Persondataforordningen
Introduktion

Indsamling og behandling af personoplysninger er en integreret del af driften af en moderne virksomhed og er i stigende omfang også et egentlig forretningsområde. Indsamling og behandling af personoplysninger er underlagt de persondataretlige regler, og overtrædelse af disse kan i fremtiden medføre væsentlige bøder.Det er dog ikke altid let at navigere i de regler, og opgaven kan forekomme uoverstigelig.Nedenstående kan give dig et kort overblik over de regler, der gælder for din behandling af personoplysninger, samt de tiltag, som du kan tage for at overholde reglerne.Vi henviser endvidere til PrivacyKompasset, der er udarbejdet af Erhvervsstyrelsen, hvor du også kan få yderligere vejledning om, hvordan du kan sikre, at din virksomhed overholder reglerne på området.PrivacyKompasset kan ses på www.privacykompasset.erhvervsstyrelsen.dk.

 

Hvad er personoplysninger?

Personoplysninger er enhver form for oplysning, som kan henføres til en person. Det vil sige, at alle oplysninger, der vedrører en identificerbar fysisk person, er personoplysninger, eksempelvis oplysningerne om en kunde. Der er stadig tale om personoplysninger, selvom det kræver særligt kendskab, adgang og/eller information for at kunne identificere personen, eksempelvis brug af kundenumre i stedet for navne.

Personlige oplysninger.

  • Navn og adresse
  • Telefonnummer eller e-mailadresse
  • Kundenummer eller ordrenummer
  • Oplysninger om kundens præferencer - eksempelvis hvilke størrelse tøj kunden bruger, eller hvilken bil kunden har.
  • Kundens købshistorik
  • Kundens IP-adresse
  • Kundens CPR-nummer

 

Hvornår gælder persondataforordningen?

Persondataloven gælder altid, hvis alle kravene i figur 2 er opfyldt. Der foretages en behandling af personoplysninger hver gang, oplysningerne håndteres enten manuelt eller elektronisk. Når per- sondataloven taler om behandling, skal dette altså forstås bredt. Behandling er ikke betinget af, at du aktivt vælger at anvende, systematisere eller læse personoplysninger.

Hvad skal jeg kunne stå indenfor?

Gyldigt samtykke.

Hvis din behandling af personoplysninger er baseret på et samtykke fra den person, som oplysnin- gerne vedrører, skal du sikre, at samtykket er frivilligt, speci kt og informeret. Det betyder, at den person, der afgiver samtykket, skal være i stand til at gennemskue (og forstå) omfanget og konsekvenserne af samtykket.

Samtykket kan tilbagekaldet af kunden, og det er vigtigt at du giver adgang til at kunne gøre dette.

God behandlingsskik

Tydeligt angivne formål (eksempelvis oprettelse af en brugerprofil), og at senere behandling af oplysningerne ikke er uforenligt med det oplyste formål.

At der ikke må indsamles flere oplysninger, end hvad der er nødvendigt og relevant (eksempelvis er CPR-nummer ikke altid relevant).

At behandlingen af oplysningerne tilrettelægges, så oplysningerne kan ajourføres, berigtiges og slettes, når behandling af oplysningerne ikke længere er nødvendig.

Oplysning

Som kunde har man en række rettigheder:

  • Man har ret til at blive oplyst om, at ens personoplysninger behandles.

  • Man har ret til løbende at få indsigt i, hvordan ens personoplysninger behandles.

  • Man har ret til at klage over, at ens personoplysninger behandles.

    Du er derfor ansvarlig for at sikre, at disse rettigheder overholdes. Rettighederne gælder i relation til alle former for indsamling og behandling af personoplysninger.

Du skal også kunne svare på hvilke formål behandlingen har, og hvor informationer stammer fra.

 

Regelsæt ved indgåelse af it-, outsourcing og cloud-aftaler.

Det skal af databehandleraftalen tydeligt fremgå, at it-leverandøren er underlagt samme regelsæt for behandling af personoplysninger som din virksomhed, og at it-leverandøren kun foretager behandling af personoplysningerne på instruks fra din virksomhed.

Virksomheder, der behandler personoplysninger, skal ifølge persondataloven træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de personoplysninger, der behandles af virksomheden. Persondatalovens bestemmelser om sikkerhed er blandt persondata- lovens mest grundlæggende krav.

I praksis er sikkerhed en dynamisk størrelse, der udvikler sig i takt med teknologien og det aktuelle trusselsbillede. De sikkerhedsforanstaltninger, der i dag er nødvendige for at sikre en tilstrækkelig sikkerhed, er ikke de samme som de foranstaltninger, der var nødvendige og tilgængelige i går.

Loven foreskriver ikke de specifikke foranstaltninger, der skal træffes, og du skal derfor løbende sikre, at din virksomheds beskyttelse af personoplysninger er tilstrækkelig ud fra de konkrete risici forbundet med din virksomheds brug af personoplysninger.

Det er vigtigt, at du gør dig klart, at overholdelse af persondatalovens sikkerhedsregler er en opgave, der involverer hele virksomheden. Selv om mange af de foranstaltninger, der er nødvendige for at sikre tilstrækkelig sikkerhed i praksis, ofte vil være tæt knyttet til din virksomheds it-infrastruktur, er etableringen af fornødne sikkerhedsforanstaltninger ikke blot et anliggende for it-afdelingen. Det kan også betyde ændring af arbejdsgange eller omlægning af administrative opgaver for virksomhedens øvrige afdelinger.

Sammen med IT-leverandøren skal man sikre sig at opbevaring af data kun stilles til rådighed for ens egen virksomhed, og at adgangen hertil sikres på ordentlig vis.

Udstyr og løsninger omfattet af en gennemgang er:

1. Bruger virksomheden tofaktor adgangskontrol som sikre at vedkomne der forsøger at logge på, er virksomhedens egen bruger.

2. Firewall. Har man lukket alle muligheder for indtrængen til data.

3. Antivirus beskyttelse, og beskyttelse mod bagdørs programmer.

4. Kompleksitet i anvendelse af passwords.

5. Låsning af ikke aktive sessioner.

6. At sletning af personfølsomme data, også slår igennem på foretaget backup.

7. At backup af data ligger i et krypteret format, uden mulig tilgang for andre.

 

 

Kontakt os

70 238444
salg@nexu.dk
KONTAKT OS

Nexu A/S                                                        

Springforbivej 4
DK-2930 Klampenborg

Tlf. +45 70238444
CVR-nr. 50179552

Kontortid: Mandag-fredag 8.30-16.30

Du kan maile til os på følgende e-mail adresser:                                                 

Hovedmail        salg@nexu.dk
Fakturamail faktura@nexu.dk
Bogholderi bj@nexu.dk
Support support@nexu.dk (registreret kunder)

 

BANK DKK

Swift : JYBADKKK

Iban : DK0550760004647488

Account : 5076 4647488