din PC eller telefon. Medmindre du kan bekræfte afsenderens identitet, bør du aldrig klikke på et link eller en knap i en e-mail.

VEDHÆFTEDE FILER: Når du åbner en vedhæftet fil fra en kriminel, åbner du en dør til at få virus. Vira kan skade din PC eller telefon og hele virksomhedens it-miljø. Derfor skal du være meget varsom med at åbne vedhæftede filer i e-mails, du ikke har en forventning om at modtage.

MANGLENDE KONTAKTINFORMATIONER: Det kan være et tegn på, at en e-mail er en phishing e-mail, hvis afsender ikke har angivet sine kontaktinformationer. Du har derfor heller ikke mulighed for at kontakte afsender og tjekke, at de er dem, de giver sig ud for at være.

Ikke nødvendigvis. Det er altid en mulighed at efteruddanne en medarbejder i GDPR og løse opgaven internt – særligt i de store virksomheder. Omend det er en stor mundfuld for de fleste, såfremt de har andre arbejdsopgaver.

Der kommer hele tiden nye vejledninger og afgørelser, som har betydning for, hvordan regler tolkes. Med fare for at lyde bias, så vil vi altid anbefale, at man benytter sig af en eller anden form for ekstern hjælp, hvis det ikke giver mening at have en fuldtidsansat til GDPR compliance.

Særligt i små og mellemstore virksomheder vil det højst sandsynligt ikke give mening at have en fuldtidsansat til GDPR opgaven.

Lovgivningen er omfattende og kompleks og har overlap med anden lovgivning. Hvis det ikke er noget, man er vandt til at sidde med til dagligt, er det en udfordring at komme i mål uden en eller anden form for professionel hjælp/sparring. Særligt hvis du er databehandler og lever af, at andre har tillid til, at du ved, hvordan du skal behandle data.

En fysisk eller juridisk person, offentlige myndighed m.v. der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren bestemmer i modsætning til den dataansvarlige hverken hvordan eller med hvilke formål, der må behandles personoplysninger. Et lønbureau der udbetaler løn til andre virksomheders medarbejdere, er databehandler på personoplysninger om deres kunders medarbejdere.

Hvis I som dataansvarlig bruger en databehandler, kan databehandleren benytte sig sine egne databehandlere, som i forhold til jer så bliver en underdatabehandler. Databehandleren og underdatabehandlere skal indgå databehandleraftaler der har mindst de samme forpligtelser som databehandleren har overfor jer. Det kræver en skriftlig godkendelse fra jer for, at databehandleren må anvende underdatabehandlere, men dette reguleres typisk i databehandleraftalen som indgås, når samarbejdet opstartes.

Se ”Hvad er en databehandleraftale?”.

En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der bliver videregivet personoplysninger til, men som ikke har rollen databehandler, da denne ikke kan handle under instruks fra en anden. Et eksempel på en dataansvarlig kan f.eks. være SKAT, revisor, advokat, forsikringsselskaber, pensionsselskaber mv.

DPO står for Data Protection Officer og er en medarbejder eller rådgiver, der er ansvarlig for at underrette og rådgive den dataansvarlige eller databehandleren, om deres forpligtelser iht. GDPR. Desuden er DPO’en ansvarlig for at føre tilsyn med, om virksomheden overholder reglerne.

Kun private virksomheder der som deres kerneaktivitet behandler følsomme oplysninger eller oplysninger om strafbare forhold i et stort omfang, eller foretager regelmæssig og systematisk overvågning af personer i stort omfang, er forpligtede til at udpege en databeskyttelsesrådgiver.

En virksomhed har som sådan ikke pligt til at udpege en ansvarlig for GDPR i virksomheden, men det er en meget god ide at gøre, da compliancearbejdet ellers kan falde ned mellem to stole.

Hvem den ansvarlige bør være afhænger meget af virksomhedens størrelse, branche og organisering, og hvem der har mest interesse for området.

I mange mindre virksomheder er det direktøren, der selv klarer opgaven, mens det i andre kan være en sekretær, der får opgaven.

