GDPR-RELATED-DOKUMENTER
Databeskyttelsesmeddelelse er et obligatorisk GDPR-relateret dokument
En databeskyttelsesmeddelelse er et obligatorisk GDPR-relateret dokument, der skal udarbejdes af virksomheden for at informere de registrerede om virksomhedens behandling af deres personoplysninger.
Hvad er en meddelelse om databeskyttelse?
En meddelelse om databeskyttelse er et obligatorisk DPR-relateret dokument og det mest almindelige DPR-relaterede dokument, som virksomheder har. Den informerer de registrerede om behandlingen af deres personoplysninger.
F.eks. retsgrundlaget for behandlingen, formålet med behandlingen, de registreredes rettigheder, virksomhedens og dens eventuelle databeskyttelsesansvarliges kontaktoplysninger, den nationale databeskyttelsesmyndighed osv. Indholdet af en meddelelse om databeskyttelse er reguleret i artikel 13 i GDPR og artikel 14 i GDPR. Det er vigtigt, at minimumskravene opfyldes.
Virksomhederne skal informere de registrerede om behandlingen
Registrerede har ret til at modtage oplysninger om behandlingen af deres personoplysninger. Dette gælder både inden behandlingen påbegyndes og under behandlingen, hvis den registrerede anmoder herom. Desuden kræver GDPR, at virksomhederne er gennemsigtige med hensyn til alle deres behandlingsaktiviteter vedrørende personoplysninger. Dette gøres normalt af den virksomhed, der beskriver behandlingsaktiviteterne i en meddelelse om databeskyttelse, der forelægges de registrerede. I overensstemmelse med artikel 13 gives oplysningerne om behandlingen til den registrerede på det tidspunkt, hvor personoplysningerne indhentes eller indsamles. En meddelelse om databeskyttelse er et obligatorisk GDPR-relateret dokument.
Hvad er forskellen mellem en databeskyttelsespolitik og en meddelelse om databeskyttelse?
Mange forveksler en politik for beskyttelse af privatlivets fred med en meddelelse om beskyttelse af privatlivets fred. Her er den vigtigste forskel mellem en databeskyttelsespolitik og en meddelelse om databeskyttelse:
Databeskyttelsespolitik
En politik er et internt politikdokument, der ofte udarbejdes af bestyrelsen eller direktionen, herunder en politik for beskyttelse af privatlivets fred. Politikken handler om, hvordan virksomheden vil arbejde med databeskyttelse og henvender sig til medarbejderne.
Meddelelse om beskyttelse af personoplysninger
En meddelelse om databeskyttelse er et eksternt dokument, der informerer de registrerede om, hvordan virksomheden behandler deres personoplysninger. En meddelelse om databeskyttelse er et obligatorisk GDPR-relateret dokument, der bør offentliggøres på virksomhedens websted og linkes til sidst i de e-mails, som virksomheden sender.
Mange virksomheder glemmer at give oplysninger om behandlingen i kontaktformularer på webstedet
Det er almindeligt, at virksomheder har kontaktformularer på deres websted, som besøgende kan bruge til at stille spørgsmål eller bestille tjenester/produkter fra virksomheden. Ofte skal den besøgende udfylde sine kontaktoplysninger, for at virksomheden kan svare på meddelelsen. Som følge heraf behandler virksomheden personoplysninger efter modtagelse af anmodningen via kontaktformularen. En almindelig fejl, som mange virksomheder har begået, er ikke at give oplysninger om behandlingen i forbindelse med kontaktformularen, før indsamlingen af personoplysningerne finder sted. Dette kan f.eks. gøres ved at linke til virksomhedens meddelelse om databeskyttelse i kontaktformularen før knappen “Send” i kontaktformularen.
Hvis de registrerede er børn
Hvis en virksomhed behandler børns personoplysninger, er reglerne strengere, end hvis de var myndige. Det betyder bl.a., at sproget i en meddelelse om databeskyttelse bør være forståeligt for børn. Desuden skal den være affattet på det nationale sprog og være forholdsvis kortfattet med enkle sætninger for at kunne læse og forstå.
En stor virksomhed skulle betale en bøde, fordi meddelelsen om beskyttelse af privatlivets fred var affattet på engelsk
I Nederlandene skulle en stor international virksomhed betale en bøde for bl.a. at have udarbejdet sin meddelelse om beskyttelse af privatlivets fred på engelsk. Virksomheden har mange børn som brugere, og derfor burde meddelelsen om beskyttelse af privatlivets fred for de registrerede (børnene) have været på nederlandsk. Bøden var på 750 000 EUR.
Eksempler på indhold, som en meddelelse om databeskyttelse bør indeholde
Dataansvarlig (artikel 13, stk. 1, litra a) -b), i GDPR)
Meddelelsen om databeskyttelse skal indeholde den dataansvarliges identitet (registreringsnummer, navn), kontaktoplysninger for den dataansvarlige i virksomheden og den databeskyttelsesansvarlige, hvis en sådan findes.
