GDPR - Virksomhedsliv
Behandling af personoplysninger i erhvervslivet
Virksomheder behandler normalt personoplysninger i forbindelse med deres aktiviteter. Personoplysninger kan tilhøre eksterne parter, såsom leverandører, kunder og partnere, samt interne parter, såsom virksomhedens medarbejdere.
Fælles for behandling af personoplysninger i erhvervslivet
Virksomheder, der behandler personoplysninger inden for EU, skal overholde GDPR. Med andre ord gælder dette ikke kun for virksomheder, der er baseret i EU, men også for virksomheder, der er baseret uden for EU, og som behandler personoplysninger om enkeltpersoner inden for EU.
Det er ofte nødvendigt at behandle personoplysninger for at drive virksomheden.
Eksempler på behandlinger i industrien
- Hjemmeadresse på kunder, der bestiller varer fra en e-handel, for at udføre hjemmelevering af købte produkter.
- Medarbejderens navn, CPR-nummer og bankkontonummer for at kunne betale lønnen.
- Kameraovervågning i receptionen som en ekstra sikkerhedsforanstaltning.
Roller i GDPR
Der er forskellige roller i GDPR, der kan være gode at kende. F.eks. hvem der er dataansvarlig og databehandler, hvilke aktører der skal udpege en databeskyttelsesansvarlig, hvem der kan registreres, og hvad de nationale databeskyttelsesmyndigheder gør. Nedenfor er en kort opsummering af bl.a. dette.
Den registeransvarlige
Det er den dataansvarlige, der afgør formålet med behandlingen, hvor længe den vil vare, og hvordan den vil blive udført. En virksomhed, myndighed eller anden form for organisation kan være dataansvarlig. Enkeltpersoner kan også være dataansvarlige i visse tilfælde.
Hvem er ansvarlig for behandlingen i henhold til GDPR?
Den dataansvarlige er ansvarlig for at sikre, at behandlingen udføres korrekt i overensstemmelse med reglerne i GDPR. Databehandlere har dog også et ansvar for deres behandling af personoplysninger, som udføres på vegne af den dataansvarlige.
Den dataansvarlige er normalt selve organisationen og ikke en bestemt person som f.eks. ejeren eller medarbejderne. I nogle tilfælde kan en person dog være den dataansvarlige. F.eks. hvis behandlingen foretages af en enkeltmandsvirksomhed eller en privatperson.
Nogle ofte stillede spørgsmål om dataansvarlige
Er det muligt at overføre udførelsen af behandlingen af personoplysninger til en anden?
Ja, virksomheder kan overføre udførelsen af behandlingen af personoplysninger til en anden i overensstemmelse med GDPR. Det er dog ikke muligt at overføre ansvaret for personoplysningerne og behandlingen. Det er kun selve behandlingen, der kan uddelegeres til en anden. For eksempel til en ansat databehandler.
Kan flere virksomheder være fælles dataansvarlige?
Ja, to eller flere virksomheder kan have et fælles dataansvar. Bemærk, at det er vigtigt at regulere forholdet i en skriftlig aftale. Hvem skal f.eks. opfylde hvilke forpligtelser for ikke at overtræde GDPR?
Hvordan skal medarbejdere behandle personoplysninger?
Medarbejderne må ikke behandle personoplysninger i strid med den dataansvarliges instrukser. Derfor er det vigtigt at skabe skriftlige og klare procedurer, som medarbejderne bør følge, når de behandler personoplysninger i praksis.
Forarbejdningsvirksomhed
Når en aktør behandler personoplysninger på vegne af en anden aktør, finder behandlingen sted i rollen som databehandler. Med andre ord behandler databehandleren personoplysninger på vegne af og i overensstemmelse med den dataansvarliges instrukser.
Eksempler på situationer, hvor virksomheder har tendens til at være databehandlere
Lagring i skyen
Mange virksomheder bruger cloud storage til at gemme forskellige digitale filer online, såsom kontrakter, billeder, film og / eller sikkerhedskopier. Disse filer kan indeholde personoplysninger. I sådanne tilfælde behandler cloud-udbyderen personoplysningerne på vegne af sine kunder. Udbyderen af cloud-tjenester fungerer således som databehandler, når de behandler de personoplysninger, der er lagret i deres cloud-tjeneste i forbindelse med leveringen af tjenesten til kunderne.