I større virksomheder kan ansvaret både lande hos IT-, HR- eller Marketingchefen, mens der i større virksomheder findes en egentlig DPO, der er ansvarlig for opgaven. Nogle virksomheder bruger også en ekstern konsulent til at styre compliancearbejdet.

Alle data du har behov for at kunne dokumentere ansættelsesforholdet, herunder bl.a.:

• Ansættelsekontrakter, CV, ansøgning, kursusbeviser, certifikater.
• Kontaktoplysninger, bankoplysninger.
• CPR nr.
• Advarsler, påtaler m.v.
• Kontaktoplysninger på pårørende.
• Billeder af medarbejdere.
• I nogle tilfælde oplysninger om fagforening og helbred.

Du må gemme det data du har behov for, for at kunne dokumentere dit køb, kommunikere med leverandører og afregne. Typisk vil der være tale om følgende personoplysninger:

• CVR nr. (hvis det er en enkeltmandsvirksomhed er CVR nr. en
  personoplysning).
• Navn på kontaktperson.
• Kontaktoplysninger på kontaktperson.
• Oplysninger i diverse mailkorrespondance.
• Betalingsoplysninger.
• Købshistorik.
• Diverse ordre og faktura, samt andet bogføringsmateriale.
• Diverse fritekst der udelukkende har relation til vores køb af produkter.

Hvornår personoplysninger skal slettes kommer an på en konkret vurdering, da der ikke er specifikke krav til sletning i GDPR. Det er nemlig op til den dataansvarlige selv at vurdere, hvornår der ikke længere er behov for at gemme personoplysninger.

Personoplysninger skal slettes når der ikke længere kan argumenteres for at beholde dem – når de overgår fra need-to-have til nice-to-have. Man kan dog med fordel kigge til andre lovgivninger for retningslinjer.

Bogføringsmateriale skal som udgangspunkt gemmes i 5 år og mange virksomheder vælger med det in mente at beholde oplysninger på kunder, leverandører og medarbejdere i minimum 5 år efter fratrædelse eller sidste aktivitet. Det samme gælder for e-mailkorrespondance m.m.

Nedenfor ses et eksempel på et samtykke til et nyhedsbrev. Det der er vigtigt er at:

• Virksomhedens navn er angivet.
• Hvilken kanal man ønsker at markedsføre sig igennem f.eks. e-mail, SMS m.v.
• Hvad der bliver markedsført f.eks. nye produkter, events, konkurrencer.
• Oplys om at samtykket kan trækkes tilbage.
• At oplysningspligten opretholdes ved at linke til privatlivspolitikken.

Eksempel på samtykketekst til nyhedsbreve der overholder lovgivningen:
”Når du tilmelder dig vores nyhedsbrev giver du [Indsæt virksomhedsnavn] samtykke til at sende dig e-mails med nyheder, tilbud, information om nye produkter og services, invitationer til arrangementer m.v. Du har til enhver tid ret til at trække dit samtykke tilbage, og du kan læse mere om, hvordan vi behandler dine personoplysninger, samt hvilke rettigheder du har i vores privatlivspolitik [indsæt link].”

For GDPR i relation til bogholderi ser vi tit, at der kan være udfordringer på følgende områder:

• Skabe med fortrolige oplysninger er ikke aflåste.
• Nøgler til aflåste skabe gemmes indlysende steder som øverst i skuffer.
• Materiale bliver skrevet ud og derefter ikke makuleret.
• Materiale med personoplysninger bliver smidt i papirkurven frem for makulator.
• Bilag med personoplysninger beholdes ud over 5 år jf. bogføringsloven.

For GDPR i relation til IT ser vi tit, at der kan være udfordringer på følgende områder:

• Der bliver ikke skiltet de steder hvor der videoovervåges.
• Medarbejders færden på nettet bliver registreret, uden at de bliver oplyst om det.
• Brugeradgange til diverse systemer bliver ikke lukket ned, når en medarbejder fratræder.
• Medarbejdere får ikke justeret deres rettigheder, når de skifter afdeling eller arbejdsområde, samt at medarbejdere generelt har adgang til for meget, særligt i mappestrukturer.
• Medarbejdere nedskriver passwords udenfor godkendte passwordmanagers.
• Krav til passwords udformning er ikke stærke nok.
• Medarbejdere går fra deres arbejdsstationer uden at aktivere skærmlås.
• Medarbejdere henter ikke deres print i printeren.

