Databeskyttelse (GDPR)

Databeskyttelsesforordningen trådte den 25. maj 2018 i kraft. Det betyder, at alle virksomheder skal kunne dokumentere, at de behandler persondata i overensstemmelse med de nye regler. I værste fald kan virksomheder straffes med store bøder, hvis de ikke kan dokumentere, at de lever op til reglerne i databeskyttelsesforordningen..

Som virksomhed skal du have styr på, hvilke data, der behandles i virksomheden, og hvor data lagres og bevæger sig hen for at kunne leve op til databeskyttelsesforordningen. Det er under alle omstændigheder en værdifuld øvelse for virksomheder.

Når du lever op til databeskyttelsesforordningen, handler det ikke alene om dokumentation og compliance. Du er samtidig med til at skabe tillid til digitaliseringen og danske virksomheders behandling af persondata, og det skaber tryghed for kunder, samarbejdspartnere og medarbejdere. I det store billede er tillid og tryghed afgørende for, at borgere, virksomheder og myndigheder vil bruge nye digitale services og produkter.

Her på siden finder du forskellige værktøjer til dokumentation af og overholdelse af databeskyttelsesforordningen udarbejdet af DI. Når du er logget ind, kan medlemmer frit downloade skabeloner og vejledning om f. eks. databehandleraftaler, procesafdækning eller dokumentation af databehandlingsaktiviteter.

Hvad er en personoplysning?

Databeskyttelsesforordningen beskytter oplysninger om en fysisk person, der er identificeret eller identificerbar. Når en oplysning kan knyttes til en fysisk person, er det en ”personoplysning”. Det gælder også selvom koblingen kun kan ske ved hjælp af oplysninger fra andre kilder og selv om disse kilder er utilgængelige for jeres virksomhed, f.eks. navnet på indehaveren af en pc med en bestemt IP-adresse (som i udgangspunktet kun er tilgængeligt for teleselskabet). 

Personoplysninger er f.eks. navn, e-mail adresse, CPR-nr., kundenummer, helbredsoplysninger, fingeraftryk, fagforeningsmedlemsskab, portrætfoto, civilstatus, IP-adresse, lokationsdata, medarbejderevalueringer,forbrugshistorik og produktkøb. 

Alle fysiske personer er beskyttet af reglerne i Databeskyttelsesforordningen. Fysiske personer kan f.eks. være medarbejdere, privatkunder, passagerer, patienter, forsøgspersoner, journalister, politiske forbindelser, bestyrelsesmedlemmer, en leverandørs medarbejdere og besøgende på hjemmesiden.

Hvem er dataansvarlig?

Den dataansvarlige er den virksomhed, der overordnet bestemmer, hvilke personoplysninger som skal behandles, hvorfor de behandles og hvordan. Virksomhedens forpligtelser efter Databeskyttelsesforordningen afhænger af, om den er dataansvarlig eller databehandler.

Hvem er databehandler?

Den dataansvarlige kan antage en databehandler til at indsamle eller behandle personoplysninger på sine vegne. F.eks. vil en hosting-leverandør, en cloud leverandør og en ekstern løn administration ofte være databehandlere.

Hvad er behandling af personoplysninger?

Begrebet omfatter groft sagt enhver håndtering af en personoplysning, f.eks. indsamling af oplysninger, samkøring, videregivelse, opbevaring, ændring og sletning. Databeskyttelsesforordningen omfatter enhver automatisk (digital) behandling, men også manuel behandling er omfattet af Databeskyttelsesforordningen, hvis personoplysningerne er eller vil blive indeholdt i et register.

Hvad er følsomme personoplysninger?

Når personoplysninger er ”følsomme” omtales de i Databeskyttelsesforordningen som ”særlige kategorier af personoplysninger”. For disse kategorier af oplysninger gælder der andre og mere restriktive regler for, hvornår oplysningerne må behandles. Følsomme personoplysninger er:

- Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data til identificering af den registrerede person, helbredsoplysninger og seksuelle forhold eller oplysninger om seksuel orientering.

- CPR-numre og oplysninger om straffedomme og lovovertrædelser vil forventeligt bliver underlagt særregler.

Hvad indebærer videregivelse af personoplysninger?

Hvis personoplysninger skal videregives til en tredjepart, f.eks. et andet koncernselskab, en offentlig myndighed, en faglig organisation eller øvrige virksomheder, der selv bliver dataansvarlige for de modtagne oplysninger, skal der også være et behandlingsgrundlag for at foretage denne videregivelse. 

