Arrangementerne i Glostrup var de første af en ny række roadshows. I 2018 kommer der flere arrangementer, der skal sikre, at DI får mødt repræsentanter fra mindst 5.000 af organisationens medlemmer.

DI Business Nyheder

Stor usikkerhed om persondata hos mange virksomheder

Omkring 500 deltagere ved to arrangementer om Persondataforordningen vidner om, at usikkerheden om forordningens betydning stadig er stor. Ny vejledning om dataansvarlige og databehandlere giver god hjælp med konkrete eksempler.

”Når vi indsender oplysninger til SKAT, er de så at regne for en ekstern databehandler, som vi skal have en underskrevet aftale med?”

Sådan lød et af spørgsmålene fra en af de 500 personer, der deltog ved to møder om Persondataforordningen i Glostrup.

Persondataforordningen træder i kraft 25. maj 2018, og vi vil gøre alt, hvad vi kan for at hjælpe vores medlemmer med at være klædt på til at overholde den i tide. Kim Haggren, Underdirektør

Svaret på spørgsmålet er nej. Men forvirringen er forståelig, idet flere virksomheder også har oplevet, at offentlige myndigheder henvender sig til dem for at indgå de såkaldte aftaler om databehandling, som – i visse tilfælde - skal indgås, når man overlader data til en anden virksomhed.

- Forvirringen om reglerne om databehandlere er meget udbredt. Derfor er det godt, at Datatilsynet har udsendt en ny vejledning om dataansvarlige og databehandlere, der giver god hjælp med konkrete eksempler, siger underdirektør Kim Haggren, DI.

Hvem skal sikre, at loven er opfyldt?

Vejledningen fra datatilsynet giver blandt andet svar på, hvornår man er selvstændigt dataansvarlig, og hvornår man er databehandler, og hvad forskellen er på de to ting. Det sker med eksempler som f.eks. dette:

”En dataansvarlig (Fitness A) har brug for at behandle personoplysninger, herunder navne, personnumre, e-mailadresser og kontooplysninger, om sine medlemmer. Formålet med behandlingen er bl.a., at Fitness A skal kunne opkræve betaling for medlemskab.
Fitness A ønsker at benytte et elektronisk system, hvori de nødvendige oplysninger kan registreres, opbevares og ajourføres mv. Fitness A indgår derfor en aftale med IT-virksomheden Web B, som har udviklet et system ”FitnessCare”, der kan det, som Fitness A ønsker. Oplysningerne, som Fitness A indtaster i systemet, opbevares på servere hos Web B, som ejer og administrerer ”FitnessCare”.

I aftalen mellem Fitness A og Web B fremgår det klart, at Web B kun må behandle oplysningerne om Fitness A’s medlemmer på den måde, som er aftalt med og godkendt af Fitness A. Fitness A bestemmer således, med hvilke formål, der skal behandles personoplysninger (så Fitness A kan opkræve betaling fra deres medlemmer mv.) og hvordan oplysningerne skal behandles.

Fitness A er derfor dataansvarlig.

Aftalen mellem Web B og Fitness A går her ud på, at Web skal levere en ydelse, der består i, at Web B skal behandle (opbevare) personoplysninger. Ydelsen er altså behandling af personoplysninger. Når behandlingen samtidig alene sker på vegne af Fitness A, er Web B i denne situation databehandler.

Web B får en dag en henvendelse fra tøjfirmaet ”Sportswear”, som ønsker at købe oplysninger i form af e-mailadresser på fitnessmedlemmer. Web B rekvirerer herefter en liste med emailadresser på fitnessmedlemmer, bl.a. fra Fitness A, hvorefter listen mod betaling videregives til tøjfirmaet.

Web B handler i denne situation uden for sin instruks og uden godkendelse fra Fitness A, og Web B bliver derfor selvstændig dataansvarlig for videregivelsen af e-mailadresser til tøjfirmaet, og er således også ansvarlig for, at videregivelsen er lovlig.”


Skal møde 5.000 virksomheder

Arrangementerne i Glostrup var de første af en ny række roadshows om Persondataforordningen, som DI afholder inden nytår. I 2018 kommer der flere arrangementer, der skal sikre, at DI får mødt repræsentanter fra mindst 5.000 af organisationens medlemmer.

- Persondataforordningen træder i kraft 25. maj 2018, og vi vil gøre alt, hvad vi kan for at hjælpe vores medlemmer med at være klædt på til at overholde den i tide. Dem, vi ikke kan nå at møde, kan derfor få hjælp via vores hjemmeside, hvor vi stiller en række vejledninger og værktøjer til rådighed, og vi sidder selvfølgelig også klar ved telefonerne i tvivlsspørgsmål, siger Kim Haggren.

Se også mere information om Persondataforordningen fra DI  

Yderligere oplysninger hos chefkonsulent Marie Krogsgaard Pedersen, Tlf: +45 3377 3678 E-mail: makp@di.dk

Relateret