For GDPR i relation til HR ser vi tit, at der kan være udfordringer på følgende områder:

• Ansøgninger bliver ikke slettet efter endt rekrutteringsforløb. F.eks. at ansøgninger ligger i diverse lederes indboks som udskrevet kopi længere end nødvendigt.
• Oplysninger på fratrådte medarbejdere bliver ikke slettet rettidigt.
• CPR nr. står angivet i ansættelseskontrakter og andre steder, hvor der ikke er behov for det.
• Medarbejdere bliver ikke oplyst om, hvordan deres personoplysninger bliver behandlet (oplysningspligten bliver ikke opretholdt).
• Videoovervågning bruges til at afskedige medarbejdere uden, at de er oplyst om, at formålet med videoovervågningen bl.a. var at opnå dokumentation for afskedigelser.
• Det kommunikeres ud til alle eller flere, hvad sygemeldte medarbejdere fejler uden deres samtykke.

For GDPR i relation til salg ser vi tit, at der kan være udfordringer på følgende områder:

• Døde leads bliver ikke slettet rettidigt.
• Fritekstfelter i CRM-systemer bliver brugt til at notere oplysninger om personer for at kunne forgive at huske noget personligt om dem til næste gang for at være servicemindet f.eks. ”hvordan gik konfirmationen?”.

For GDPR i relation til marketing ser vi tit, at der kan være udfordringer på følgende områder:

• Samtykke til at sende nyhedsbreve, herunder de formkrav der er til udformningen af samtykketekster m.v. for, at de er lovlige. Både i forbindelse med konkurrence og andre marketingsfremstød.
• Et lovligt cookiebanner på hjemmesiden.
• Lovligt brug af billeder.
• Privatlivspolitik på hjemmesiden GDPR regler for din virksomhed.

Se ”Hvilke krav er der i GDPR”.

Det er typisk de helt små virksomheder og foreninger, som er udfordret på, hvordan de skal gribe hele GDPR cirkusset an, da der typisk ikke er ressourcer til at bekoste den helt store eksterne hjælp eller efteruddannelse. Regler er desværre de samme, om du er en enkeltmandsvirksomhed eller en kæmpe koncern.

Datatilsynet har dog lanceret et GDPR-univers for de helt små virksomheder, som det kan give mening at tage et kig på, hvis du driver en mindre virksomhed:

Datatilsynet – GDPR univers for små virksomheder

Om du er en lille, mellemstor eller stor virksomhed er kravene til overholdelse af GDPR de samme. Forskellen er, at de mellemstore virksomheder kan have lettere ved at finde ressourcerne til at uddanne personale eller købe sig til ekstern hjælp. Det anbefales, at der bruges nogle ressourcer på at uddanne medarbejdere eller på eksterne rådgivere fremfor at give GDPR-hatten til direktøren PA eller HR-chefen/IT- chefen. GDPR er et stort og komplekst regelsæt, som ikke kan være nogens bibeskæftigelse, hvis det skal gøres rigtigt.

Jo større virksomheden er, jo mere persondata behandles der. Flere medarbejdere og flere kunder betyder mere data. Jo større din virksomhed er, jo længere tid tager det typisk at få overblikket over behandlingen af persondata i virksomheden, så det er centralt, at der afsættes den rette mængde ressourcer til at implementere GDPR, men også vedligeholde det. Måske kan det endda give mening at ansætte en fuld tid til at styre GDPR i virksomheden.

GDPR indeholder mange krav bl.a.:

• Krav om etablering af en artikel 30 fortegnelse.
• Krav om at kunne vise, at virksomheden overholder GDPR – det gøres nemmest via nedskrevne politikker og procedure.
• Krav om notifikation ved databrud.
• Krav om risikovurdering.
• Krav om indgåelse af databehandleraftaler.
• Krav om tilsyn med databehandlere.
• Osv.

Vi anbefaler at kontakte en rådgiver, datatilsynet eller deltage i nogle af de kurser der afholdes for at opnå det fulde overblik over kravene i GDPR.

