Persondatabeskyttelse (GDPR)

Persondataforordningen fik virkning den 25. maj 2018. Det betyder, at alle virksomheder skal kunne dokumentere, at de behandler persondata i overensstemmelse med de nye regler. I værste fald kan virksomheder straffes med store bøder, hvis de ikke kan dokumentere, at de lever op til reglerne i persondataforordningen.

Som virksomhed skal du have styr på, hvilke data, der behandles i virksomheden, og hvor data lagres og bevæger sig hen for at kunne leve op til persondataforordningen. Det er under alle omstændigheder en værdifuld øvelse for virksomheder.

Når du lever op til persondataforordningen, handler det ikke alene om dokumentation og compliance. Du er samtidig med til at skabe tillid til digitaliseringen og danske virksomheders behandling af persondata, og det skaber tryghed for kunder og samarbejdspartnere. I det store billede er tillid og tryghed afgørende for, at borgere, virksomheder og myndigheder vil bruge nye digitale services og produkter.

Her på siden finder du forskellige værktøjer til dokumentation af og overholdelse af persondataforordningen udarbejdet af DI. Når du er logget ind, kan medlemmer frit downloade skabeloner og vejledning om f. eks. databehandleraftaler, procesafdækning eller dokumentation af databehandlingsaktiviteter.

Hvad er en personoplysning?

Databeskyttelsesforordningen beskytter oplysninger om en fysisk person, der er identificeret eller identificerbar. Når en oplysning kan knyttes til en fysisk person, er det en ”personoplysning”. Det gælder også selvom koblingen kun kan ske ved hjælp af oplysninger fra andre kilder og selv om disse kilder er utilgængelige for jeres virksomhed, f.eks. navnet på indehaveren af en pc med en bestemt IP-adresse (som i udgangspunktet kun er tilgængeligt for teleselskabet). 

Personoplysninger er f.eks. navn, e-mail adresse, CPR-nr., kundenummer, helbredsoplysninger, fingeraftryk, fagforeningsmedlemsskab, portrætfoto, civilstatus, IP-adresse, lokationsdata, medarbejderevalueringer,forbrugshistorik og produktkøb. 

Alle fysiske personer er beskyttet af reglerne i Databeskyttelsesforordningen. Fysiske personer kan f.eks. være medarbejdere, privatkunder, passagerer, patienter, forsøgspersoner, journalister, politiske forbindelser, bestyrelsesmedlemmer, en leverandørs medarbejdere og besøgende på hjemmesiden.

Hvem er dataansvarlig?

Den dataansvarlige er den virksomhed, der overordnet bestemmer, hvilke personoplysninger som skal behandles, hvorfor de behandles og hvordan. Virksomhedens forpligtelser efter Databeskyttelsesforordningen afhænger af, om den er dataansvarlig eller databehandler.

Hvem er databehandler?

Den dataansvarlige kan antage en databehandler til at indsamle eller behandle personoplysninger på sine vegne. F.eks. vil en hosting-leverandør, en cloud leverandør og en ekstern løn administration ofte være databehandlere.

Hvad er behandling af personoplysninger?

Begrebet omfatter groft sagt enhver håndtering af en personoplysning, f.eks. indsamling af oplysninger, samkøring, videregivelse, opbevaring, ændring og sletning. Databeskyttelsesforordningen omfatter enhver automatisk (digital) behandling, men også manuel behandling er omfattet af Databeskyttelsesforordningen, hvis personoplysningerne er eller vil blive indeholdt i et register.

Hvad er følsomme personoplysninger?

Når personoplysninger er ”følsomme” omtales de i Databeskyttelsesforordningen som ”særlige kategorier af personoplysninger”. For disse kategorier af oplysninger gælder der andre og mere restriktive regler for, hvornår oplysningerne må behandles. Følsomme personoplysninger er:

- Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data til identificering af den registrerede person, helbredsoplysninger og seksuelle forhold eller oplysninger om seksuel orientering.

- CPR-numre og oplysninger om straffedomme og lovovertrædelser vil forventeligt bliver underlagt særregler.

Hvad indebærer videregivelse af personoplysninger?

Hvis personoplysninger skal videregives til en tredjepart, f.eks. et andet koncernselskab, en offentlig myndighed, en faglig organisation eller øvrige virksomheder, der selv bliver dataansvarlige for de modtagne oplysninger, skal der også være et behandlingsgrundlag for at foretage denne videregivelse. Der gælder særlige krav, hvis oplysningerne videregives til lande uden for EU og EØS.

Ansvarsfraskrivelse

DI og Bruun & Hjejle fraskriver sig ethvert ansvar for medlemmernes anvendelse af materialet og kan hverken gøres ansvarlige for fejl og mangler i indholdet eller for senere regelændringer, der måtte få betydning for indholdet og behov for opdatering deraf. Medlemmernes tilegnelse og anvendelse af materialet sker således på medlemmernes eget ansvar.

Har du brug for rådgivning?

I Juravagten sidder DI's eksperter inden for ansættelsesret og personalejura klar, hvis du har brug for hjælp. 

Juravagten

Åbningstider: mandag-fredag kl. 8.00-17.00

Telefon: 3377 3377

Mail: jura@di.dk

Vejledninger

Intro til persondataforordningen

Her finder du vejledninger, som giver dig overblik og svar på spørgsmål om persondataforordningen. 