Ønsker man derfor som dataansvarlig at overføre data til en anden dataansvarlig eller en tredjepart, skal der være et legitimt formål med overførelsen, som skal fremgå af enten artikel 6 eller artikel 9. Ligeledes skal modtageren have et legitimt formål med at indsamle og behandle oplysningerne. 

Der gælder særlige krav, hvis oplysningerne videregives til lande uden for EU og EØS. Disse særlige regler fremgår af databeskyttelsesforordningens kapitel 5. 

GDPR og elektronisk markedsføring

Dette spørgsmål vedrører både persondata og markedsføring, hvorfor der er to aspekter af dette spørgsmål.

Det første er det persondataretlige aspekt

E-mail adresser på kunder er persondata. E-mailadresser er en almindelig personoplysning, jf. databeskyttelsesforordningens artikel 4, stk. 1. Behandling af almindelige personoplysninger er kun lovlig, hvis og i det omfang mindst ét af de forhold, som er nævnt i artikel 6, stk. 1, litra a-f gør sig gældende.

Lovgrundlaget for behandling af personoplysninger til direkte markedsføring kan man normalt basere på den såkaldte interesseafvejningsregel i artikel 6, stk. 1, litra f, hvor man skal afveje den legitime interesse i databehandlingen overfor hensynet til den registrerede. Det fremgår således direkte af forordningens præambelbetragtning 47, at behandling af personoplysninger til direkte markedsføring er en legitim interesse. Som et eksempel på en legitim interesse, der vejer tungere end den registreredes interesser, og som derfor opfylder interesseafvejningsreglen, nævnes eksplicit: ”når der er et relevant og passende forhold mellem den registrerede og den dataansvarlige, f.eks. hvis den registrerede er kunde hos [..] den dataansvarlige”.

Interesseafvejningsreglen kan således anvendes som det persondataretlige lovgrundlag for direkte markedsføring. 

Dog skal man som virksomhed stadig være opmærksom på en række af de øvrige persondataretlige regler, navnlig oplysningspligten og indsigelsesretten.

Det følger af oplysningspligten (forordningens art. 13 og 14), at den dataansvarlige generelt på tidspunktet for indhentelse af personoplysningerne skal give den registrerede en række oplysninger, bl.a. om formålene og retsgrundlaget for behandlingen af de pågældende personoplysninger.

Når retsgrundlaget er interesseafvejningsreglen, skal den dataansvarlige desuden oplyse om de legitime interesser, hvorpå behandlingen er baseret (i dette tilfælde den legitime interesse i direkte markedsføring).

Det følger af indsigelsesretten (artikel 21), at hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til enhver tid ret til at gøre indsigelse mod en sådan behandling, herunder profilering, i det omfang profileringen vedrører direkte marketing. Hvis den registrerede gør indsigelse mod behandling til direkte markedsføring, må personoplysningerne ikke længere bruges til dette formål. Den registrerede skal udtrykkelig gøres opmærksom på denne ret, og udgør således et supplement til oplysningspligten i art. 13 og 14. Oplysningerne om indsigelsesretten er endda underlagt særligt restriktive krav, idet disse oplysninger skal gives klart og adskilt fra alle andre oplysninger, hvilket fremgår af artikel 21. stk. 4

Hvis man som dataansvarlig ikke har opdateret sin persondatapolitikken med ovenstående, så anbefales det, at opdatere persondatapolitikken, og ved en snarlig lejlighed underrette de berørte kunder om den opdaterede politik. 

Bemærk at der efter de persondataretlige regler ikke er krav om et forudgående samtykke til at foretage direkte markedsføring, Der er derimod tale om, at man skal have lovlig hjemmel og opfylde sin oplysningspligt, herunder om indsigelsesretten. 

 

Det andet aspekt af dette spørgsmål er det markedsføringsretlige. 

Modsat de persondataretlige regler, hvor der ikke gælder et krav om forudgående samtykke til at sende direkte markedsføring, så er udgangspunktet derimod, efter de markedsføringsretlige regler, at virksomheder ikke må sende mails, sms’er og anden elektronisk post til nogen med henblik på direkte markedsføring til bestemte modtagere, medmindre modtageren har givet sit forudgående samtykke til henvendelsen. Forbuddet (også kaldet spamforbuddet) står i markedsføringslovens § 10, stk. 1: 

Markedsføringslovens § 10, stk. 1:

En erhvervsdrivende må ikke rette henvendelse til nogen ved brug af elektronisk post, et automatisk opkaldssystem eller telefax med henblik på direkte markedsføring, medmindre den pågældende har givet sit forudgående samtykke hertil. Den erhvervsdrivende skal give mulighed for let og gebyrfrit at tilbagekalde samtykket.”