Følsomme personoplysninger er oplysninger om:

• race og etnisk oprindelse.
• politisk overbevisning.
• religiøs eller filosofisk overbevisning.
• fagforeningsmæssige tilhørsforhold.
• genetiske data.
• biometriske data med henblik på entydig identifikation.
• helbredsoplysninger.
• seksuelle forhold eller seksuel orientering.

Som udgangspunkt er det forbudt at behandle de følsomme oplysninger, men i praksis er der en række undtagelser, som til forbuddet, som virksomheden kan benytte.

Fortrolige oplysninger er en særlig kategori af oplysninger, hvor særlige beskyttelsesbehov kan spille ind, hvilket bl.a. kræver en vurdering af, om oplysningen efter gængs opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Det gælder f.eks. CPR-nummeret.

Følsomme persondata vil altid være fortrolige, men fortrolige data er ikke altid følsomme. Til gengæld kan ikke-følsomme personoplysninger – afhængigt af omstændighederne – være fortrolige, hvis de f.eks. omhandler indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold eller indeholder oplysninger om f.eks. selvmordsforsøg eller ulykker.

Du skal svare på en anmodning fra en registreret om indsigt, berigtigelse, sletning osv. uden unødig forsinkelse og senest en måned efter, du har modtaget anmodningen.

Når vi behandler personoplysninger på nogen, så har de ret til at blive oplyst om en række forhold:

• Vores identitet og kontaktoplysninger.
• Kontaktoplysninger på vores evt. Data Protection Office (DPO).
• Formålene med behandlingen af deres personoplysninger og
  retsgrundlaget for behandlingen.
• De eventuelle legitime interesser som forfølges ved behandlingen.
• Eventuelle modtagere eller kategorier af modtagere af personoplysningerne.
• Om der overføres personoplysninger til tredjeland eller internationale organisationer og hvorledes beskyttelsesniveauet er sikret samt hvilke organisationer og lande, der er tale om.
• Hvor længe personoplysningerne vil blive opbevaret eller kriterierne for tidsrummet for opbevaring.
• Retten til indsigt, berigtigelse, sletning, begrænset behandling, indsigelse, samt retten til dataportabilitet.
• Retten til at klage til Datatilsynet.
• Retten til at trække et samtykke tilbage (hvis et sådant er afgivet).
• Om meddelelse af personoplysninger er lovpligtig eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at afgive disse.
• Forekomsten af automatiske afgørelser herunder profilering og som minimum meningsfulde oplysninger om logikken heri samt betydningen, og de forventede konsekvenser af en sådan behandling for den registrerede.
• Hvor personoplysningerne er indsamlet, hvis personoplysningerne er indsamlet fra andre end den registrerede selv.

Vi anbefaler at have oplysningerne stående i en privatlivspolitik på hjemmesiden, som der linkes til ved første kontakt med de registrerede.

Når der er tale om oplysning af medarbejdere kan det give bedre mening at lave et internt notat, som deles med medarbejderne i stedet.

Oplysningerne skal gives samtidig med, at du indsamler oplysninger og i udgangspunktet som minimum indenfor 10 dage.

Hvis en person beder om indsigt i de personoplysninger, vi behandler på vedkommende, skal vedkommende have oplyst om, vi behandler oplysninger om vedkommende og hvis ja, hvilke oplysninger vi behandler, sammen med de informationer der ellers oplyses om via oplysningspligten.

Hvis du modtager en anmodning om indsigt, kan du imødekomme anmodningen ved at anvende datatilsynets skabelon: ”Skabeloner til iagttagelse af oplysningspligten og indsigtsretten”.

Registrerede personer kan bl.a. gøre indsigelse mod brug af deres personoplysninger til f.eks. markedsføring eller profilering.

Det kommer lidt an på, hvad samtykket er givet til. Hvis samtykket er givet til at måtte sende nyhedsbreve, så skal vi blot stoppe med at sende nyhedsbrevene efter, at samtykket er trukket tilbage.

Hvis samtykket er givet til, at vi må gemme en ansøgning eller en telefonoptagelse, så skal ansøgningen eller optagelsen slettes.

Hvis samtykket er givet til, at vedkommendes billeder må anvendes i markedsføringsmateriale, så skal vi stoppe med at anvende billedet fremadrettet, men ikke skille os af med alt det producerede materiale.