Regnskabsfirmaer
Når en virksomhed ansætter et revisionsfirma til at administrere regnskab, fakturering, løn osv., har revisionsfirmaet adgang til personoplysninger i forbindelse med udførelsen af sine opgaver. For eksempel vises navne og eventuelle oplysninger om sygefravær i medarbejdernes lønsedler, som regnskabskontoret kan få til opgave at oprette og sende til medarbejderne. Regnskabskontoret behandler således personoplysninger på vegne af den virksomhed, der har ansat dem, for at kunne udføre opgaven.
CRM-system
Virksomheder, der har mange medarbejdere og kunder, har normalt et CRM-system. Den virksomhed, der driver CRM-systemet, behandler således personoplysninger på vegne af den virksomhed, der bruger tjenesten, og er derfor en databehandler i sin behandling af sådanne personoplysninger.
Ofte stillede spørgsmål om databehandlere
Hvem kan være databehandler?
Både fysiske og juridiske personer kan være databehandlere. Det vil sige virksomheder, organisationer, myndigheder og privatpersoner.
Kan databehandlere holdes ansvarlige for overtrædelser af GDPR?
Ja, databehandlere kan få bøder, hvis de overtræder GDPR. Desuden kan de være ansvarlige over for de registrerede i overensstemmelse med databeskyttelsesforordningens artikel 82.
Hvad skal processorer gøre, hvis de ønsker at ansætte en underprocessor?
Den dataansvarlige skal først give sin skriftlige tilladelse til, at en databehandler på sin side kan engagere en underdatabehandler. Hvis der opnås samtykke, skal databehandleren og den underkontraherede databehandler også indgå en databehandleraftale med hinanden i overensstemmelse med artikel 28 i GDPR.
Skal aftaler om behandling af personoplysninger være skriftlige i henhold til GDPR?
Ja, aftaler om behandling af personoplysninger skal være skriftlige i overensstemmelse med GDPR. Der er formelle krav til en databehandleraftale i henhold til databeskyttelsesforordningens artikel 28, hvoraf det klart fremgår, at den skal være skriftlig. Med andre ord er mundtlige databehandlingsaftaler ugyldige og dermed i strid med GDPR.
Databeskyttelsesrådgiver
Nogle virksomheder er forpligtet til at have en databeskyttelsesansvarlig i henhold til GDPR. Selv virksomheder, der ikke behøver at udpege en databeskyttelsesrådgiver i henhold til GDPR, kan gøre det frivilligt som en privatlivsfremmende sikkerhedsforanstaltning.
Hvad databeskyttelsesrådgivere bør gøre
Databeskyttelsesrådgivere arbejder for at overvåge virksomhedens overholdelse af GDPR. Det kan være en medarbejder, der har rollen som databeskyttelsesrådgiver, men det behøver ikke at være en medarbejder. Databeskyttelsesrådgiveren rådgiver bl.a. om virksomhedens behandling af personoplysninger, kontrollerer organisationens interne kontroldokumenter såsom interne procedurer og indsamler oplysninger om virksomhedens behandling af personoplysninger. En databeskyttelsesrådgiver spiller således en vigtig rolle i virksomhedens databeskyttelsesarbejde.
Ret til at kontakte den databeskyttelsesansvarlige
Registrerede har ret til at kontakte den databeskyttelsesansvarlige i tilfælde af spørgsmål vedrørende behandlingen af deres personoplysninger. Dette omfatter ikke kun kunder og eksterne personer, men også virksomhedens medarbejdere. Den databeskyttelsesansvarliges kontaktoplysninger skal være offentligt tilgængelige og fremgår normalt af den meddelelse om beskyttelse af privatlivets fred, der offentliggøres på virksomhedens officielle websted. Desuden skal virksomheden underrette den databeskyttelsesansvarlige til den nationale databeskyttelsesmyndighed.
Her er nogle almindelige spørgsmål om databeskyttelsesansvarlige
Har databeskyttelsesrådgiveren et personligt ansvar for, hvordan virksomheden behandler personoplysninger?
