Team Collaboration Blog

28-11-2017
ongoing-success_icon.png

Persondataforordningen og dit intranet

Få et overblik over persondataforordningen og forstå hvad de nye regler betyder for dit intranet.

Indhentning og behandling af personoplysninger er en integreret del af driften i en organisation. Der er ikke nogen virksomheder, som kan undgå at forholde sig til persondataforordningen, fordi alle virksomheder opbevarer persondata. Det gælder både oplysninger om kunder og medarbejdere.

Persondataforordningen er en ny EU-lovgivning, der træder i kraft den 25. maj 2018. Formålet med lovgivningen er at øge beskyttelsen af persondata for EU-borgere og øge forpligtelserne for de organisationer, der indsamler eller behandler persondata. Når den nye EU persondataforordning træder i kraft, vil det berøre alle organisationer, der indsamler og håndterer persondata.

 

Hvorfor er det vigtigt at vide noget om persondataforordningen?

Reglerne om behandling af persondata sætter rammerne for, hvordan virksomheder skal håndtere personoplysninger. En øget digitalisering i samfundet og den kommende persondataforordning har medført et skærpet fokus på persondata og reglernes overholdelse i alle organisationer. Det er derfor relevant allerede nu at gøre sig bekendt med forordningens indhold og de krav, den stiller til håndtering af persondata. Faktum er, at den for langt de fleste organisationer vil kræve en ændring af deres nuværende processer for opsamling og håndtering af persondata. Samtidig vil den kræve en langt større grad af transparens og oplysning til kunder og ansatte. 

Dette blogindlæg giver dig et indblik i persondataforordningen og forsøger at hjælpe dig med at forstå, hvilke konsekvenser den nye persondataforordning har for din virksomhed og data på dit intranet. Indlægget forklarer, hvad du skal være særligt opmærksom på i den nye lovgivning. Indlægget er til dig, der er ansvarlig for databeskyttelse i jeres organisation.

 

Share

 

Oversigt over persondataforordningen

Persondataforordningen er en ny lovgivning, som er et tillæg til den allerede eksisterende persondatalov. Europa-Parlamentet, den Europæiske union og Europa-kommissionen har til hensigt at styrke databeskyttelse for alle personer inden for EU. Persondataforordningen har til formål at indføre mere kontrol med indsamling, opbevaring, brug og bortskaffelse af persondata.

Lovgivningen forudsætter, at alle virksomheder, der opbevarer og behandler personoplysninger om EU-borgere inden den 25. maj 2018, skal opfylde nye lovgivningsmæssige krav til databeskyttelse. Målet er at styrke individernes ret til databeskyttelse og forenkle samt ensrette lovgivningen for håndtering af persondata inden for EU. Målet med persondataforordningen er at give borgerne kontrollen tilbage over deres egen persondata.

Persondataforordningen kaldes også GDPR (General Data Protection Regulation).

Persondataforordningen blev vedtaget den 27. april 2016 og træder i kraft den 25. maj 2018, hvilket giver virksomheder en toårig overgangsperiode.

Lovgivningen omfatter også internationale organisationer, der har personlige oplysninger om EU-borgere, selv om deres organisation ikke er baseret i EU. Det betyder samtidig, at organisationer fra Storbritannien ikke er immune overfor persondataforordningen. Den britiske regering har bekræftet, at Storbritanniens afgørelse om at forlade EU ikke fritager dem fra persondataforordningen.

 

Derfor skal du sikre dig, at dit intranet overholder persondataforordningen

På områder, hvor personoplysninger indsamles, behandles og opbevares, gælder persondataforordningen, og det omfatter også medarbejderdata. Persondata findes også på intranetplatforme, så derfor skal du være særligt opmærksom på om dit intranet overholder persondataforordningen.

Enhver der arbejder med persondata, (og bemærk, at alle virksomheder har persondata om deres ansatte), skal være opmærksomme på, hvilken type data de opbevarer, hvordan de opbevarer det, og de politikker, procedurer og teknologi, der er omkring til at beskytte disse data.

Persondataforordningen har specifikt henvist til at samtykke fra medarbejdere skal gives frit. Det betyder, at du som arbejdsgiver skal bede om samtykke, når du henter og behandler data fra dine medarbejdere.

Det betyder også, at du ikke må indhente data fra dine medarbejdere, medmindre der foreligger et klart samtykke.

