HVAD ER EN BEHANDLING AF PERSONOPLYSNINGER?

I vores tredje nyhedsbrev om persondatabeskyttelse vil vi forsøge at forklare, hvad en behandling af personoplysninger er.

Hvorfor skal man vide, om der er tale om en behandling?

De gode nyheder er, at man kun er omfattet af forordningens regler, i det omfang man behandler personoplysninger. Er der ikke tale om en behandling, behøver man ikke bekymre sig om forordningen. De dårlige nyheder er, at næsten alt kan være en behandling af personoplysninger.

Hvad er en behandling?

Behandling er et særdeles omfattende begreb, der omfatter alle tænkelige håndteringer af personoplysninger. Det betyder, at alle de oplistede håndteringer nedenfor er behandlinger omfattet af forordningen:

Opbevaring
Blokering
Søgning
Videregivelse
Ændring
Sletning
Formidling
Indsamling
Samkøring
Registrering
Brug

Hver eneste gang, en virksomhed vil foretage en behandling, skal virksomheden overveje de persondataretlige regler. Man skal opfylde behandlings-betingelserne (eksempelvis ved at indhente et samtykke) og de grundlæggende principper (eksempelvis proportionalitet – behandlingen må ikke stå i misforhold til det tilsigtede mål).

Hvilke behandlinger er ikke omfattet?

Forordningen undtager alle behandlinger, der sker i rent personligt og familiemæssigt regi. Dette kan for eksempel være tilfældet, hvis du sender oplysninger om dine børn til din ægtefælle, fører en liste med dine venners adresser og telefonnumre, eller du putter et billede fra en privat fødselsdagsfest op på Facebook. Denne undtagelse er dog sjældent relevant for virksomheder, da oplysningerne behandles i erhvervsmæssigt regi.

Der er endnu ikke anerkendt en bagatelgrænse for, hvilke behandlinger der er omfattet af reglerne. Selv små og banale behandlinger må derfor anses som omfattede.

Vær opmærksom

I sin hverdag må man være opmærksom, når man behandler personoplysninger. Hvis du eksempelvis sætter en person på en e-mail som cc, vil dette være en behandling, da du videregiver vedkommendes e-mailadresse til modtageren. Og det er måske ikke alle der ønsker, at deres e-mailadresse skal kunne ses af de andre modtagere.

Kortlæg dine behandlinger

For at leve op til forordningens regler, er det vigtigt, virksomheden får styr på, hvilke behandlinger den foretager sig. Det er derfor en god ide at sætte sig ned og brainstorme, hvilke behandlinger, virksomheden normalt foretager. Når man først har identificeret sine mest almindelige behandlinger, skal man derefter overveje, hvem der har dataansvaret for behandlingen, og om behandlingsbetingelserne og behandlingsprincipperne er opfyldt.

Virksomheder skal tage persondatabeskyttelse alvorligt

Persondataforordningen tvinger alle virksomheder til at tage persondatabeskyttelse alvorligt. Der bliver stillet store krav til implementering af forordningen, og omstillingen kræver en vis mængde arbejde. Det vil give nogle udfordringer for både store og små virksomheder. Leoni Advokater tager disse udfordringer alvorligt. For at oplyse og hjælpe så mange virksomheder som muligt om arbejdet, vil vi i den kommende tid udsende 12 informative nyhedsbreve.

Nyhedsbrevene udsendes en gang om ugen, og har til formål at give en grundlæggende forståelse af persondatabeskyttelse. Nyhedsbrevene skal være med til at klæde dig på, så du har mulighed for, at udvikle en strategi for implementeringen af forordningen i din virksomhed. Du kan læse alle nyhedsbrevene online her.

Kurser om persondataforordningen

Hos Leoni Advokater afholder vi kurser i, hvordan man i praksis implementerer forordningen i en virksomhed. Kurserne er både rettet til ledelsen, der skal stå for implementeringen, og til de medarbejdere, der skal behandle person-oplysninger.

Korrekt implementering kræver, at hele virksomheden løfter i flok – både i toppen og i bunden.

Leoni Advokaters samarbejdspartnere

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden n etI P.

På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden n etIP , der giver gode tips til, hvordan din virksomhed kan indrette sig it-teknisk.

netIP anbefaler - behandling er opbevaring, og opbevaring er også på farten.

Uanset hvor godt I sikrer jeres bygninger, jeres lokaler og jeres datalager, hvad end det er lokalt eller hosted, så vil bærbare pc’er og smartphones udgøre risiko for datatab. Samtidigt er disse enheder, for de fleste, en belejlig mulighed for øget fleksibilitet, eksempelvis til at kunne tage arbejdet med hjem. Kunsten er derfor, at afveje sikkerhed med brugervenlighed.

Som minimum bør I sikre, at bærbare pc’er er passwordbeskyttede, og at harddiske er krypterede. Uden kryptering, kan en tyv potentielt blot tage harddisken ud af en bærbar pc’er og læse data med en anden maskine. På Windows pc’ere kan kryptering gøres med Bitlocker, hvilket kan fås til de fleste erhvervsrettede bærbare pc’ere - på Mac er der FileVault 2.

Smartphones og tablets er i stigende grad et værktøj til data-opbevaring og til arbejde i øvrigt, hvilket altså er lig med databehandling. På disse enheder er der ikke samme standard-muligheder for kryptering, som på bærbare, men der kan man i stedet for se på en Mobile Device Management (MDM) løsning.

Et MDM kan give jer overblik over brug af mobile enheder, lade jer udrulle det sikkerhedsniveau I finder relevant, og endda skubbe applikationer ud, så f.eks. nye medarbejdere hurtigt er i gang med de rette værktøjer.

Nogle MDM løsninger dækker tilmed både smartphones og pc’ere, hvilket giver et samlet overblik og styring. MDM er et godt eksempel på et produkt, der udover at øge sikkerheden, også tilføjer værdi til forretningen.

Persondatabeskyttelse kræver, at en virksomheds ansatte skal ændre deres vaner, og at kulturen i virksomheden udvikles. Det er ikke altid en let opgave at sætte skub i sådan en udvikling. Vi har derfor inviteret konsulentvirksomheden AKON til at give deres bud på, hvordan man bedst takler denne problemstilling.

AKON er en konsulentvirksomhed, der beskæftiger sig med rådgivning om psykisk arbejdsmiljø, ledelse & organisation og forretningsudvikling.

AKON anbefaler - Identificer indsats også den psykiske

Hvad betyder den nye persondataforordning for os? Hvad kommer det til at betyde for os i dagligdagen? Når vi tænker sådan er vi allerede ved at bevæge os fra det juridiske til det psykologiske. Enhver form for forandring skaber en reaktion.

Nogle af os nyder forandringer og andre af os bliver bekymret. Betyder det at mit arbejde bliver besværliggjort, og har jeg ikke gjort det godt nok hidtil? Samtidig med at man identificerer, hvad der nu skal ske rent teknisk og instrumentelt, skal man også tænke i de menneskelige reaktioner.

Det gøres gennem snak – slet og ret. ”Nu skal I høre: vi skal have det her implementeret. Før vi for alvor kaster os ind i kampen, så vil jeg gerne høre om hvilke tanker I gør jer.”

Denne lille øvelse er nok den mindste investering med det største afkast, når det handler om organisationens ressourcer. Når den er gjort kan man begynde planlægningen.

Ønsker du at vide mere?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver.

Som virksomhedsleder skal du have fokus på det, du brænder for. Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig.

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.