Nej, den databeskyttelsesansvarlige har intet personligt ansvar for, hvordan virksomheden behandler personoplysninger. Desuden er det forbudt at straffe den databeskyttelsesansvarlige for at udføre sine opgaver. Det er den part, som databeskyttelsesrådgiveren arbejder for, der er ansvarlig for at sikre, at dens behandling af personoplysninger er i overensstemmelse med reglerne i GDPR.
Hvilken viden skal databeskyttelsesrådgiveren have?
Kendskab til GDPR og eventuel yderligere relevant national databeskyttelseslovgivning. Kend virksomheden, hvordan personoplysninger behandles, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger virksomheden har truffet osv. Være i stand til at formidle relevant information og skabe en god databeskyttelseskultur i virksomheden.
Skal den databeskyttelsesansvarlige være ansat i virksomheden?
Nej, en databeskyttelsesrådgiver behøver ikke at være ansat i virksomheden. Den databeskyttelsesansvarlige kan være en ekstern aktør. Det kan være en medarbejder i virksomheden. Den person, der fungerer som databeskyttelsesrådgiver, kan også have andre opgaver parallelt, medmindre det strider mod rollen som databeskyttelsesrådgiver.
Bør virksomheder rådføre sig med databeskyttelsesansvarlige, når de foretager konsekvensanalyser?
Ja, når en virksomhed skal foretage en konsekvensanalyse, bør den databeskyttelsesansvarlige altid inddrages i processen. Det samme gælder, hvis virksomheden overvejer at foretage en konsekvensanalyse.
Registreret
Det er vigtigt at vide, hvad en registreret er, og hvilke rettigheder registrerede har, for at overholde GDPR i praksis.
Registreredes rettigheder
Registrerede har flere rettigheder i henhold til GDPR. Det er almindeligt at tale om de otte centrale rettigheder, der er fastsat i artikel 15-22 i GDPR.
Ofte stillede spørgsmål om registrerede i henhold til GDPR
Kan registrerede have ret til erstatning i henhold til GDPR?
Ja, registrerede kan være berettiget til erstatning i henhold til artikel 82 GDPR. Vær opmærksom på, at skader ikke er det samme som bøder. Der skal være tale om immateriel eller materiel skade, for at en registreret har ret til erstatning, men der er undtagelser. I nogle tilfælde kan en registreret have ret til erstatning i tilfælde af frygt for fremtidig immateriel skade.
Nationale databeskyttelsesmyndigheder
Alle EU-lande har en national databeskyttelsesmyndighed. De spiller en vigtig rolle i GDPR.
Spørgsmål om nationale databeskyttelsesmyndigheder
Hvilken databeskyttelsesmyndighed kan de registrerede indgive en klage til?
Registrerede kan indgive en anmeldelse til den nationale databeskyttelsesmyndighed i deres bopælsland. Hvis databeskyttelsesmyndigheden mener, at et andet lands databeskyttelsesmyndighed er mere egnet til at behandle sager, f.eks. fordi den virksomhed, der har overtrådt GDPR, har sit hovedsæde der, kan de overføre sagen dertil. Med andre ord behøver den registrerede ikke at bekymre sig om at skulle rapportere til den rette databeskyttelsesmyndighed.
Kan de nationale databeskyttelsesmyndigheder pålægge bøder?
Ja, de nationale databeskyttelsesmyndigheder har beføjelse til at pålægge bøder, hvis de mener, at virksomheder har overtrådt GDPR. Det er dog muligt at appellere afgørelsen til retten.
Kan databeskyttelsesmyndighederne kræve erstatning for de berørte registrerede?
Nej, databeskyttelsesmyndighederne kan ikke kræve erstatning for de berørte registrerede. På den anden side pålægger de virksomhederne bøder, en bøde, som de registrerede ikke har adgang til. Den berørte registrerede skal selv kræve erstatning, enten direkte fra virksomheden eller ved at anlægge et civilt søgsmål mod virksomheden.