 

I disse situationer skal du være særligt opmærksom

De situationer, hvor du skal være særligt opmærksom, er de persondata, som befinder sig på jeres intranet når en medarbejder forlader din virksomhed. Det kan være indhold i arbejdsgrupper på intranettet, kommentarer eller posts som de har oprettet. Hvis vedkommende kan identificeres, har du brug for at indhente samtykke hos vedkommende for at overholde persondataforordningen. Persondataforordningen siger, at individer (i dette tilfælde din medarbejder) kan bede om at få sine persondata slettet, hvis det ikke skal bruges mere i virksomheden.

De persondata, som du har på dine medarbejdere, og hvordan du forholder dig til disse data digitalt, f.eks. på jeres intranet, kan udgøre en risiko for jeres virksomhed, hvis I ikke forholder jer til persondataforordningen.

Læs videre, hvor vi tager et spadestik dybere ind i persondataforordningen. Her får du blandt andet et indblik i hvordan persondata defineres er og konsekvenserne ved ikke at overholde persondataforordningen.

 

Hvordan er persondata defineret?

GDPR - General Data Protection Regulation

Ifølge persondataforordningen er persondata defineret som enhver information, der kan identificere et individ. Det betyder, at persondata er enhver information, der kan identificere et individ, uanset om det er indhentet til privat, professionelt eller offentligt brug. Det kan være alt fra:

  • Navn
  • Adresse
  • CPR-nummer
  • Billede
  • Fødselsdag
  • Telefonnummer
  • Stilling
  • Uddannelse
  • Karakterer
  • Løn
  • E-mail adresse
  • Bank oplysninger
  • Indlæg på sociale medier
  • Sygdomshistorie
  • Eller en IP-adresse

Ændringen fra det nuværende direktiv er, at persondataforordningen anvender en streng definition af personoplysninger som enhver information, der kan bruges til at identificere en person. Der bliver skelnet mellem to typer af informationer:

Almindelige personoplysninger
Personfølsomme oplysninger

 

Almindelige personoplysninger:

  • Navn
  • Adresse
  • Fødselsdagsdato
  • Stilling
  • Kontaktoplysninger
  • Personlighedstest
  • Billede
  • Uddannelse
  • Indlæg på sociale medier
  • IP-adresse
  • Bankoplysninger
  • CPR-nummer (Særskilt regulering i databeskyttelsesloven)

Almindelige personoplysninger kan bruges i det tilfælde, at virksomheden har en nødvendig grund til at bruge persondata eller skal opfylde en aftale, f.eks. brug af kontonummer til udbetaling af løn.

 

Personfølsomme oplysninger:

  • Sygdomshistorie
  • Fagforening
  • Etnisk baggrund
  • Politisk overbevisning

Personfølsomme oplysninger må som udgangspunkt slet ikke behandles, medmindre, der er et udtrykkeligt samtykke fra individet til brug til et specifikt formål.

Eksempler på brug af personfølsomme oplysninger kan være: Ægtefælles kontaktoplysninger ved ansættelse, allergioplysninger i forbindelse med frokostmøde eller samtykke til markedsføring.

 

De væsentligste ændringer i persondataforordningen

Målet med persondataforordningen er at beskytte EU borgere fra databrud i en digitaliseret verden. Her er de 10 væsentligste ændringer, som organisationer skal tage højde for inden 25. maj 2018.

 

1. Højere bøder

Manglende overholdelse af kravene i persondataforordningen kan blive dyrt med potentielt store bøder: Sanktioner for lovovertrædelser vedrørende kontrol og foranstaltninger kan være op til 10 millioner euro eller 2% af virksomhedens samlede årlige omsætning (alt efter hvad der er højere). Brud på rettigheder og forpligtelser kan være så høj som 20 millioner euro eller 4% af den samlede globale årlige omsætning (alt efter hvad der er højere).

 

2. Underretningspligt

Virksomheder skal anmelde databrud inden for 72 timer til en tilsynsmyndighed. De personer, hvis data er gået tabt, skal også informeres omgående, hvis overtrædelsen udgør en høj risiko for den enkelte. Oplysninger om forholdene i forbindelse med overtrædelsen af data og de tekniske foranstaltninger, der var gældende for at beskytte dataene, skal gives til tilsynsmyndigheden.

 

3. Dataansvarlige og databehandlere har et fælles ansvar

Med det tidligere direktiv (persondataloven) var det kun dataansvarlige (typisk de virksomheder, som indsamler data), der havde ansvaret for databeskyttelse. Nu er det et fælles ansvar mellem dataansvarlige og databehandlere.

