60 DAGES GRATIS TRIAL
Mød vores dedikerede team

LEDELSEN

Mød vores dedikerede team
Hold dig opdateret med vigtig nyt

NYHEDER & PRESSE

Hold dig opdateret med vigtig nyt
Jobmuligheder

JOBMULIGHEDER

Skal du være en del af teamet, en rigtig Collaborator?
Ta' endelig kontakt til os hvis du har nogle spørgsmål

KONTAKT

Ta' endelig kontakt til os hvis du har nogle spørgsmål
Læs vores blog

COLIBO BLOG

Vi elsker at blogge omkring den digitale arbejdsplads og moderne intranet
Find alle vores gudes og assets i vores content bibliotek

CONTENT BIBLIOTEK

Få inspiration fra vores whitepaper og guides
Book en af vores live webinars

WEBINARS

Lær' omkring hvad et intranet kan gøre for din virksomhed
 
02-12-19 13:24 by Jesper Lykkegaard Halliday

Få et overblik over persondataforordningen og forstå hvad lovens regler betyder for dit intranet

Indhentning og behandling af personoplysninger er en integreret del af driften i en organisation. Der er ikke nogen virksomheder, som kan undgå at forholde sig til persondataforordningen, da alle virksomheder på den ene eller denanden måde opbevarer persondata. Det gælder både oplysninger om kunder og medarbejdere.

Dette blog giver dig et overblik over persondataforordningen og har til intention at hjælpe dig med at forstå det nye relement i relation til dit intranet. Blogartikelen gennemgår emnerne:

Hvorfor er det vigtigt at vide noget om persondataforordningen?

Reglerne om behandling af persondata sætter rammerne for, hvordan virksomheder skal håndtere personoplysninger. En øget digitalisering i samfundet og persondataforordning har medført et skærpet fokus på persondata og reglernes overholdelse i alle organisationer. Det er derfor er det vigtig at være skarp på forordningens indhold og de krav, den stiller til håndtering af persondata. Loven kræver en langt større grad af transparens og oplysning til kunder og ansatte og har allerede nu stjålet mange dedikeret arbejdstimer på diverse arbejdspladser. 

Kort fakta om persondataforordningen

Pewrsondatafororningen er ny EU-lovgivning der trådte i kraft den 25. maj 2018. Med loven har Europa-Parlamentet, den Europæiske union og Europa-kommissionen til formål at styrke databeskyttelse for alle personer inden for EU. Persondataforordningen skal skabe mere kontrol med indsamling, opbevaring, brug og bortskaffelse af persondata.

Persondataforordningen kaldes også GDPR (General Data Protection Regulation).GDPR og dit intranet

Lovgivningen omfatter også internationale organisationer, der har personlige oplysninger om EU-borgere, selv om deres organisation ikke er baseret i EU. Det betyder samtidig, at organisationer fra Storbritannien ikke er immune overfor persondataforordningen. Den britiske regering har bekræftet, at Storbritanniens afgørelse om at forlade EU ikke fritager dem fra persondataforordningen.

Derfor skal du sikre dig, at dit intranet overholder persondataforordningen

På områder, hvor personoplysninger indsamles, behandles og opbevares, gælder persondataforordningen, og det omfatter også medarbejderdata. Persondata findes også på intranetplatforme, så derfor skal du være særligt opmærksom på om dit intranet overholder persondataforordningen.

Enhver der arbejder med persondata, (og bemærk, at alle virksomheder har persondata om deres ansatte), skal være opmærksomme på, hvilken type data de opbevarer, hvordan de opbevarer det, og de politikker, procedurer og teknologi, der er omkring til at beskytte disse data.

Persondataforordningen har specifikt henvist til at samtykke fra medarbejdere skal gives frit. Det betyder, at du som arbejdsgiver skal bede om samtykke, når du henter og behandler data fra dine medarbejdere.

Det betyder også, at du ikke må indhente data fra dine medarbejdere, medmindre der foreligger et klart samtykke.