Formålene med behandlingen (artikel 13, stk. 1, litra c), i GDPR)
Enhver behandling af personoplysninger skal tjene et formål. Med andre ord et formål. Den skal være klar og præcis. F.eks. "levering af tjenesteydelser". Bemærk, at behandling af personoplysninger ikke er tilladt, fordi "det kan være nyttigt for fremtiden".
Retsgrundlag (artikel 13, stk. 1, litra c), i GDPR)
Retsgrundlaget for hver behandling skal angives. I henhold til artikel 6, stk. 1, litra b), i GDPR anvendes "kontrakt med den registrerede" f.eks., når kunder køber en tjeneste fra virksomheden, og virksomheden behandler kundens personoplysninger med henblik på at levere tjenesten og opfylde kontrakten. I henhold til artikel 6, stk. 1, litra a), i GDPR kan "samtykke" desuden anvendes som retsgrundlag for behandling af personoplysninger til statistiske formål gennem cookies på webstedet osv. Bemærk, at i tilfælde af samtykke skal meddelelsen om databeskyttelse i henhold til artikel 13, stk. 2, litra c), i GDPR indeholde oplysninger om, at den registrerede til enhver tid kan trække sit samtykke tilbage.
Angiv den legitime interesse (artikel 13, stk. 1, litra d), i GDPR)
Hvis en virksomhed anvender retsgrundlaget "legitim interesse" i henhold til artikel 6, stk. 1, litra f), i GDPR, skal meddelelsen om databeskyttelse også angive den legitime interesse. I sådanne tilfælde bør der også medtages en henvisning til den registreredes ret til at anmode om, at interesseafvejningen gennemføres og dokumenteres.
Modtagere af personoplysningerne (artikel 13, stk. 1, litra e), i GDPR)
Det er vigtigt at oplyse, om personoplysningerne vil blive delt med en tredjepart såsom en udbyder eller en offentlig myndighed eller virksomheder inden for samme koncern. Meddelelser om beskyttelse af personoplysninger skal indeholde oplysninger om modtagerne eller kategorierne af modtagere af personoplysningerne.
Overførsel af personoplysninger (artikel 13, stk. 1, litra f), i GDPR)
Hvis virksomheden har til hensigt at overføre personoplysningerne til et tredjeland eller en international organisation, skal dette angives i meddelelsen om databeskyttelse. Den skal også angive, om Kommissionen har truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller ej. Desuden skal der angives en henvisning til de fornødne garantier, og hvordan man får en kopi heraf.
Kategorier af personoplysninger (artikel 14, stk. 1, litra d))
Hvis virksomheden har modtaget personoplysningerne fra en anden end den registrerede, skal meddelelsen om databeskyttelse indeholde oplysninger om de kategorier af personoplysninger, der behandles. Nogle personoplysninger er vigtigere og mere følsomme end andre. Det er nyttigt at have en omfattende liste over kategorier, som virksomheden behandler. F.eks. kundernes navne, finansielle oplysninger såsom kreditkortnumre, følsomme personoplysninger såsom medarbejderes sygeorlov osv.
Oprindelse (artikel 14, stk. 2, litra f))
Hvis virksomheden ikke modtager personoplysningerne direkte fra den registrerede, skal den angive, hvordan den indhentede dem. F.eks. fra offentlige registre.
Rettigheder (artikel 13, stk. 2, litra b), i GDPR)
Virksomhederne skal informere de registrerede om deres rettigheder. F.eks. retten til at gøre indsigelse, når retsgrundlaget er en legitim interesse, retten til at få deres personoplysninger berigtiget, slettet osv.
Opbevaringsperiode (artikel 13, stk. 2, litra a), i GDPR)
Virksomheder må ikke behandle personoplysninger på noget tidspunkt. De slettes eller anonymiseres, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. Opbevaringsperioden meddeles de registrerede.
Klager til tilsynsmyndigheden (artikel 13, stk. 2, litra d), i GDPR)
Kontaktoplysningerne for den nationale databeskyttelsesmyndighed, som registrerede kan indgive klager til, skal medtages i meddelelsen om databeskyttelse.
FLERE OPLYSNINGER
Kontinuitetsplan
For at forberede virksomheden og dens ansatte på en eventuel krise, så de ved, hvordan de skal handle i dette tilfælde, er det nyttigt at udarbejde en forretningskontinuitetsplan. Med andre ord en plan for virksomhedens adfærd i tilfælde af en alvorlig forstyrrelse eller krise. Desuden er det nyttigt at fastlægge en katastrofeberedskabspolitik, som er den tekniske del af en forretningskontinuitetsplan. At være forberedt på en krise og have instrukser til personalet samt teste og forbedre dem regelmæssigt kan lette håndteringen af en krise og minimere dens konsekvenser.