DE GRUNDLÆGGENDE BEHANDLINGSPRINCIPPER

Persondataforordningen stiller nogle grundlæggende krav til en behandling af en personoplysning. Principperne skal altid være opfyldt, ellers må man ikke foretage behandlingen. De vigtigste krav er:

Lovlighed
Rimelighed
Gennemsigtighed
Formål
Korrekthed
Tidsbegrænsning
Proportionalitet og relevans
Sikkerhed

Det er vigtigt, at virksomheden tænker disse principper ind i deres arbejdsgange, da de ansatte til dagligt næppe kan overveje disse principper, hver eneste gang en behandling foretages.

Lovlighed

En behandling skal være lovlig. Det lyder meget banalt, men derfor er det ikke desto mindre sandt. Lovligheden gælder ikke kun efterlevelse af persondataforordningen, men al gældende lovgivning på området. Det vides endnu ikke på nuværende tidspunkt, i hvilket omfang, man bibeholder særregler i anden dansk lovgivning for behandling af visse personoplysninger. I skrivende stund er der flere forskellige særregler:

Lov om finansiel virksomhed
Sundhedsloven
Helbredsoplysningsloven
Tv-overvågningsloven
Arkivloven
CPR-loven
Markedsføringsloven

Rimelighed
Kravet om rimelighed er et vagt og elastisk begreb, der ikke har nogen præcis definition. Helt generelt kan det dog siges, at der er tale om en fleksibel opsamlingsbestemmelse – selvom man måske formelt lever op til forordningens regler, skal man stadig leve op til ”lovens ånd”. Staten har altså med denne bestemmelse mulighed for at regulere virksomheders adfærd i tilfælde, hvor forordningen formelt set er blevet overholdt, men hvor der alligevel er kritisable forhold, der kan krænke den registreredes privatliv.

Gennemsigtighed

Det er en forudsætning for den registreredes mulighed for at bruge sine rettigheder, at behandlingen af personoplysninger er gennemsigtig. Kan den registrerede ikke få indsigt i behandlingen, eller bliver han slet ikke informeret om, at virksomheden har oplysninger om ham, kan han ikke gøre brug af sine rettigheder.
For at sikre gennemsigtighed, er der indskrevet en oplysningspligt i forordningen. Oplysningspligten gælder ved direkte og indirekte indsamling af oplysninger, og hvis man vil bruge allerede indsamlede oplysninger til et andet formål end det oprindelige. Orienteringen skal indeholde oplysninger om:

Identitet og kontaktoplysninger på den dataansvarlige
Kontaktoplysninger på en evt. databeskyttelsesrådgiver
Formålet med behandlingen og dens grundlag
Evt. modtagere eller kategori af modtagere af personoplysningerne
Hvis der sendes personoplysninger til et land uden for EU, skal man oplyse om visse sikkerhedsmæssige overvejelser
Opbevaringsperiodens længde
Påmindelse om den registreredes rettigheder
Om indsamlingen af oplysningerne fra personen er frivilligt, eller om personen er forpligtet til at give oplysninger ifølge af en kontrakt eller en lov.
Oplyse, om der sker automatiseret behandling af personoplysningerne

Oplysningspligten kan være en svær størrelse at anvende. Virksomheden bør kraftigt overveje at automatisere orienteringen, fx ved at hjemmesiden giver oplysningerne, når kunderne bestiller en vare over nettet og man i den forbindelse indsamler oplysninger om kunden.

Formål
Man må kun indsamle oplysninger til saglige og udtrykkeligt angivne formål. Man må som udgangspunkt ikke senere behandle oplysningerne for at opfylde et andet formål end det oprindelige (formålsbestemthed).
For så vidt angår saglighed, er det umuligt at beskrive udtømmende, hvornår et formål er sagligt eller ej. Man kan opstille den tommelfingerregel, at der skal være en naturlig sammenhæng mellem virksomhedens aktivitet og behovet for oplysningen.

At formålet skal være udtrykkeligt indebærer ikke, at det skal formuleres på skrift eller på anden vis. Det betyder, at den dataansvarlige skal være i stand til at redegøre nærmere for, hvorfor den pågældende oplysning indsamles.
Man må derudover ikke fravige det oprindelige formål med indsamlingen, hvis det nye formål er uforeneligt med det oprindelige formål.

Korrekthed
Oplysninger skal i videst muligt omfang være korrekte. Ændrer forholdene for den registrerede sig undervejs, skal man forsøge at korrigere oplysningerne om ham, så de stadig er rigtige.