Se punktet “Hvad er en artikel 30 fortegnelse”.

Se ”Hvad er en artikel 30 fortegnelse”.

En risikovurdering i GDPR er en vurdering af sandsynligheden for, at der sker brud på datasikkerheden, som gør, at personoplysninger kommer uvedkommende i hænde, bliver ødelagte eller helt mistes.

Sandsynligheden for brud sammenholdes med konsekvens for de registrerede personer f.eks. kunder, medarbejdere m.v., hvis det skulle ske, at der er et brud på sikkerhed.

Se ”Hvordan laver jeg en risikovurdering på persondata?”.

Når du laver en risikovurdering iht. GDPR tager du udgangspunkt i de trusler, der er mod de it-aktiver, hvor du behandler og opbevarer personoplysninger på.

Ud fra dit generelle it-sikkerhedsmiljø og de organisatoriske, tekniske og fysiske foranstaltninger der er implementeret til at beskytte data, vurderer du sandsynligheden for, at truslerne kommer til at indtræffe, og at der dermed sker et databrud ved, at personoplysninger mister fortrolighed (bliver delt med uvedkommende), integritet (bliver uhensigtsmæssigt ændret) eller
tilgængelighed (mistes).

Det anbefales at anvende et 1-5 pointsystem fra meget usandsynligt(1) til meget sandsynligt(5). Derefter vurderes det, hvad konsekvensen vil være for de registrerede, hvis databruddet sker – fra ubetydeligt (1) til meget alvorlig konsekvens(5). Derefter udregnes en samlet risiko-rating, og det vurderes om man vil acceptere risikoen eller foretage handlinger til at reducere risikoen.

Risikovurderingen bør dokumenteres.

I GDPR skal der også laves en risikovurdering på databehandlere.

Se ”Hvordan laver jeg en risikovurdering på databehandlere?”.

Vores anbefaling er, at du følger den metode som Datatilsynet præsenterer i deres vejledning omkring tilsyn med databehandlere, som findes her:

Datatilsynet – Vejledning om tilsyn med databehandlere.

Følg vejledningen til at lave risikovurdering på dine databehandlere.

Vores anbefaling er at du følger den metode som Datatilsynet præsenterer i deres vejledning omkring tilsyn med databehandlere som findes her:
Datatilsynet – Vedledning om tilsyn med databehandlere

Brug vejledningen til når du skal lave tilsyn med databehandlere.

En databehandleraftale er en kontrakt mellem en dataansvarlig virksomhed og en virksomhed, der behandler oplysninger på vegne af den dataansvarlige f.eks. et lønbureau, hostingleverandør eller nyhedsbrevsystem. Når en dataansvarlig virksomhed vil benytte en leverandør til at behandle personoplysninger på vegne af dem, skal der udarbejdes en skriftlig kontrakt, hvilket kaldes en databehandleraftale.

Datatilsynet har udgivet en skabelon til en databehandleraftale som med fordel kan anvendes: Vejledninger i PDF-format.

Det er let at blive i tvivl, om der bør indgås en databehandleraftale eller om den virksomhed, der modtager oplysningerne, faktisk er selvstændigt dataansvarlig for de data, der modtages. Den nemmeste måde at vurdere om der er tale om den databehandlerkonstruktion, og at der derfor skal indgås en databehandleraftale, er ved at vurdere om den virksomhed, der modtager data, udelukkende behandler dem under instruks fra den dataansvarlige virksomhed. Og om den ydelse den modtagende virksomhed leverer bærer præg af, at der skal behandles personoplysninger, eller om den bærer præg af noget andet.

Datatilsynet har lavet en vejledning om dataansvarlige og databehandlere, som man med fordel kan tage udgangspunkt i:
Dataansvarlige og databehandlere.

Hos mange revisionshuse skal du som minimum give din førstefødte i bytte for en ISAE erklæring, men de mindre revisionshuse og kæder kan faktisk ofte tilbyde en erklæring til en mere konkurrencedygtig pris. Blanner Compliance samarbejder selv med de mindre, men anerkendte, revisionshuse der gerne vil tilbyde erklæringerne til en favorabel pris.