Behandling af personoplysninger som arbejdsgiver
Det er meget almindeligt at behandle personoplysninger som arbejdsgiver. Derudover er det almindeligt at behandle følsomme personoplysninger i arbejdslivet, hvilket betyder strengere regler. Derfor er det godt at kende reglerne i GDPR for ikke at overtræde reglerne, da overtrædelser af GDPR kan have store økonomiske konsekvenser for virksomheden. Arbejdsgivere behandler f.eks. normalt navne på ansatte, eventuelt tilknyttede kontaktpersoner, bankkontooplysninger, sygefravær, brug af kameraovervågning, rekrutteringssystemer osv.
Ansvar for personoplysninger, når arbejdsgivere behandler personoplysninger
Det er virksomheden selv, der er den registeransvarlige og bærer ansvaret, og ikke lederen eller nogen anden person, der arbejder i virksomheden. Det er den juridiske person selv, der er arbejdsgiver og dermed ansvarlig for behandlingen af personoplysninger. I nogle tilfælde er det imidlertid en fysisk person, der kan have rollen som dataansvarlig, f.eks. hvis det er en enkeltmandsvirksomhed eller en privat person, der foretager behandlingen.
Kan databehandlere være ansvarlige for behandlingen af personoplysninger?
Ja, for eksempel, hvis en virksomhed, der er ansvarlig for personoplysninger, bruger et regnskabskontor til at håndtere lønningslisten. I sådanne tilfælde er regnskabskontoret en databehandler, men har sit eget ansvar for den behandling, de foretager. Regnskabskontoret er imidlertid ikke dataansvarlig for de behandlede personoplysninger.
Rekrutteringssystemer og færdighedsdatabaser
Mange virksomheder har medarbejdere til at drive virksomheden effektivt. Desuden er det almindeligt at basere sig på kompetencedatabaser ved ansættelse, hvilket udgør en behandling af personoplysninger. I så fald skal virksomheden bl.a. have et retsgrundlag for denne behandling. Ofte er legitim interesse det rette retsgrundlag for at understøtte behandlingen.
Behandl ikke flere personoplysninger end nødvendigt
Virksomheder må kun behandle de personoplysninger, der er nødvendige for formålet med behandlingen. Personoplysningerne skal desuden slettes eller anonymiseres, når det ikke længere er nødvendigt at behandle dem.
Bemærk, at det er tilladt for arbejdsgiveren at fortsætte behandlingen af personoplysningerne, så længe det er muligt for den pågældende jobsøgende eller medarbejder at anlægge sag. Følsomme personoplysninger er derimod normalt ikke tilladt for arbejdsgivere at behandle, når de rekrutterer. Det samme gælder oplysninger om lovovertrædelser.
Ofte stillede spørgsmål om rekrutteringssystemer og kompetencedatabaser
Kan samtykke anvendes som retsgrundlag, når der anvendes rekrutteringssystemer og færdighedsdatabaser?
Det er i de fleste tilfælde uhensigtsmæssigt at bruge samtykke som retsgrundlag, når en arbejdsgiver behandler personoplysninger om medarbejdere. Det skyldes, at magtforholdet er ulige mellem parterne. Dette er noget, som Databeskyttelsesrådet også har kommenteret i sine retningslinjer for anvendelse af samtykke som retsgrundlag.
Kan virksomheder bruge automatiserede beslutninger, når de ansætter medarbejdere?
Hovedreglen i GDPR betyder, at medarbejdere, som også omfatter fremtidige medarbejdere, har ret til ikke at være genstand for beslutninger, der udelukkende er baseret på automatiseret beslutningstagning.
Bør medarbejderne informeres om behandlingen af deres personoplysninger i rekrutteringssystemer og færdighedsdatabaser?
Ja, den generelle regel betyder, at medarbejderne skal informeres om behandlingen af deres personoplysninger. Med andre ord bør behandlingen ikke finde sted uden deres viden.
GDPR i overvågningen af medarbejdere
Virksomhederne kan i nogle tilfælde være nødt til at overvåge arbejdspladsen og/eller medarbejderne,f.eks. ved at have kameraovervågning i virksomhedens lokaler.