I disse situationer skal du være særligt opmærksom

De situationer, hvor du skal være særligt opmærksom, er de persondata, som befinder sig på jeres intranet når en medarbejder forlader din virksomhed. Det kan være indhold i arbejdsgrupper på intranettet, kommentarer eller posts som de har oprettet. Hvis vedkommende kan identificeres, har du brug for at indhente samtykke hos vedkommende for at overholde persondataforordningen. Persondataforordningen siger, at individer (i dette tilfælde din medarbejder) kan bede om at få sine persondata slettet, hvis det ikke skal bruges mere i virksomheden.

De persondata, som du har på dine medarbejdere, og hvordan du forholder dig til disse data digitalt, f.eks. på jeres intranet, kan udgøre en risiko for jeres virksomhed, hvis I ikke forholder jer til persondataforordningen.

Læs videre, hvor vi tager et spadestik dybere ind i persondataforordningen. Her får du blandt andet et indblik i hvordan persondata defineres og konsekvenserne ved ikke at overholde persondataforordningen.

Hvordan er persondata defineret?

Ifølge persondataforordningen er persondata defineret som enhver information, der kan identificere et individ. Det betyder, at persondata er enhver information, der kan identificere et individ, uanset om det er indhentet til privat, professionelt eller offentligt brug. Det kan være alt fra:

  • Navn
  • Adresse
  • CPR-nummer
  • Billede
  • Fødselsdag
  • Telefonnummer
  • Stilling
  • Uddannelse
  • Karakterer
  • Løn
  • E-mail adresse
  • Bank oplysninger
  • Indlæg på sociale medier
  • Sygdomshistorie
  • Eller en IP-adresse

Ændringen fra det nuværende direktiv er, at persondataforordningen anvender en streng definition af personoplysninger som enhver information, der kan bruges til at identificere en person. Der bliver skelnet mellem to typer af informationer:

  1. Almindelige personoplysninger
  2. Personfølsomme oplysniger

1. Almindelige personoplysninger:

 

  • Navn
  • Adresse
  • Fødselsdagsdato
  • Stilling
  • Kontaktoplysninger
  • Personlighedstest
  • Billede
  • Uddannelse
  • Indlæg på sociale medier
  • IP-adresse
  • Bankoplysninger
  • CPR-nummer (Særskilt regulering i databeskyttelsesloven)

Almindelige personoplysninger kan bruges i det tilfælde, at virksomheden har en nødvendig grund til at bruge persondata eller skal opfylde en aftale, f.eks. brug af kontonummer til udbetaling af løn.

2. Personfølsomme oplysninger:

 

  • Sygdomshistorie
  • Fagforening
  • Etnisk baggrund
  • Politisk overbevisning

Personfølsomme oplysninger må som udgangspunkt slet ikke behandles, medmindre, der er et udtrykkeligt samtykke fra individet til brug til et specifikt formål.

Eksempler på brug af personfølsomme oplysninger kan være: Ægtefælles kontaktoplysninger ved ansættelse, allergioplysninger i forbindelse med frokostmøde eller samtykke til markedsføring.

 

De væsentligste ændringer i persondataforordningen

 

Målet med persondataforordningen er at beskytte EU borgere fra databrud i en digitaliseret verden. Her er de 10 væsentligste ændringer, som organisationer skal tage højde for.

1. Højere bøder

Manglende overholdelse af kravene i persondataforordningen kan blive dyrt med potentielt store bøder: Sanktioner for lovovertrædelser vedrørende kontrol og foranstaltninger kan være op til 10 millioner euro eller 2% af virksomhedens samlede årlige omsætning (alt efter hvad der er højere). Brud på rettigheder og forpligtelser kan være så høj som 20 millioner euro eller 4% af den samlede globale årlige omsætning (alt efter hvad der er højere).