Proportionalitet og relevans
Behandling af personoplysninger skal altid være relevant i forhold til formål (relevans) og må ikke gå ud over, hvad der er nødvendigt (proportionalitet). Dette betyder, at din virksomhed ikke må indsamle flere oplysninger end nødvendigt, selvom de måske kunne vise sig at være rare at have senere i forløbet.

Tidsbegrænsning
Princippet om tidsbegrænsning går ud på, at personoplysninger ikke skal gemmes for evigt, men skal slettes efter et stykke tid. Man vil således hindre dataophobning af gamle oplysninger, da dette kan udgøre en unødvendig sikkerhedsrisiko.

Tidsbegrænsning sikres gennem den registreredes ”ret til at blive glemt”. Så længe et kontraktforhold varer, må man dog gerne beholde personoplysningerne. Når kontraktforholdet er slut, skal man dog overveje sletning af oplysningerne inden for en rimelig periode. Der er ikke en fast grænse for sletning af oplysninger, det kan efter omstændighederne være et halvt år eller fem år.

Kurser om persondataforordningen

Hos Leoni Advokater afholder vi kurser i, hvordan man i praksis implementerer forordningen i en virksomhed. Kurserne er både rettet til ledelsen, der skal stå for implementeringen, og til de medarbejdere, der skal behandle personoplysninger. Korrekt implementering kræver, at hele virksomheden løfter i flok – både i toppen og i bunden

Leoni Advokaters samarbejdspartnere

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden n etI P.

På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden n etIP , der i fremadrettet vil give gode tips til, hvordan din virksomhed kan indrette sig it-teknisk.

netIP anbefaler - Hvilke data er korrekte at indsamle – og hvad er formålet med dem?

IT kan ikke alene afgøre for dig eller dine medarbejdere, om der f.eks. er proportionalitet og relevans i jeres behandling af data, og slet ikke om der er rimelighed.

IT kan dog være med til atunderstøtte data proportionalitet og -relevans, og bidrage til gennemsigtighed, overholdelse af tidsbegrænsningen osv. Et godt sted at starte, om end det kræver omtanke og tid, er at tage jeres data-opbevarings-struktur op til nøje overvejelse. Overvej som minimum hvad jeres netværksdrev samt foldere derpå indeholder, og gennemgå efterfølgende adgangsbegrænsningerne. Endnu bedre er det at anvende et system specifikt egnet til formålet, eksempelvis Microsoft SharePoint, der oftest i forvejen er tilgængeligt i mange virksomheder, så det er blot et spørgsmål om at begynde at bruge det.

Når data er flyttet til et sådan system, kan man bl.a. lettere søge heri og finde relevant data, få versionshistorik på dokumenter, automatisering f.eks. med godkendelsesproces eller dokumentudløb/arkivering (notifikationer om at arkivere/slette data når oprindelige formål udløber), mv. Netværksdrev var en let måde at bringe dokumenter ind i IT, at ”sætte strøm til arkivskabet”, men ved at omfavne dagens muligheder er der fordele at høste, ikke kun lettere overholdelse af nye forordninger.

Persondatabeskyttelse kræver, at en virksomheds ansatte skal ændre deres vaner, og at kulturen i virksomheden udvikles. Det er ikke altid en let opgave at sætte skub i sådan en udvikling. Vi har derfor inviteret konsulentvirksomheden AKON til i de kommende nyhedsbreve at give deres bud på, hvordan man bedst takler denne problemstilling.

AKON er en konsulentvirksomhed, der beskæftiger sig med rådgivning om psykisk arbejdsmiljø, ledelse & organisation og forretningsudvikling.

AKON anbefaler - Implementerbarhed

Normalt vil et ord som dette blive koblet på noget rent instrumentelt og teknisk. Er vore IT-systemer kompatible i forhold til persondataforordningen? Et andet spørgsmål er, om vore ansatte er det. Alle ønsker at gøre et godt stykke arbejde, men bliver det nu enten besværliggjort eller måske umuligt at udføre?

Forordningen kommer til at betyde nye arbejdsgange på mange arbejdspladser. Nogle af disse nye arbejdsgange kan man forudsige, mens andre først bliver synlige, når processen er sat i gang. En god ide ville være via forsøgsordninger at tester implementerbarheden. Et springende punkt er inddragelse af de medarbejdere, der skal efterleve forordningen i hverdagen. Deres behov for at gøre et godt stykke arbejde, vil være motiverende for at designe nye arbejdsgange.

Ønsker du at vide mere?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for. Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig.

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.