En ISAE erklæring kan bruges til at bevise overfor potentielle og nuværende kunder og interessenter, at virksomheden overholder kravene i GDPR og i en eventuelt indgået databehandleraftale.

En virksomhed kan opnå en ISAE erklæring ved at have politikker og procedure for it-sikkerhed og behandling af personoplysninger. Der skal desuden være implementeret nogle interne kontroller som sikrer, at de interne politikker og procedure bliver fulgt.

Man kan med fordel kontakte en rådgiver der kan gennemføre et ISAE readiness-projekt i virksomheden for at sikre, at virksomheden er klar til at få en ISAE erklæring.

Datatilsynet vejledning omkring kontrol med databehandlere giver mulighed for at et tilsyn kan bestå af, at der indhentes dokumentation på et dokumenteret tilsyn fra en uafhængig tredjepart. Denne tredjepart behøver ikke nødvendigvis at være en statsautoriseret revisor, men kan også være en anden specialist på området. ISAE-betegnelsen er dog forbeholdt statsautoriserede revisorer, og derfor kan dokumentationen i stedet kaldes for en ”ekstern erklæring”, ”ekstern GDPR rapport” m.v.

En revisorerklæring er kort sagt et dokument, hvor en revisor erklærer sig om noget. En revisorerklæring kan laves på en databehandlers overholdes af databehandleraftalen indgået med dennes kunder og kaldes typisk en ISAE 3000 på persondata.

Erklæringen kan indhentes af den dataansvarlige kunde og bruges som dokumentation for, at der er lavet tilsyn med databehandler.

Se ”Hvad er en revisorerklæring”.

Der er ingen krav om, at en virksomhed har en ISAE 3000 eller 3402 erklæring. Det kan bare være en fordel for at lette tilsynsprocessen for både den dataansvarlige kunde og serviceleverandøren (databehandleren). Et dokumenteret tilsyn kan også laves af andre end en revisor.

Arbejdsgivere med mere end 50 ansatte skal pr. 17. december 2023 have implementeret en whistleblowerordning.

Arbejdsgivere med mere end 250 ansatte skal pr. 17. december 2021 have implementeret en whistleblowerordning.

Alle ansatte, der modtager vederlag for personligt arbejde, medregnes som ansatte uanset beskæftigelsesgrad.

• Overtrædelser af EU-retten, som er omfattet af anvendelsesområdet for whistleblowerdirektivet.
• Alvorlige lovovertrædelser og øvrige alvorlige forhold, f.eks. strafbare forhold, som f.eks. tyveri, underslæb, bedrageri, dokumentfalsk, bestikkelse m.v.
• Grove tilfælde af vold og chikane.
• Brud på tavshedspligt.
• Alvorlige brud på arbejdssikkerheden.
• Alvorlige trusler mod miljø, sundhed og sikkerhed.
• Overtrædelse af menneskerettigheder.
• Persondatakrænkelser.
• Overtrædelse af konkurrenceregler.

Alle arbejdstagere skal kunne indberette (personer der modtager løn). Arbejdsgivere kan herudover vælge at gøre ordningen tilgængelig for de øvrige, oplistede personer, herunder både interne og eksterne:

• Selvstændigt erhvervsdrivende.
• Aktionærer og medlemmer af bestyrelsen, tilsynsråd eller tilsvarende ledelsesorgan.
• Frivillige.
• Ulønnede praktikanter.
• Personer, som arbejder under tilsyn eller ledelse af kontrahenter, underleverandører og leverandører.
• Tidligere ansatte.
• Kommende ansatte.

Det vil være en fordel at åbne op for, at alle kan foretage indberetning til virksomhedens whistleblowerordning, da de ellers kan indberette til Datatilsynets eksterne whistleblowerordning, der blev etableret d. 17. december 2021.

• Utilfredshed med ansættelsesforhold (f.eks. løn, arbejdstider,
  samarbejdsvanskeligheder eller mobning der ikke har karakter af grov chikane).
• Overtrædelse af interne ryge- eller alkoholpolitikker.
• Inkompetence.
• Fravær og sygdom.
• Privat brug af kontorartikler.
• M.v.