Hvis en virksomhed sender elektroniske nyhedsbreve til potentielle kunder, vil det i praksis altid blive betragtet som direkte markedsføring og nyhedsbrevene vil derfor være omfattet af spamforbuddet. E-mails, sms mv. om markedsføring, kan derfor som udgangspunkt alene fremsendes med modtagerens samtykke. 

Et sådant samtykke, kan ikke lovligt indhentes ved at sende en mail eller sms (eller anden elektronisk post) til modtageren og anmode om samtykket. 

Derimod kan et lovligt samtykke indhentes på en række andre måder, f.eks. via:

• Telefon eller personligt møde (bør i givet fald sikres dokumentation, f.eks. ved i den efterfølgende mail at beskrive det afgivne samtykke)

• Egen hjemmeside, FB side, LinkedIn side mv., så længe brugeren ikke modtager en opfordring hertil via elektronisk post (en pop-up eller bannerannonce er ikke elektronisk post).

• I forbindelse med konferencer, seminarer, kurser mv., for eksempel hvor materialet indeholder en samtykkeerklæring til udfyldning, og/eller hvor værten opfordrer deltagerne til at gå ind på virksomhedens hjemmeside og give samtykke til direkte markedsføring/nyhedsbrev.

• Reklamer/pop-ups/bannerannoncer i tidsskrifter, aviser, andres hjemmesider osv. (generelle reklamer/pop-ups/bannerannoncer mv. betragtes normalt ikke som direkte markedsføring, og vil heller ikke være elektronisk post)

Der findes en enkelt undtagelse til samtykkekravet. Dette følger af markedsføringslovens § 10, stk. 2:

Har en kunde i forbindelse med et køb givet en elektronisk adresse, kan sælgeren markedsføre egne tilsvarende produkter via den elektroniske adresse uden et forudgående samtykke. Kunden skal dog have mulighed for at frabede sig henvendelserne, både når kunden oplyser sin elektroniske adresse og ved alle fremtidige markedsføringshenvendelser til denne adresse.. 

Så hvis der er tale om direkte markedsføring til en tidligere kunde, så kan dette udsendes uden et forudgående samtykke, såfremt betingelserne herfor er opfyldt. Betingelserne for opfyldelse kan læses i forbrugerombudsmandens spam-vejledning på s. 31ff. 

Hvad angår nyhedsbreve, så er det tvivlsomt, om et nyhedsbrev vil være at betegne som egne tilsvarende produkter, da den ofte omhandler alle virksomhedens produkter og ikke kun tilsvarende produkter. 

Læs mere omkring tilsvarende produkter i spam-vejledningen s. 32ff.

Såfremt betingelserne for at sende direkte markedsføring ikke er opfyldt (dvs. hvor man har et lovligt samtykke eller opfylder betingelserne i lovens § 10, stk. 2), bør det overvejes, hvordan disse betingelser opfyldes fremadrettet, hvis ønsket er, at kunne sende sine kunder elektronisk markedsføring - se diverse muligheder listet ovenfor. 

Direkte markedsføring via gammeldags post er ikke omfattet af reglerne om elektronisk post. Der gælder dog restriktioner, når det er direkte markedsføring overfor forbrugere, hvor der ikke må sendes direkte markedsføring til forbrugere, som fremgår af Robinson-listen. 

Enkeltmandsvirksomheder, der bliver drevet fra hjemadressen, og visse private foreninger betragtes ligeledes som forbrugere i denne sammenhæng. 

Find forbrugerombudsmandens spam-vejledning her

Samtykke og markedsføring

Såfremt man baserer sin persondatabehandling på et samtykke, så har et samtykke den konsekvens, at den registrerede til enhver tid kan trække samtykket tilbage. Derfor skal man som virksomhed overveje i hvilke situationer det er hensigtsmæssigt at anvende samtykke som behandlingsgrundlag. 

Hvis en virksomhed ønsker at udarbejde omfattende reklame- eller markedsføringsmateriale, vil det som udgangspunkt ikke være hensigtsmæssigt at foretage denne persondatabehandling med samtykke som hjemmel. Trækker den registrerede sit samtykke tilbage, kan det for virksomheden have den konsekvens, at materialet som den registrerede optræder på eller i, enten skal slettes eller redigeres, således at den registrerede ikke længere fremgår af materialet.

