nyheder
GDPR
GDPR er en forordning skabt af EU, som omhandler beskyttelse af persondata. Den 25. maj 2018 trådte reglerne i forordningen i kraft i Danmark, og siden da er der gradvist kommet mere og mere fokus på, at danske virksomheder for så vidt muligt forsøger at overholde reglerne i forordningen.
F.eks. blev firmaet Taxa 4×35 i marts sidste år indstillet til en bøde på 1,2 millioner kr. efter et besøg fra datatilsynet. I sagen havde tilsynet fokus på, at taxaselskabet havde alt for lange frister for sletning af personfølsomme data på dets kunder. Især var det kundernes telefonnumre, som blev i databasen i op til 5 år, før de blev anonymiseret.
Hvad er persondata?
Begrebet dækker over alle personfølsomme oplysninger. Det kan være adresse, telefonnummer, løn, cpr. Nummer, religiøs overbevisning. Oplysninger om juridiske personer såsom selskaber hører ikke ind under forordningen
Dataansvarlig vs. Databehandler
Når data indsamles og behandles internt i virksomheden, er man dataansvarlig. Deraf har man ansvaret for, at der foreligger en databeskyttelsespolitik, som overholder reglerne i GDPR. Politikken skal bl.a. afdække, hvorfor dataene bliver indsamlet og opbevaret, hvornår det slettes igen, hvilke personer i virksomheden, som har adgang til dataene mv.
Når data behandles på vegne af en anden (en dataansvarlig), er man databehandler. Her har man ikke på samme måde ansvar for oplysningerne, så længe man overholderne retningslinjerne udstedt af den dataansvarlige. Ofte har virksomheder en standardpolitik som beskriver, hvordan de agerer som databehandlerne.
Man skal være opmærksom på, at man i sin virksomhed godt kan agere både som dataansvarlig og databehandler. Virksomhed A indsamler persondata fra sine medarbejdere, for at de kan lave løn. I denne proces er virksomhed A dataansvarlig. Virksomhed A tilbyder som en service til deres kunder, midlertidigt, også at lave løn for dem. Virksomhed B ønsker ikke selv at sidde med lønadministrationen, og sender derfor data om deres medarbejdere tik Virksomhed A. I denne proces er Virksomhed A databehandler.
Har du en datapolitik?
Med de store bøder cementerer datatilsynet vigtigheden i at have formuleret en databeskyttelsespolitik, når man driver virksomhed, men hvor skal man starte?
Vi møder ofte problemstillingen med, at en databeskyttelsespolitik er en alt for stor mundfuld at tage hul på. I sagens natur behøver det ikke at være så kompliceret.
Du er velkommen til at kontakte os, hvis du ønsker en snak om, hvordan en GDPR-politik kunne se ud for din virksomhed.