Kameraovervågning på arbejdspladsen
Det kan være hensigtsmæssigt at have kameraovervågning på arbejdspladsen. Dette udgør imidlertid en alvorlig krænkelse af privatlivets fred, og de ansatte har normalt en stærk interesse i ikke at være underlagt en sådan overvågning. Derfor bør der være stærke grunde til at have kameraovervågning på arbejdspladsen. En gyldig grund til at have kameraovervågning på lageret kan f.eks. være, at der er lagret aktiver af høj værdi der. Det er dog ikke i orden at have et kamera foran toilettet for at kunne overvåge, hvor ofte medarbejderne besøger toilettet.
Ofte stillede spørgsmål
Hvilket retsgrundlag er fælles for at støtte behandlingen, når der føres tilsyn med medarbejdere?
Legitim interesse er normalt det korrekte retsgrundlag. Samtykke er generelt ikke gyldigt, fordi der er et ulige magtforhold mellem arbejdsgiveren og arbejdstageren.
Skal virksomhederne foretage en konsekvensanalyse, når de overvåger medarbejderne?
Nej, der er ikke noget direkte krav i GDPR, men det kan være hensigtsmæssigt at skulle gøre det. Det kan f.eks. være et must, hvis virksomheden systematisk overvåger medarbejderne om, hvordan de bruger deres e-mail eller lignende.
Skal medarbejderne informeres om behandlingen vedrørende overvågning?
Ja, medarbejdere har ret til at modtage oplysninger om behandlingen af deres personoplysninger og overvågning på arbejdspladsen. På den anden side skal den normalt ikke indsendes ved hver inspektion, men det er normalt nok, at den finder sted én gang. Oplysningerne skal gives skriftligt i en meddelelse om beskyttelse af privatlivets fred for medarbejdere.
Biometriske data
Teknisk behandling, der gør det muligt at identificere en person ved hjælp af dennes fysiske, fysiologiske eller adfærdsmæssige karakteristika, udgør behandling af biometriske oplysninger. F.eks. fingeraftryk eller ansigtsgenkendelse for at få adgang til din virksomheds IT-tjenester og -systemer.
Biometriske data udgør følsomme personoplysninger i henhold til GDPR
I henhold til databeskyttelsesforordningens artikel 9 udgør biometriske oplysninger følsomme personoplysninger. Behandling af følsomme personoplysninger er som hovedregel forbudt, men der er visse specifikke undtagelser. Det er vigtigt at huske på, at behandlingen af følsomme personoplysninger stiller højere krav end behandlingen af “almindelige” personoplysninger.
Ofte stillede spørgsmål
Kan arbejdsgivere behandle biometriske data?
Ja, men arbejdsgiveren skal have et retsgrundlag og et væsentligt grundlag for at behandle biometriske oplysninger. Samtykke er normalt ikke passende som retsgrundlag, da magtforholdet mellem arbejdsgiveren og arbejdstageren er ulige.
Kan skoler eller arbejdsgivere anvende biometriske data, f.eks. ansigtsgenkendelse, til kontrol af fremmøde?
Som hovedregel er svaret nej. I Sverige brugte en skole ansigtsgenkendelse til at kontrollere elevernes fremmøde, og skolen skulle betale en bøde for det.
Skal virksomhederne foretage en konsekvensanalyse, før de anvender biometriske data?
Det er ikke udtrykkeligt reguleret i GDPR, at virksomheder skal foretage en konsekvensanalyse, inden de behandler biometriske data. Men det kan være nødvendigt.
Mere om GDPR
Læs mere om det grundlæggende
GDPR er en omfattende lovgivningsmæssig ramme, som virksomheder skal overholde, hvis de behandler personoplysninger, der tilhører enkeltpersoner inden for EU / EØS-området. For at forstå, hvordan en virksomhed skal gøre i praksis for at overholde GDPR, er det vigtigt at forstå det grundlæggende i denne EU-forordning. For eksempel skal virksomheder have et retsgrundlag for hver enkelt behandling, overholde de grundlæggende databeskyttelsesprincipper, forstå, hvilke konsekvenser virksomheder kan have i tilfælde af brud på GDPR, vide, hvilke rettigheder medarbejdere har, og hvordan brud på persondatasikkerheden skal håndteres.