DI's anbefaling til, hvorledes virksomheden kan undgå konsekvensen af, at skulle slette omfattende reklame- eller markedsføringsmateriale er, at virksomheden indgår en uafhængig kontrakt mellem den registrerede og virksomheden omkring medvirkning. 

Sletning

Ét af kravene til at overholde de generelle principper for behandling af persondata i databeskyttelsesforordningens artikel 5, er, at man som dataansvarlig skal slette oplysninger, når det ikke længere er nødvendigt at behandle oplysningerne for at opfylde formålene med behandlingen, jf. artikel 5, stk. 1, litra e.

Den dataansvarlige skal indføre retningslinjer for, hvornår personoplysninger skal slettes, således at den dataansvarlige kan påvise asvarlighed, jf. artikel 5, stk. 2. 

Databeskyttelsesforordningen opererer således ikke med fastsatte slettefrister, om hvor lang tid personoplysninger skal opbevares. Sådanne frister indgår dog i anden lovgivning, som skal overholdes. Her kan bl.a. nævnes reglerne om opbevaringspligt samt forældelsesreglerne. 

 

Hvordan skal personoplysninger slettes? 

Personoplysningerne skal slettes fuldstændigt fra alle de medier, hvor de er lagret. Dette gælder også hos databehandlere og eventuelle underleverandører. Personoplysningerne må ikke på nogen måde kunne genskabes. Det er den dataansvarlige, der skal kunne påvise, at der løbende er ført kontrol med, at sletningen rent faktisk sker. 

Iagttagelse af oplysningspligten

Når virksomheder registrerer oplysninger omkring kunder, samarbejdspartner, medarbejder eller andre i et form for register, så er man som dataansvarlig forpligtet til at oplyse den registrerede om, at man har vedkommendes oplysninger. Dette kaldes oplysningspligten og fremgår af artikel 13 og 14 i databeskyttelsesforordningen.

Modtager man oplysninger indsamles hos den registrerede, er det oplysningerne efter artikel 13 som den dataansvarlige skal give den registrerede. Er oplysningerne derimod ikke indsamlet hos den registrerede, men fx kommer fra en tredjepart, så er det oplysningerne i artikel 14 som den dataansvarlige skal give den registrerede.

Oplysningspligten er en pligt den dataansvarlige har, og såfremt denne pligt ikke iaggtages kan den dataansvarlige ifalde administrative bøder, jf. artikel 83.

Cookies

Hvad er en cookie?

En cookie er en lille fil som lagres på computeren, og som indeholder oplysninger om den bruger, som browser. En cookie er browerspecifik, så der kan blive sat cookies i hver browser, og man giver sit samtykke til cookies i hver enkelt browser. 

Typer af cookies:

Der findes grundlæggende to typer cookies: 

Session cookies: cookies der kun varer i den aktuelle browsingperiode, hvor man er inde på fx en hjemmeside. Forlades browseren slettes cookien også. 

Persisten cookies: er cookies som lagres længere tid, evt. flere måneder eller år. Den der udarbejder cookien definerer hvor længe den skal ligge. 

Det er vigtigt i denne sammenhæng at nævne, at en IP-oplysning er en personhenførbar oplysning, selvom det er dynamiske IP-adresser. 

Regulering:

Cookies reguleres ikke alene af persondataforordningen. Ved cookies er det også relevant at inddrage ePrivacydirektivet, som regulerer brugen af elektronisk kommunikation og brugen af cookies.
I modsætning til persondata, så gælder ePrivacydirektivet også, hvor den elektroniske kommunikation ikke indebære personhenførbare oplysninger. Man skal være opmærksom på, at hvis begge regelsæt finder anvendelse, fordi brugen af cookies indebærer personhenførbare oplysninger, så er det nødvendigt at henvise til de gældende bestemmelser i begge regelsæt.

Ved brugen af cookies, er den vigtigste bestemmelse reglen om et informeret samtykke i artikel 5, stk. 3 i ePrivacydirektivet – disse krav er implementeret i den danske cookiebekendtgørelse. Af cookiebekendtgørelsen følger det, at forudsætningen for at lagre cookies er, at der er givet et samtykke. Forud for samtykke skal brugeren have modtaget klare og fyldestgørende oplysninger om brugen af cookies før samtykket bliver givet. kravene for et gylig samtykke følger bestemmelserne i databeskyttelsesforordningen. 

