Gå til hovedindhold
Bliv medlem Menu

Persondata - test dig selv

De følgende punkter er en helt overordnet guide. For at blive klogere på de forskellige begreber og definitioner, hvis du ikke kender dem i forvejen, kan du dykke dybere ned i punkterne nedenfor.

For at danne dig et overblik over din virksomheds databehandling og -opbevaring, kan du begynde med at finde den klassiske journalistiske værktøjskasse frem og tage udgangspunkt i de klassiske hv-ord: Hvem, hvad, hvor, hvornår, hvorfor, hvordan.

Skriv dit overblik ned og begynd på den måde at etablere den plan, du skal kunne fremvise, hvis det bliver påkrævet. Du skal kunne redegøre for, hvilke data du gemmer, hvorfor og hvor længe – og det skal være både lovligt og begrundet.

Spørg dig selv om behandling af persondata:

Hvem opbevarer virksomheden persondata om?

  • Kunder? Kilder? Samarbejdspartnere? Cases? Andre?
  • Vær opmærksom på, hvis du handler med enkeltmandsvirksomheder, at virksomhedens oplysninger kan sidestilles med personoplysninger, eftersom man ikke kan skille personen ud fra virksomheden. Til gengæld er oplysninger om myndigheder eller andre typer virksomheder som ApS eller A/S ikke omfattet.

Hvem har givet samtykke

  • Første gang du håndterer oplysninger, skal personen oplyses om, at behandlingen finder sted, og hvilke rettigheder man har i den forbindelse (ret til at tilbagekalde samtykke, ret til indsigt og ret til berigtigelse og sletning). Det anbefales at indhente samtykket skriftligt, da virksomheden efterfølgende skal kunne dokumentere, at samtykket er givet. Se mere om samtykke her [link til mere udførlig forklaring]

Hvem har adgang til data?

  • Er du den eneste, der har adgang til ovennævnte data – og er det forsvarligt sikret. Har du eksempelvis ringbind med kunde- eller kildeinformationer stående frit fremme, så andre kan bladre i dem (no-go) eller har du sikret dine arkiver med lås eller password.
  • Hvis du har ansatte, elever eller samarbejdspartnere – eller hvis din partner, børn eller andre indimellem låner din arbejdscomputer – har du så sikret dig, at uvedkommende ikke har adgang til personoplysningerne?

Hvad er det for nogle persondata, virksomheden behandler?

  • Få afdækket, hvilke persondata der bliver behandlet. Eksempelvis kunder, kilder og samarbejdspartnere.

Hvor opbevares data?

  • Som omtalt i punktet om adgang til data, er det vigtigt at sikre, at ingen uvedkommende har adgang til de data, der bliver behandlet og opbevaret.
  • Hvis en tredjepart behandler personoplysninger på dine vegne, skal der udarbejdes en databehandleraftale. Det kan eksempelvis være, hvis virksomheden benytter regnskabsprogrammer, cloudopbevaring, Skype mm. Aftalen skal sikre, at de data, virksomheden leverer til dem, bliver behandlet sikkert.
  • Vær særligt opmærksom, hvis du udleverer persondata med internationale organisationer eller såkaldte tredjelande (Et tredjeland er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge)). Det kan eksempelvis være, hvis du opbevarer dokumenter i en cloudtjeneste eller uploader billeder til en database, der er baseret i et tredjeland.

Hvorfor behandler og opbevarer du data?

  • Virksomheden skal kunne redegøre for, hvorfor den behandler og opbevarer persondata. Der skal være en saglig og lovlig grund til, at data skal behandles. Du kan altså ikke bare indsamle og opbevare data ”for en sikkerheds skyld”.

Hvornår skal data slettes?

  • Persondata må ikke opbevares længere end der er en saglig grund til, og derefter skal oplysningerne slettes. Det gælder eksempelvis også oplysninger, der kan ligge i mailsystemet, arkiver og lign.
  • Det betyder dog ikke, at alt skal slettes med det samme, du ikke længere interagerer med en kunde eller samarbejdspartner. Du kan have en berettiget interesse i at gemme oplysninger, fx til brug for reklamationsret eller for at kunne overholde din oplysningspligt overfor eksempelvis SKAT. 

Hvordan er virksomhedens politik omkring indhentning og opbevaring af persondata beskrevet?

  • Virksomheden skal udarbejde en politik omkring, hvordan ovenstående punkter håndteres.
  • Virksomheden skal også have en handlingsplan for, hvordan alle data om en person findes frem, hvis vedkommende ønsker at få rettet eller slettet persondata om sig selv.

Hvordan håndteres brud på sikkerheden

  • Med den nye databeskyttelsesforordning følger også en anmeldelseskrav til Datatilsynet, hvis udefrakommende får adgang til de persondata, som virksomheden opbevarer. Eksempelvis gennem tyveri eller hackerangreb. I udgangspunktet skal alle brud på persondatasikkerheden anmeldes med mindre, det er usandsynligt, at der kan være en risiko for personers rettigheder eller frihedsrettigheder, hvis der ikke sker anmeldelse. Anmeldelsen skal ske digitalt hos datatilsynet.dk. Anmeldelsen skal ske uden unødvendig forsinkelse og om muligt senest 72 timer efter hændelsen.

Bliv klogere

Hos Datatilsynet findes udførlige vejledninger.

Blandt andet Datatilsynets generelle vejledning og introduktion til databeskyttelsesforordningen

Derudover kan der være god hjælp at hente i Privacy Kompasset, som er udarbejdet i samarbejde mellem Datatilsynet og Erhvervsstyrelsen. Her kan du, ved at svare på 23 konkrete spørgsmål om din virksomhed og dens persondatabehandling, få overblik over, hvilke områder du særligt skal være opmærksom på, og hvilke områder der ikke giver anledning til bekymring.

Fandt du den information du søgte
Tilføj email hvis du ønsker svar retur.