Gå til hovedindhold

Mit Virk >

Anbefaling 5 - Håndtering af personoplysninger

Anbefaling 5 - Håndtering af personoplysninger

Håndtering af personoplysninger

Med den nye databeskyttelsesforordning (GDPR) er der kommet ekstra fokus på virksomheders behandling af personoplysninger. Forordningen er med til at understøtte privatlivets fred som en fundamental rettighed indenfor EU. Loven har således til formål at beskytte borgerne mod misbrug af deres personoplysninger. Virksomheder, som ikke lever op til databeskyttelsesreglerne, kan tildes bøder på op til 20 mio. euro.

Reglerne for databeskyttelse gælder for al automatisk eller elektronisk behandling af personoplysninger. Det betyder, at så snart du er i kontakt med personoplysninger fra en kunde, medarbejder eller samarbejdspartner, så tæller det som behandling af personoplysninger.

Anbefalinger til håndtering af personoplysninger

  • Find ud af, hvilke typer af personoplysninger, I håndterer
  • Afklar jeres rolle
  • Undersøg om behandlingen af personoplysninger lever op til forpligtelserne i databeskyttelsesreglerne.
  • Test din virksomhed med PrivacyKompasset.

Find ud af hvilke typer personoplysninger I håndterer

Næsten alle virksomheder behandler personoplysninger af en eller anden slags. Det kan fx være oplysninger om medarbejdere (fx lønoplysninger, helbredsoplysninger eller fagforeningsmæssigt tilhørsforhold) eller kunder (fx kontaktoplysninger, adresser osv.).

Det er en fordel, hvis I tager udgangspunkt i, hvilke typer af personoplysninger I behandler. Det kan være:

  • Almindelige personoplysninger
  • Følsomme personoplysninger
  • Oplysninger om strafbare forhold

Afklar jeres rolle

I skal være opmærksomme på, hvilken rolle I spiller i forbindelse med databehandling. Om I er dataansvarlig, databehandler eller deler dataansvaret har betydning for, hvilke krav I skal leve op til.

Undersøg om behandlingen af personoplysninger lever op til de krav, der er i databeskyttelseslovgivningen

Som dataansvarlig er der en række forpligtelser i databeskyttelsesreglerne. En dataansvarlig skal for det første altid efterleve de grundlæggende krav til lovlig behandling af personoplysninger. De er:

  1. Lovlighed, rimelighed og gennemsigtighed: Behandlingen skal overholde databeskyttelsesreglerne og være gennemsigtig
  2. Formålsbegrænsning: Ved indsamling skal det være klart, hvilke saglige formål oplysningerne skal anvendes til. Senere behandling må ikke være uforenelig med disse formål
  3. Dataminimering: Behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet
  4. Rigtighed: Oplysninger skal ajourføres, og urigtige oplysninger skal slettes eller berigtiges
  5. Opbevaringsbegrænsning: Når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes
  6. Integritet og fortrolighed: Oplysninger må ikke komme til uvedkommendes kendskab, gå tabt eller blive beskadiget

For alle 6 principper gælder et grundlæggende princip: Ansvarlighed. Dvs. det skal kunne dokumenteres, at man efterlever de ovenstående principper.

For det andet skal den dataansvarlige sikre at den person, som oplysningerne vedrører, kan udleve en række rettigheder. Der skal således oplyses om, hvilken behandling der foregår med hvilke formål og på hvilke kategorier af personoplysninger. Desuden har personen ret til at søge indsigt og under visse omstændigheder ret til at få berigtiget eller slettet sine oplysninger m.v.

For det tredje skal den dataansvarlige efterleve en række pligter. Disse består bl.a. i at beskytte personoplysningerne ved at implementere passende sikkerhedsforanstaltninger, der passer til risici, at rapportere sikkerhedsbrud til myndighederne, at designe sine it-systemer så reglerne i forordningen understøttes og at styre og sikkerheden hos databehandlerne gennem en databehandleraftale. Se Anbefaling 17 – Lav en databehandleraftale.

Endelig skal de dataansvarlige være opmærksom på, om de behandler personoplysninger udenfor EU. I givet fald skal man finde et retligt grundlag for at gøre det.

Test din virksomhed med PrivacyKompasset

PrivacyKompasset kan du finde en online test, der skal hjælpe virksomheder i gang med at efterleve databeskyttelsesreglerne og få svar på helt basale spørgsmål i forhold til ansvarlig datahåndtering.

PrivacyKompasset kan bruges til at:

  • Få en status på, hvordan I håndterer personoplysninger i jeres virksomhed
  • Få overblik over, hvad I skal gøre for at efterleve lovkravene

Yderligere information

På databeskyttelsesområdet er den centrale myndighed Datatilsynet. Find mere information om persondatabeskyttelse på Datatilsynets hjemmeside.