Det følger af artikel 5, stk. 3 at kravet kun er opfyldt, hvis brugeren på forhånd har modtaget forud indgående information om afsendelsen af og formålet med cookien. Hertil gælder det efter GDPR at informationen skal gives i et klart og enkelt sprog. 

Det er muligt at anvende lagdelt information, hvilket betyder, at de vigtigste informationer skal gives til den registrerede med det samme, såsom information om alle formål ved anvendelsen af cookies, og hvem der anvender cookies på hjemmesiden – herunder oplysninger om tredjeparts cookies. Herefter kan der så linkes til mere deltaljerede informationer. 

Vigtigt ift. samtykke

- Krav om aktiv viljetilkendegivelse: Et forud afkrydset felt kan ikke udgøre et gyldigt samtykke til brug af cookies. Et gyldigt samtykke forudsætter en aktiv handling fra brugerens side. 

- Granulering af samtykke: Datatilsynet har for nylig opdateret deres vejledning ift. samtykke, hvor de indskærper, at den registrerede frit skal kunne vælge, hvilke behandlingsformål der accepteres, når en tjeneste omfatter flere behandlingsoperationer til mere end ét formål. Et samtykket er således ikke givet frivilligt, hvis samtykkeerklæringen ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter. Det betyder, at hvis placeringen af cookies har forskellige formål, så skal der indhentes samtykke til hver enkelt formål. 

- Cookies som forudsætning for adgang: Der følger det af Erhvervsstyrelsen vejledning, at det ikke under dansk ret er et krav, at private hjemmesider kan fungere uden cookies eller lignende teknologier, hvormed afvisning af cookies kan medføre at brugerens eneste mulighed er, at forlade siden. Det offentlige skal derimod indrette sig sådan, at deres hjemmesider skal kun fungere helt uden cookies. Information fra det offentlige skal være tilgængelige for alle.

- Krav om muligheden for tilbagekaldelse af samtykke: Brugere skal have mulighed for at tilbagekalde et allerede givet samtykke. Den dataansvarlige skal omgående slette oplysningerne om den registrerede, hvis den registrerede anmoder om, at  få slettet sin profil, eller udøver sin ret til at trække samtykket tilbage. 

- Oplysning om tilbagekaldelse af samtykke: Det anbefales at man i sin cookiedeklaration beskriver, hvor samtykke kan tilbagetrækkes, evt. med links eller et ikon som findes på hjemmesiden uanset, hvor man bevæger sig rundt. 

Ansvarsfraskrivelse

DI og Bruun & Hjejle fraskriver sig ethvert ansvar for medlemmernes anvendelse af materialet og kan hverken gøres ansvarlige for fejl og mangler i indholdet eller for senere regelændringer, der måtte få betydning for indholdet og behov for opdatering deraf. Medlemmernes tilegnelse og anvendelse af materialet sker således på medlemmernes eget ansvar.

Har du brug for rådgivning?

I DI sidder vores juridiske eksperter inden for persondata og personalejura klar, hvis du har brug for hjælp. 

Rådgivning om persondata

Hvis du ønsker rådgivning om persondata i ansættelsesforhold, så kontakt   HRpersondata@di.dk

Hvis du har brug for vejledning om persondata inden for andre områder, så kontakt   JURpersondata@di.dk

Vejledninger

Intro til persondataforordningen

Her finder du vejledninger, som giver dig overblik og svar på spørgsmål om persondataforordningen. 

GDPR i kort form

Denne vejledning giver et samlet overblik over de vigtigste regler i Persondataforordningen. Mange af reglerne og en del af forpligtelserne findes allerede i den nuværende persondatalov, men på grund af en række skærpelser og risikoen for bødestraf er der behov for øget fokus på området.

Persondataforordningen (GDPR) - i kort form

Databeskyttelsesforordningen - kort fortalt

DI har arbejdet med at reducere de 261 sider og 99 artikler i den nye lovgivning til noget, der er operationel for virksomhederne.

Databeskyttelsesforordningen - implementering i danske virksomheder

GDPR - Dansk/Engelsk

Sammenligning mellem dansk og engelsk udgave.

Databeskyttelsesforordningen - Engelsk Dansk Sammenligning

Databeskyttelseslov

Databeskyttelsesforordningen har direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen.

https://www.retsinformation.dk/Forms/r0710.aspx?id=201319

Hent konkrete skabeloner og værktøjer

Her finder du forskellige GDPR-værktøjer udarbejdet af DI. Hvis man er logget ind, kan medlemmer frit downloade skabeloner og vejledninger om f. eks. databehandleraftaler, procesafdækning eller dokumentation af databehandlingsaktiviteter.

