Persondataforordningen – overblik
Herunder kan du i korte træk læse om det vigtigste, som private virksomheder inden for landbrug skal vide om persondataforordningen.
Formål med persondataforordningen
- Beskyttelse af privatlivets fred
- Fri udveksling af oplysninger i EU
- Højt beskyttelsesniveau
- Bidrage til skabelsen af et område med frihed, sikkerhed, retfærdighed og til økonomiske og sociale fremskridt i EU
- Styrkelse af fysiske personers velfærd
- Styrkelse af økonomier inden for det indre marked
- Stærk og mere sammenhængende databeskyttelsesramme
- Effektiv håndhævelse
Hvilke oplysninger er personoplysninger?
Almindelige personoplysninger:
Alle former for oplysninger, der kan medføre – eller sammensættes således – at en person kan genkendes, karakteriseres eller beskrives, er personoplysninger.
Særligt følsomme personoplysninger:
Race eller etnisk baggrund.
Politisk, religiøs eller filosofisk overbevisning.
Fagforeningsmæssigt tilhørsforhold.
Genetiske eller biometriske data, hvis de behandles med henblik på identification.
Helbredsoplysninger.
Seksuelle forhold/seksuel orienteering.
I Danmark: CPR-nummer.
Foto af personen.
Hovedpunkterne i persondataforordningen
- Skærpede regler for samtykke fra den registrerede, fx ansatte eller forbrugere
- Rammerne for selve behandlingen af personfølsomme oplysninger bliver skærpet
- Registrerede personer skal have lettere adgang til egne personoplysninger og øget information om, hvorfor og hvordan persondata behandles
- De nuværende regler for sletning af data udvides – retten til at ”blive glemt”
- Virksomheder får pligt til at informere Datatilsynet om brud på persondatasikkerheden
- Markant skærpede bødestraffe for overtrædelse
Krav til samtykke
Du skal være opmærksom på de skærpede krav, til at din virksomhed skal have samtykke til at behandle persondata:
Samtykket skal være:
Frivilligt: Uden tvang og baseret på reelt og frit valg.
Specifikt: Hvilke oplysninger er der behov for samtykke til og til hvilket formål?
Informeret: Hvem behandler oplysningerne og hvordan?
Utvetydigt (nogle gange udtrykkeligt): Der må ikke herske nogen tvivl om afgivelse eller omfanget af samtykke.
Den registrerede kan til enhver tid trække sit samtykke tilbage, og det skal altid kunne dokumenteres, at virksomheden har modtaget personoplysninger til behandling på baggrund af samtykke.
Persondataforordningen ved ansættelse
Under ansættelsen
Udgangspunktet er, at du som arbejdsgiver må behandle personoplysninger, som medarbejderen selv har afgivet til brug for ansættelsen. Det bør dog kun være relevante medarbejdere (HR og/eller administrationsmedarbejdere), der har adgang til følsomme personoplysninger.
Efter ansættelsen
Din virksomhed SKAL have procedurer for opbevaring og ikke mindst sletning af medarbejderoplysninger – dvs. alle oplysninger – efter at en medarbejder er fratrådt. Der gælder allerede i dag et krav om, at personoplysninger skal slettes, når de ikke længere er relevante, og dette skal vurderes individuelt.
Personoplysninger må ifølge lovgivningen normalt ikke gemmes over fem år. Der er dog den undtagelse, at oplysninger kan opbevares længere, hvis der foreligger en klar beskrivelse af hvorfor samt et samtykke.
Bøder og sanktioner
Der er en række forskellige bødestørrelser for manglende overholdelse af persondataforordningen:
Op til 0,5 % af den årlige globale omsætning
- Manglende ordninger for de registreredes anmodninger og besvarelser heraf.
Op til 1 % af den årlige globale omsætning
- Manglende ajourføring af dokumenter, sletning af oplysninger og besvarelse af indsigtsanmodninger.
Op til 2 % af den årlige globale omsætning
- Behandling af oplysninger uden hjemmel, manglende varsling om brud på datasikkerhed, manglende konsekvensanalyse, ingen dataansvarlig, manglende procedurer for behandling, manglende hensyntagen til indsigelser mod behandling af personoplysninger.
Op til 4 % af den årlige globale omsætning
- Manglende samtykke, manglende lovhjemmel for behandling, fejlbehandling af følsomme personoplysninger, manglende information om den registreredes rettigheder, overførsel af oplysninger til tredjelande.
Hvad kan Patriotisk Selskab hjælpe med?
- Lave en datastrømsanalyse, der kortlægger, hvilke personoplysninger der kommer ind i virksomheden
- Finde ud af, hvem der behandler personoplysninger og har adgang
- Kortlægge, hvordan personoplysninger behandles, og hvor de gemmes
- Beskrive proceduren for, hvordan personoplysninger kommer ind, hvem der behandler, hvorfor og hvordan de behandles
- Få samtykke til behandling fra alle, virksomheden har personoplysninger på (gælder også, hvis virksomheden har data på ægtefælle, samlever og børn – her er dog særlige regler)
- Opdatere jeres database, mappe m.v. med personoplysninger – smide alt ud, der er ældre end fem år, med mindre der er en specifik grund til opbevaringen (samtykke til opbevaring og beskrivelse af hvorfor)
- Beskrive jeres sletningsprocedure
- Få udarbejdet en mailprocedure – undersøge, hvordan I kan sende sikre mails, hvis de indeholder personoplysninger
- Lave beskrivelse af medarbejder(e), der har adgang til behandling af personoplysninger og hvorfor
- Udarbejde en databehandlingspolitik, der er synlig på hjemmeside m.m.
- Indhente samtykke hos alle dem, der er billeder af på hjemmesiden m.m.
Personoplysninger i forbindelse med udlejningsejendomme
Når du har udlejningsejendomme, skal du være særligt opmærksom på nedenstående punkter:
- Find ud af, hvem der behandler personoplysninger og har adgang
- Kortlæg, hvordan personoplysninger behandles, og hvor de gemmes
- Nedskriv en procedure for, hvordan personoplysninger kommer ind, hvem der behandler dem, hvorfor og hvordan de behandles
- Orienter lejerne om behandlingen af deres persondata. Ny lejere: Se § 11. Eksisterende lejere: Orienter dem via mail/post
- Hvis du ønsker RKI-info, kan du anmode lejeren om, at de selv indhenter RKI-status, MEN: de sidste fire cifre i CPR-nummeret skal anonymiseres, når den sendes ind. På den måde er der ikke tale om indsamling og behandling af ”følsomme” personoplysninger, og derfor er det ikke nødvendigt med samtykke for opbevaring.
Har du spørgsmål eller behov for vores hjælp? Så kontakt seniorkonsulent Christian Damsgaard.