GDPR i kort form

Denne vejledning giver et samlet overblik over de vigtigste regler i Persondataforordningen. Mange af reglerne og en del af forpligtelserne findes allerede i den nuværende persondatalov, men på grund af en række skærpelser og risikoen for bødestraf er der behov for øget fokus på området.

Persondataforordningen (GDPR) - i kort form

Implementering i danske virksomheder

DI har arbejdet med at reducere de 261 sider og 99 artikler i den nye lovgivning til noget, der er operationel for virksomhederne.

Persondataforordningen - implementering i danske virksomheder

GDPR - Dansk/Engelsk

Sammenligning mellem dansk og engelsk udgave.

Databeskyttelsesforordningen - Engelsk Dansk Sammenligning

Databeskyttelseslov

Databeskyttelsesforordningen vil have direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen.

https://www.retsinformation.dk/Forms/r0710.aspx?id=201319

Hent konkrete skabeloner og værktøjer

Her finder du forskellige GDPR-værktøjer udarbejdet af DI. Hvis man er logget ind, kan medlemmer frit downloade skabeloner og vejledninger om f. eks. databehandleraftaler, procesafdækning eller dokumentation af databehandlingsaktiviteter.

Tjekliste

Tjekliste til overholdelse af persondataforordningen. 

GDPR Projektplan

Kort projektplan til planlægning af processen hen mod den 25. maj 2018.

GDPRprojektplan

Vejledning om procesafdækning

Som led i forberedelsen af datastrømsanalysen skal I afdække de processer i virksomheden, som indebærer behandling af personoplysninger. Dette kan gøres ved hjælp af udfyldelse af ét spørgeskema. I denne vejledning kan I læse om, hvad der skal forstås ved processer og hvordan de kan afdækkes ved brug af standardspørgeskema.

Vejledning om procesafdækning

Spørgeskema og vejledning

En afdækning af virksomhedens behandling af personoplysninger kan være en stor hjælp i forhold til at identificere de steder, hvor der er behov for at øge det nuværende compliance-niveau. Dette overordnet standardspørgeskema kan anvendes til formålet.

Standardspørgeskema

Databehandleraftale

Skabelon til en databehandleraftale som kan bruges til sædvanlige databehandlerkonstruktioner. Skabelonen udfyldes med oplysninger om det konkrete samarbejde, som ikke er indgående reguleret i indgået samarbejdsaftaler, outsourcing-aftaler m.v.

Standarddatabehandleraftale

Vejledning og tjekliste til indgåelse af databehandleraftale

Når en virksomhed antager en databehandler til at behandle personoplysninger på virksomhedens vegne, er det et krav, at den dataansvarlige (virksomheden) og databehandleren indgår en skriftlig databehandleraftale. Denne vejledning indeholder også en tjekliste som kan anvendes til gennemgang af aftaleudkast modtaget fra en samarbejdspartner.

Vejledning og tjekliste til indgåelse af databehandleraftaler

Dokumentation for behandling af personoplysning

En virksomhed har en pligt til at udarbejde og løbende opdatere dokumentation for alle virksomhedens databehandlingsaktiviteter. Dokumentationen skal foreligge skriftligt og elektronisk, så den på anmodning kan udleveres til Datatilsynet. Dokumentationen skal ikke indsendes til Datatilsynet, med mindre tilsynet i en konkret sag anmoder om det.

Dokumentation for behandling af personoplysning

DI's skabelon for Data Protection Impact Assessment

Beskyttelse af personoplysninger bliver i fremtiden en konkurrenceparameter. Derfor mener DI, at det er vigtigt, at virksomhederne kortlægger deres opbevaring og håndtering af personoplysninger, når de indfører nye it-systemer.

DI's skabelon for Data Protection Impact Assessment

Oversigt over typiske fejl og mangler (gaps)

Se en oversigt over områder, hvor der typisk opleves mangler og hvor iværksættelse af tiltag er nødvendige for at sikre compliance.

Oversigt over typiske fejl og mangler (gaps)

Brancher og medarbejdere

Analysebranchen og GDPR

Pjece om persondataforordningen for analysebranchen.

Analysebranchen og persondataforordningen

Persondata i HR

Databeskyttelsesforordningen og databeskyttelsesloven fastsætter regler for, hvornår og hvordan virksomheder må behandle oplysninger om personer. DI kan rådgive om persondata, hvis det er nært knyttet til ansættelsesretten.

Persondata i HR

I dybden med persondata i HR

Vi har samlet svar på en lang række spørgsmål om behandling af persondata. Find ud af, hvor længe I må gemme en ansøgning, om I må bruge billeder af medarbejderne, hvad I skal gøre med en fratrådt medarbejders e-mailkonto og meget mere.

I dybden med persondata i HR

 

Politikker for behandling af persondata

Med DI’s skabelon kan du skræddersy politikker for behandling af persondata om jeres medarbejdere – både i forbindelse med rekruttering og under ansættelsen.

Politikker for behandling af persondata

Samtykkeskabeloner

Med DI’s skabelon kan du skræddersy samtykkeerklæringer, hvis du behandler medarbejderes personoplysninger på baggrund af et samtykke. Formularen indeholder skabeloner for samtykke i de situationer, hvor samtykke som udgangspunkt vil være nødvendig for at indhente og behandle personoplysninger i forbindelse med ansættelsesforhold. Vær opmærksom på, at det i mange sammenhænge ikke er nødvendigt at indhente samtykke for at behandle personoplysninger i ansættelsesforhold.

Samtykkeskabeloner