Tjekliste

Tjekliste til overholdelse af persondataforordningen. 

GDPR Projektplan

Kort projektplan til planlægning af processen hen mod den 25. maj 2018.

GDPRprojektplan

Vejledning om procesafdækning

Som led i forberedelsen af datastrømsanalysen skal I afdække de processer i virksomheden, som indebærer behandling af personoplysninger. Dette kan gøres ved hjælp af udfyldelse af ét spørgeskema. I denne vejledning kan I læse om, hvad der skal forstås ved processer og hvordan de kan afdækkes ved brug af standardspørgeskema.

Vejledning om procesafdækning

Spørgeskema og vejledning

En afdækning af virksomhedens behandling af personoplysninger kan være en stor hjælp i forhold til at identificere de steder, hvor der er behov for at øge det nuværende compliance-niveau. Dette overordnet standardspørgeskema kan anvendes til formålet.

Standardspørgeskema

Databehandleraftale

Skabelon til en databehandleraftale som kan bruges til sædvanlige databehandlerkonstruktioner. Skabelonen udfyldes med oplysninger om det konkrete samarbejde, som ikke er indgående reguleret i indgået samarbejdsaftaler, outsourcing-aftaler m.v.

Standarddatabehandleraftale

Vejledning og tjekliste til indgåelse af databehandleraftale

Når en virksomhed antager en databehandler til at behandle personoplysninger på virksomhedens vegne, er det et krav, at den dataansvarlige (virksomheden) og databehandleren indgår en skriftlig databehandleraftale. Denne vejledning indeholder også en tjekliste som kan anvendes til gennemgang af aftaleudkast modtaget fra en samarbejdspartner.

Vejledning og tjekliste til indgåelse af databehandleraftaler

Dokumentation for behandling af personoplysning

En virksomhed har en pligt til at udarbejde og løbende opdatere dokumentation for alle virksomhedens databehandlingsaktiviteter. Dokumentationen skal foreligge skriftligt og elektronisk, så den på anmodning kan udleveres til Datatilsynet. Dokumentationen skal ikke indsendes til Datatilsynet, med mindre tilsynet i en konkret sag anmoder om det.

Dokumentation for behandling af personoplysning

DI's skabelon for Data Protection Impact Assessment

Beskyttelse af personoplysninger bliver i fremtiden en konkurrenceparameter. Derfor mener DI, at det er vigtigt, at virksomhederne kortlægger deres opbevaring og håndtering af personoplysninger, når de indfører nye it-systemer.

DI's skabelon for Data Protection Impact Assessment

Oversigt over typiske fejl og mangler (gaps)

Se en oversigt over områder, hvor der typisk opleves mangler og hvor iværksættelse af tiltag er nødvendige for at sikre compliance.

Oversigt over typiske fejl og mangler (gaps)

Brancher og medarbejdere

Analysebranchen og GDPR

Pjece om persondataforordningen for analysebranchen.

Analysebranchen og persondataforordningen

Persondata i HR

Databeskyttelsesforordningen og databeskyttelsesloven fastsætter regler for, hvornår og hvordan virksomheder må behandle oplysninger om personer. DI kan rådgive om persondata, hvis det er nært knyttet til ansættelsesretten.

Persondata i HR

I dybden med persondata i HR

Vi har samlet svar på en lang række spørgsmål om behandling af persondata. Find ud af, hvor længe I må gemme en ansøgning, om I må bruge billeder af medarbejderne, hvad I skal gøre med en fratrådt medarbejders e-mailkonto og meget mere.

I dybden med persondata i HR

 

Politikker for behandling af persondata

Med DI’s skabelon kan du skræddersy politikker for behandling af persondata om jeres medarbejdere – både i forbindelse med rekruttering og under ansættelsen.

Politikker for behandling af persondata

Samtykkeskabeloner

Med DI’s skabelon kan du skræddersy samtykkeerklæringer, hvis du behandler medarbejderes personoplysninger på baggrund af et samtykke. Formularen indeholder skabeloner for samtykke i de situationer, hvor samtykke som udgangspunkt vil være nødvendig for at indhente og behandle personoplysninger i forbindelse med ansættelsesforhold. Vær opmærksom på, at det i mange sammenhænge ikke er nødvendigt at indhente samtykke for at behandle personoplysninger i ansættelsesforhold.

Samtykkeskabeloner

Relateret