2. Underretningspligt

Virksomheder skal anmelde databrud inden for 72 timer til en tilsynsmyndighed. De personer, hvis data er gået tabt, skal også informeres omgående, hvis overtrædelsen udgør en høj risiko for den enkelte. Oplysninger om forholdene i forbindelse med overtrædelsen af data og de tekniske foranstaltninger, der var gældende for at beskytte dataene, skal gives til tilsynsmyndigheden.

3. Dataansvarlige og databehandlere har et fælles ansvar

Med det tidligere direktiv (persondataloven) var det kun dataansvarlige (typisk de virksomheder, som indsamler data), der havde ansvaret for databeskyttelse. Nu er det et fælles ansvar mellem dataansvarlige og databehandlere.

4. Fælles regler for alle lande

Persondataforordningen er et tillæg til den nuværende persondatalov, som er det nuværende direktiv for databeskyttelse. Med persondataforordningen bliver reglerne ensrettet for alle lande. Før i tiden var persondatabeskyttelse op til fortolkning for hvert land.

5. Kryptering af personoplysninger

Et af de centrale principper i persondataforordningen er, at det anbefales, at personlige oplysninger skal krypteres i fremtiden. Dette omfatter også brug af pseudonymer i stedet for navne. Målet er at sikre, i tilfælde af at data bliver lækket, at dataene bliver ubrugelig for alle, der ikke har krypteringsnøglen.

Forordningen anbefaler især dataansvarlige og databehandlere at implementere teknologier såsom kryptering for at beskytte personoplysninger.

6. Data Protection Officer

Offentlige myndigheder og større private virksomheder hvis kerneaktiviteter er behandling af persondata, eller som behandler personfølsomme oplysninger i et større omfang (fx helbredsoplysninger), skal udpege en Data Protection Officer (DPO). Den person, der udpeges som DPO, skal have en særlig viden om persondatabeskyttelse og sikre, at forordningens regler overholdes i virksomhedens daglige drift.

7. Privacy by Default og Privacy by Design

Privacy by Design betyder, at enhver ny service eller forretningsproces, der behandler personoplysninger, skal tage hensyn til beskyttelsen af sådanne data. Det betyder, at når organisationer indleder et projekt, skal de overveje databeskyttelse. Privacy by Default betyder som standard, at de strengeste privatlivsindstillinger gælder, når en bruger har købt en tjeneste eller et produkt. Det er ikke tilladt at ændre på indstillinger i beskyttelse af personoplysninger efter købet af tjenesten eller produktet.

8. Persondataforordningen giver følgende rettigheder til personer:

 

  • Retten til at blive glemt: En person har ret til at anmode om, at hans eller hendes data slettes af organisationen, når dataene ikke længere er nødvendige for det formål, de blev indsamlet til.
  • Retten til at få adgang. En person har ret til at få oplysninger om, om personlige oplysninger om ham eller hende bliver behandlet. Vær opmærksom på, at virksomheder kan opkræve et gebyr for at finde og udlevere disse oplysninger. Gebyret er ikke fastsat endnu.
  • Retten til berigtigelse. En person har ret til at få unøjagtige oplysninger om sig selv rettet.
  • Retten til at begrænse behandlingen. En person har ret til at begrænse databehandling, hvis nøjagtigheden af dataene bestrides af den enkelte.
  • Retten til dataoverførbarhed. En person kan overføre deres data fra en organisation til en anden
  • Retten til at gøre indsigelse. En person har ret til at gøre indsigelse mod brugen af deres personlige data, f.eks. Profilering til markedsføring.
9. Nye regler for beskyttelse af mindreårige

Den dataansvarlige skal kunne godtgøre, at en person har givet sit samtykke til at bruge deres personoplysninger. Desuden udgør forud afkrydsede felter eller inaktivitet ikke samtykke. Dataansvarlige, der behandler personoplysninger for børn under 16 år, skal indsamle samtykke fra deres forældre.

10. Databehandleraftale

Virksomheder skal have en databehandleraftale for at sikre, at persondataforordningen bliver overholdt. Disse aktiviteter skal være reguleret i en kontrakt. Databehandleraftaler udarbejdes mellem dataansvarlige og databehandlere. Det betyder, at du som virksomhed skal have en databehandleraftale med din intranetudbyder.