 

4. Fælles regler for alle lande

Persondataforordningen er et tillæg til den nuværende persondatalov, som er det nuværende direktiv for databeskyttelse. Med persondataforordningen bliver reglerne ensrettet for alle lande. Før i tiden var persondatabeskyttelse op til fortolkning for hvert land. Med den nye forordning er der ingen muligheder for fortolkning af forordningen. Der er dog få undtagelser, som vi kommer til at se i løbet af foråret 2018.

 

5. Kryptering af personoplysninger

Et af de centrale principper i persondataforordningen er, at det anbefales, at personlige oplysninger skal krypteres i fremtiden. Dette omfatter også brug af pseudonymer i stedet for navne. Målet er at sikre, i tilfælde af at data bliver lækket, at dataene bliver ubrugelig for alle, der ikke har krypteringsnøglen.

Forordningen anbefaler især dataansvarlige og databehandlere at implementere teknologier såsom kryptering for at beskytte personoplysninger.

 

6. Data Protection Officer

Offentlige myndigheder og større private virksomheder hvis kerneaktiviteter er behandling af persondata, eller som behandler personfølsomme oplysninger i et større omfang (fx helbredsoplysninger), skal udpege en Data Protection Officer (DPO). Den person, der udpeges som DPO, skal have en særlig viden om persondatabeskyttelse og sikre, at forordningens regler overholdes i virksomhedens daglige drift.

 

7. Privacy by Default og Privacy by Design

Privacy by Design betyder, at enhver ny service eller forretningsproces, der behandler personoplysninger, skal tage hensyn til beskyttelsen af sådanne data. Det betyder, at når organisationer indleder et projekt, skal de overveje databeskyttelse. Privacy by Default betyder som standard, at de strengeste privatlivsindstillinger gælder, når en bruger har købt en tjeneste eller et produkt. Det er ikke tilladt at ændre på indstillinger i beskyttelse af personoplysninger efter købet af tjenesten eller produktet.

 

8. Persondataforordningen giver følgende rettigheder til personer:

  • Retten til at blive glemt: En person har ret til at anmode om, at hans eller hendes data slettes af organisationen, når dataene ikke længere er nødvendige for det formål, de blev indsamlet til.
  • Retten til at få adgang. En person har ret til at få oplysninger om, om personlige oplysninger om ham eller hende bliver behandlet. Vær opmærksom på, at virksomheder kan opkræve et gebyr for at finde og udlevere disse oplysninger. Gebyret er ikke fastsat endnu.
  • Retten til berigtigelse. En person har ret til at få unøjagtige oplysninger om sig selv rettet.
  • Retten til at begrænse behandlingen. En person har ret til at begrænse databehandling, hvis nøjagtigheden af dataene bestrides af den enkelte.
  • Retten til dataoverførbarhed. En person kan overføre deres data fra en organisation til en anden
  • Retten til at gøre indsigelse. En person har ret til at gøre indsigelse mod brugen af deres personlige data, f.eks. Profilering til markedsføring.

 

9. Nye regler for beskyttelse af mindreårige

Den dataansvarlige skal kunne godtgøre, at en person har givet sit samtykke til at bruge deres personoplysninger. Desuden udgør forud afkrydsede felter eller inaktivitet ikke samtykke. Dataansvarlige, der behandler personoplysninger for børn under 16 år, skal indsamle samtykke fra deres forældre.

 

10. Databehandleraftale

Virksomheder skal have en databehandleraftale for at sikre, at persondataforordningen bliver overholdt. Disse aktiviteter skal være reguleret i en kontrakt. Databehandleraftaler udarbejdes mellem dataansvarlige og databehandlere. Det betyder, at du som virksomhed skal have en databehandleraftale med din intranetudbyder.

 

Dataansvarlig vs databehandler

Alle virksomheder indsamler og opbevarer personoplysninger omkring deres ansatte. Derfor er alle organisationer, uanset om de er i EU eller udenfor EU, ansvarlige for databehandling for ansatte indenfor EU.

Persondataforordningen er gældende for to forskellige roller: dataansvarlige og databehandlere. Begge roller har konkrete ansvarsområder når det kommer til beskyttelse af personoplysninger. Du skal vide hvilken en rolle, din egen organisation har, så du forstår hvilket ansvar du har, især i tilfælde af et databrud.

 

Ifølge kapitel IV i persondataforordningen, er de forskellige roller identificeret som angivet nedenfor:

En dataansvarlig er ’den fysiske eller juridiske person, offentlig myndighed, agentur eller andet organ, der alene eller i fællesskab med andre bestemmer formålene med og midlerne til behandling af personoplysninger’.

