Der er næppe nogen i Danmark, der ikke har hørt om GDPR, siden persondataforordningen trådte i kraft den 25. maj 2018.

Der er efterhånden skrevet mange værker om, hvad ”GDPR” og ”persondataforordningen” er, og mange vejledninger om, hvordan man som  virksomhed bliver compliant.

Trods dette, er der fortsat danske virksomheder, der ikke har fået sat gang i compliance-arbejdet. Det har formentlig noget at gøre med, at persondata er uhåndgribeligt for mange. 

Hos SelskabsAdvokaterne vil vi gerne gøre persondata håndgribeligt for vores klienter. Så er du en af de danske virksomhedsejere, der endnu ikke er kommet helt i mål med persondataforordningen, kan du med fordel læse videre.

Hvad er GDPR?

GDPR står for the General Data Protection Regulation, hvilket på dansk hedder persondataforordningen. Reglerne er en videreudvikling og stramning af databeskyttelsesdirektivet, som har været gældende siden 1995.

Formålet med reglerne er at sikre, at vi alle bliver gode til at passe på vores egne og andres personoplysninger. Helt konkret er formålet, at den dataansvarsliges behandling af personoplysninger bliver tydelig og transparent, så man som privatperson kan få indsigt i, hvilke oplysninger en dataansvarlige har om den pågældende, hvad den dataansvarlige bruger oplysningerne til, og hvilke rettigheder, den enkelte har i den forbindelse.

Hvad er “personoplysninger”?

Forordningens definition er tungt formuleret, men grundlæggende er persondata alle former for oplysninger, der er ”personhenførbare”. Det vil sige, at hvis oplysningerne enten alene eller i kombination med yderligere oplysninger kan lede til, at man kan identificere en fysisk person, så er oplysningerne personoplysninger. 

Læg dog mærke til, at det ”kun” er fysiske personer, der er omfattet af forordningen. Juridiske personer, eksempelvis virksomheder, er derfor ikke omfattet af forordningen, hvorimod medarbejderne og de fysiske ejere af virksomhederne er omfattet af forordningen.

Alle virksomheder behandler personoplysninger!

Det er tæt på umuligt, at drive en virksomhed i Danmark, uden at behandle personoplysninger. Der er naturligvis altid undtagelser og særtilfælde, men fordi begrebet personoplysninger favner så bredt, behandler alle danske virksomheder personoplysninger på den ene eller anden måde:

– har du medarbejdere i din virksomhed, har du personoplysninger om dine medarbejdere,

– har du samarbejdspartnere, har du personoplysninger om din samarbejdspartnere eller medarbejderne i dine samarbejdspartneres virksomheder,

– har du private kunder, har du personoplysninger om disse,

– har du erhvervskunder, har du personoplysninger om medarbejderne i dine kunders virksomhed.

Det er derfor meget svært at forestille sig en virksomhed, der ikke behandler personoplysninger på den ene eller anden måde.

Jeg vil så gerne i gang – hvad nu?

Der findes så mange kilder til viden om persondataforordningen, at det kan blive svært at overskue, hvordan man kommer i gang.

Baseret på vores erfaringer, er det nødvendigt, at du starter processen med at skabe dig et overblik over de personoplysninger, du behandler, inden du arbejder videre.

Vi anbefaler derfor, at du starter dit projekt med at lave en fortegnelse over alle de personoplysninger, du behandler.

Heri skal du tage stilling, til, hvilke kategorier af personer, du indsamler oplysninger om, hvilket kategorier af oplysninger, du behandler, formålet med din behandling, hjemlen til din behandling, hvem du deler oplysningerne med, om oplysningerne sendes til usikre tredjelande, hvornår oplysningerne skal slettes, samt en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger du har vedtaget. Derudover skal fortegnelsen altid indeholde navn på og kontaktoplysninger for din virksomhed.

Det kan lyde uoverskueligt, men med de rigtige værktøjer og lidt rådgivning, kan du gøre processen noget lettere.

Der findes mange værktøjer til at lave en fortegnelse på internettet, men ofte kan en et simpelt Excel-ark være tiltrækkeligt. Derfor har vi lavet en simpel skabelon til en fortegnelse, som vi gerne sender til dig uden betaling, hvis du kontakter os. Har du brug for yderligere vejledning til at udfylde fortegnelsen, kan du læse videre i Datatilsynets vejledning, eller kontakte os for videre rådgivning.

Når du har udfyldt fortegnelse, er du klar til at gå videre til det næste skridt. Herunder skal du fx have udarbejdet:

– en risikovurdering,

– en persondatapolitik både overfor dine medarbejdere og overfor omverdenen,

– databehandleraftaler,

– samtykkeerklæringer, hvis du anvender billeder af dine medarbejdere på virksomhedens hjemmeside eller på sociale medier.

Stadig i tvivl?

Hos SelskabsAdvokaterne ApS er vi specialister i håndtering af personoplysninger, herunder hvordan din virksomhed opfylder GDPR-reglerne. Hvis du har brug for hjælp til at komme i gang, er du er altid velkommen til at kontakte os for en uformel drøftelse omkring GDPR i din virksomhed. Vi kan kontaktes på tlf. 45 23 00 10 eller via mailadressen: advokat@selskabsadvokaterne.dk