Dataansvarlig versus Databehandler

Alle virksomheder indsamler og opbevarer personoplysninger omkring deres ansatte. Derfor er alle organisationer, uanset om de er i EU eller udenfor EU, ansvarlige for databehandling for ansatte indenfor EU.

Persondataforordningen er gældende for to forskellige roller: dataansvarlige og databehandlere. Begge roller har konkrete ansvarsområder når det kommer til beskyttelse af personoplysninger. Du skal vide hvilken en rolle, din egen organisation har, så du forstår hvilket ansvar du har, især i tilfælde af et databrud.

Ifølge kapitel IV i persondataforordningen, er de forskellige roller identificeret som angivet nedenfor:

En dataansvarlig er ’den fysiske eller juridiske person, offentlig myndighed, agentur eller andet organ, der alene eller i fællesskab med andre bestemmer formålene med og midlerne til behandling af personoplysninger’.

Hvis den dataansvarlige selv behandler data, vil de stadig blive betragtet som dataansvarlige. Eksempler på dataansvarlige er onlineforhandlere.

En databehandler er ’en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige’.

En databehandler er typisk en person uden for den dataansvarlige organisation, der behandler dataene på vegne af dataansvarlige. Eksempler på databehandlere er lønvirksomheder, revisorer og cloud-udbydere.

Hvis din virksomhed blev betragtet som dataansvarlig under det gamle direktiv, er din virksomhed også dataansvarlig under persondataforordningen. Definitionen på de to roller har ikke ændret sig, men deres ansvarsområder har ændret sig. Det betyder, at imens det gamle direktiv placerede ansvaret for databeskyttelse på den dataansvarlige, har databehandleren også et ansvar for databeskyttelse.

Hvor er ansvaret fremover placeret?

Mens en dataansvarlig er involveret i, hvordan personlige data håndteres, dvs. at identificere og analysere, hvordan det skal behandles, og hvilke handlinger der skal tages, er databehandleren den funktion, der udfører enhver handling, der er involveret i håndteringen af dataene selv.

Hvor i henhold til det gamle databeskyttelsesdirektiv, selvom databehandlere behandler data, faldt det juridiske ansvar på den dataansvarlige, der udpegede databehandleren. Det primære databeskyttelsesansvar ligger hos den dataansvarlige, og den dataansvarlige organisation er ansvarlig for at rapportere brud på datasikkerhed til deres tilsynsmyndighed. Dataansvarlige skal også på anmodning kunne demonstrere, at et individ har samtykket i at behandle hans eller hendes personlige data.

Med persondataforordningen vil de dataansvarlige stadig være ansvarlige for udnævnelsen af databehandlere, men databehandlerne vil nu blive holdt ansvarlige for handlinger på personoplysninger også. Hvis en dataansvarlig skal udpege en databehandler, skal de sørge for, at databehandleren har anvendt de organisatoriske og tekniske foranstaltninger for at overholde persondataforordningen.

Ansvarsfraskrivelse

Dette blogindlæg skal ikke betragtes som juridisk rådgivning omkring persondataforordningen. I stedet giver den baggrundsinformation, der hjælper dig med at forstå, hvordan Colibo har behandlet de vigtige juridiske punkter i persondataforordningen.

Kontakt Colibo®...

HVORDAN KAN VI HJÆLPE DIG?

Vi vil elske at høre fra dig. Venligst vælg en af nedenstående emner der paser bedst til din henvendelse. Hvis du ikke finder et emne der passer til det du har på hjertet, kan du altid udfylde formularen til højre og tilføje en besked. 

BOOK EN PERSONLIG DEMO

Anmod om en demo fra en af vores Digital Workplace Specialists.

BESTIL EN 60 DAGES TRIAL

Udforsk Colibo platformen med en 60 dages gratis trial.

BLIV PARTNER

Slut dig til os og bliv en del af vores Partner Referral Program.