Hvis den dataansvarlige selv behandler data, vil de stadig blive betragtet som dataansvarlige. Eksempler på dataansvarlige er onlineforhandlere.

En databehandler er ’en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige’.

En databehandler er typisk en person uden for den dataansvarlige organisation, der behandler dataene på vegne af dataansvarlige. Eksempler på databehandlere er lønvirksomheder, revisorer og cloud-udbydere.

Hvis din virksomhed blev betragtet som dataansvarlig under det gamle direktiv, er din virksomhed også dataansvarlig under persondataforordningen. Definitionen på de to roller har ikke ændret sig, men deres ansvarsområder har ændret sig. Det betyder, at imens det gamle direktiv placerede ansvaret for databeskyttelse på den dataansvarlige, har databehandleren også et ansvar for databeskyttelse.

 

Ansvaret for dataansvarlige og databehandlere

Mens en dataansvarlig er involveret i, hvordan personlige data håndteres, dvs. at identificere og analysere, hvordan det skal behandles, og hvilke handlinger der skal tages, er databehandleren den funktion, der udfører enhver handling, der er involveret i håndteringen af dataene selv.

Hvor i henhold til det gamle databeskyttelsesdirektiv, selvom databehandlere behandler data, faldt det juridiske ansvar på den dataansvarlige, der udpegede databehandleren. Det primære databeskyttelsesansvar ligger hos den dataansvarlige, og den dataansvarlige organisation er ansvarlig for at rapportere brud på datasikkerhed til deres tilsynsmyndighed. Dataansvarlige skal også på anmodning kunne demonstrere, at et individ har samtykket i at behandle hans eller hendes personlige data.

Med persondataforordningen vil de dataansvarlige stadig være ansvarlige for udnævnelsen af databehandlere, men databehandlerne vil nu blive holdt ansvarlige for handlinger på personoplysninger også. Hvis en dataansvarlig skal udpege en databehandler, skal de sørge for, at databehandleren har anvendt de organisatoriske og tekniske foranstaltninger for at overholde persondataforordningen.

 

Ændringer i Colibo

Idet vi nærmer os maj 2018, er Colibo fokuseret på at overholde persondataforordningen. I løbet af denne implementeringsperiode vurderer vi nye krav og begrænsninger pålagt af persondataforordningen og træffer enhver handling, der er nødvendig for at sikre, at vi håndterer vores kundedata i overensstemmelse med persondataforordningen inden deadline i maj 2018. Colibo ligger beskyttet bag professionelle firewalls, og alle data sendes krypteret, så ingen udefrakommende kan tilgå jeres virksomhedsfølsomme data.

Som kunde sender vi dig underretninger om ny funktionalitet og ændringer i vores vilkår i din indbakke på den sædvanlige måde. Vi opdaterer også denne side og deler indhold i løbet af de kommende måneder, så kom tilbage for opdateringer.

 

Ansvarsfraskrivelse

Dette blogindlæg skal ikke betragtes som juridisk rådgivning omkring persondataforordningen. I stedet giver den baggrundsinformation, der hjælper dig med at forstå, hvordan Colibo har behandlet de vigtige juridiske punkter i persondataforordningen. For at være forberedt på persondataforordningen i maj 2018 skal du konsultere juridisk rådgivning om persondataforordningen, og hvordan det vil påvirke måden du overholder persondataforordningen. Dette blogindlæg udgør ikke juridisk rådgivning og bør ikke betragtes som sådan.

Relaterede artikler
GDPR med Colibo
Whitepaper

Imødekom GDPR med Colibo

Colibo kan hjælpe jeres virksomhed med at understøtte GDPR, herunder de registreredes rettigheder, behandling af data og den dataansvarliges pligter. Lær hvordan vi kan hjælpe jer videre.
Nicoline T Sørensen
Blog Author
Nicoline T Sørensen
Nicoline er Colibos marketingchef. Hun arbejder med tekst, formidling og kommunikationsstrategiske projekter. SEE ALL POSTS

Colibo Events

custom_widget
28-09-2017

Intranet in housing associations

Learn from the Danish housing association FAB's experiences..

custom_widget
17-10-2017

eKommune Expo in Oslo, Norway

Meet our experts and learn about intranet for municipalities
custom_widget
07-09-2017

The social intranet 2017 - Join us free of charge

Join our experts online to get an introdution to Colibo.