Indhold er hentet
Indhold er hentet
Langt de fleste virksomheder behandler på et eller andet tidspunkt personoplysninger om bl.a. kunder. Når din virksomhed behandler bl.a. kundedata, skal du behandle og beskytte dem på en bestemt måde. Få overblik over, hvordan du kommer i gang med GDPR, og find skabelon til databehandleraftale.
Indhold er hentet
Personoplysninger kan for eksempel være personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller biologisk materiale, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre.
Personoplysninger opdeles i tre typer:
Alt efter hvor følsomme personoplysningerne er, findes der forskellige betingelser og procedurer for, hvordan du må behandle dem.
Læs mere om typerne af personoplysninger på Datatilsynets hjemmeside
I princippet behandler du personoplysninger om andre, så snart du kommer i kontakt med oplysningerne. Det betyder, at du behandler oplysninger, når du for eksempel indsamler, registrerer, opbevarer, tilpasser, ændrer, bruger, videregiver, begrænser eller sletter personoplysninger.
Håndterer du personoplysninger på blot én af de ovennævnte måder, vil der være tale om en behandling. I den forbindelse skal du være opmærksom på at opfylde dine registreredes rettigheder. Rettighederne har til formål at gøre det gennemsigtigt for den registrerede, hvilke oplysninger du behandler, og hvornår du gør det, så den registrerede har kontrol over sine egne personoplysninger. Det kan være i forbindelse med tilbagetrækning af samtykke.
Få overblik over de registreredes rettigheder på Datatilsynets hjemmeside
Din virksomhed er dataansvarlig, når den behandler oplysninger om fx kunder. Hvis din virksomhed behandler personoplysninger på vegne af en anden virksomhed, er den databehandler. Vær opmærksom på, at din virksomhed både kan være dataansvarlig og databehandler.
Indhold er hentet
Behandler du personoplysninger i din virksomhed, og har du samarbejdspartnere, som behandler oplysningerne på dine vegne, skal I indgå en databehandleraftale for at leve op til reglerne i databeskyttelsesforordningen. Det kan være, når en ekstern hosting-leverandør behandler personoplysninger om dine kunder, eller hvis en ekstern IT-konsulent løbende berigtiger oplysninger i din database.
Databehandleraftalen skal sikre, at den dataansvarlige behandler persondata korrekt og sikkert, og at du som dataansvarlig får besked, hvis der er mistanke om sikkerhedsbrud.
Databeskyttelsesforordningen gælder umiddelbart i alle EU-medlemsstater.
Forordningen gælder først og fremmest, når du som dataansvarlig eller databehandler er etableret i EU og behandler personoplysninger om kunder. Dette gælder, uanset om selve behandlingen finder sted i EU eller ej.
Databeskyttelsesforordningen gælder også ved behandling af personoplysninger om kunder, der er i EU, men som foretages af en dataansvarlig eller databehandler, som ikke er etableret i EU.
Dette gælder dog kun, hvis du:
I databeskyttelsesforordningen skelnes der mellem ’sikre’ og ’usikre’ tredjelande.
Når din virksomhed vil overføre personoplysninger til tredjelande eller internationale organisationer, er det en god idé at undersøge, om Europa-Kommissionen har godkendt det pågældende tredjeland som ’sikkert’ ved en såkaldt ’tilstrækkelighedsafgørelse’.
Om et land er sikkert, vurderes efter, om beskyttelsesniveauet for personoplysninger svarer til beskyttelsesniveauet i EU/EØS. Er det tilfældet, kan du overføre til landet eller organisationen uden et såkaldt overførselsgrundlag. For eksempel har Europa-Kommissionen vedtaget en tilstrækkelighedsafgørelse for Storbritannien, hvilket betyder, at du ikke behøver et overførselsgrundlag, når du overfører personoplysninger hertil.
Hvis du vil overføre personoplysninger til et land, som Europa-Kommissionen har vurderet til at være usikkert, skal du sørge for at have et overførselsgrundlag. Du skal for eksempel bruge et overførselsgrundlag, hvis din virksomhed samarbejder med en virksomhed uden for EU, som drifter din virksomheds IT-systemer eller håndterer jeres kundeservice. Der findes forskellige overførselsgrundlag, alt efter hvilken virksomhedstype og virksomhedsstruktur du har, samt hvor hurtigt du skal bruge overførselsgrundlaget mv.
Find listen over sikre tredjelande samt forskellige overførselsgrundlag på Datatilsynets hjemmeside
Hvis du ikke overholder databeskyttelsesreglerne, kan du risikere en bøde. Det gælder for eksempel, hvis du ikke anmelder et sikkerhedsbrud, hvis du ikke indgår databehandleraftaler, hvis du indgår ulovligt eller mangler samtykke, eller hvis du laver ulovlige overførsler til tredjelande.
Reglerne om databeskyttelse kan virke uoverskuelige, men det er vigtigt, at du sikrer, at din virksomhed lever op til kravene. Følg trinene nedenfor, og kom godt i gang med GDPR.
Indhold er hentet
For at holde styr på de personoplysninger, der håndteres i din virksomhed, skal du først og fremmest danne dig et overblik over, hvilke oplysninger det drejer sig om – og hvor og hvordan du opbevarer dem.
Indhold er hentet
Alle dataansvarlige og databehandlere skal til enhver tid skriftligt og elektronisk kunne dokumentere, at databeskyttelsesforordningen overholdes i tilfælde af, at Datatilsynet beder om det. Derfor skal du udarbejde en fortegnelse over virksomhedens behandlingsaktiviteter. Fortegnelsen skal bl.a. indeholde følgende:
Find den fulde liste over indholdet samt eksempel på en fortegnelse i Datatilsynets vejledning (pdf)
Indhold er hentet
Hvis du fx bruger en IT-leverandør eller en bogholder i din virksomhed, skal du huske at udarbejde en databehandleraftale, som lægger rammerne for, hvordan data skal behandles.
Indhold er hentet
Det er vigtigt, at du har procedurer på plads til at opdage, rapportere og undersøge brud på sikkerheden. Det er også vigtigt, at du hurtigt kan vurdere alvoren af et eventuelt brud, da du kun har 72 timer til at underrette tilsynsmyndighederne og de registrerede.