Den nye persondataforordning er ikke så ny mere, og Datatilsynet begynder i stigende grad at foretage kontrolbesøg hos danske virksomheder. Men både reglerne og personoplysninger er mange, og de kan være svære at have overblik over.
Den nye persondataforordning trådte i kraft den 25. maj 2018, og fra denne dato er alle, der behandler oplysninger om personer, omfattet af lovgivningen. Stort set alle virksomheder skal derfor efterleve reglerne i databeskyttelsesforordningen. Reglerne er mange, og de kan være svære at danne sig et overblik over.
Både før og efter den 25. maj har mange virksomheder søgt rådgivning og assistance på området, så de er sikre på, at de overholder reglerne. BDO har siden efteråret 2017 rådgivet virksomheder i hele landet om overholdelse af databeskyttelsesforordningen, og vi oplever fortsat efterspørgsel. Denne efterspørgsel stiger i kraft af Datatilsynets kontrolbesøg og anmeldelser om virksomheder, der ikke overholder reglerne.
Risikovurderingen skaber problemer
Alle virksomheder, der behandler personoplysninger, skal føre en fortegnelse, der kortlægger de processer, hvori der behandles personoplysninger. Fortegnelsen skal indeholde flere elementer, herunder en beskrivelse af processen samt formålet med behandling af personoplysninger. Det skal dokumenteres, hvilke typer af personoplysninger, der indgår i virksomhedens processer og med hvilken hjemmel personoplysningerne behandles. Yderligere skal der fremgå en risikovurdering for den registreredes rettigheder og en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte den registreredes rettigheder.
Denne risikovurdering er et af de områder, som vores kunder finder sværest. Når vi forklarer vores kunder principperne bag risikovurdering og gør det mere håndgribeligt gennem fortegnelsen, har vi erfaret, at de bliver overrasket over, hvor nemt virksomhederne kan foretage den krævede risikovurdering.
Personoplysningerne er flere, end virksomhederne er klar over
Mange virksomheder er ikke altid klar over, hvor mange personoplysninger de egentlig behandler, og ofte behandler de flere, end de selv er klar over.
Størstedelen af virksomhederne har styr på de mest gængse behandlinger af personoplysninger i rekruttering, ansættelse, lønudbetaling og fratrædelse. De har styr på korrekt opbevaring af medarbejdernes data og har begrænset de ansattes rettigheder til udelukkende de personer, som har et arbejdsbetinget behov. Mange virksomheder har allerede indbygget rutiner, så de kan bortskaffe opbevarede personoplysninger korrekt samt skabt processer for rettidig sletning af personoplysninger. Indhentelse og fremskaffelse af databehandleraftaler har i mange tilfælde heller ikke givet anledning til store problemer, da mange leverandører har fremsendt disse automatisk ved databeskyttelsesforordningens ikrafttræden.
Men når vi kommer til områder, der ikke berøres dagligt, sker der pludselig behandling af personoplysninger i langt flere processer, end virksomhederne selv er klar over. Dette kan fx være noget så simpelt som opbevaring af kursusbeviser, uddannelsesbeviser mv., som virksomheden skal opbevare for at kunne dokumentere, at de overholder anden lovgivning. Andre særlige områder er blandet andet opbevaring og anvendelse af portrætbilleder af virksomhedens medarbejdere på fx hjemmesiden, kontaktinformation over pårørende til medarbejderne samt opbevaring af kørekort og/eller pas i forbindelse med hvidvaskdokumentation
Personfølsomme oplysninger
Der, hvor virksomhederne skal være særligt opmærksomme, er ved opbevaring af personfølsomme oplysninger. Det er vores erfaring, at nogle virksomheder kan ligge inde med disse oplysninger uden, at de har overvejet det i forhold til databeskyttelsesforordningen. Personfølsomme oplysninger kan fx være referater fra medarbejderudviklingssamler, helbredsoplysninger i forbindelse med fx ansættelse af en medarbejder i flexjob eller i forbindelse med eventuelle arbejdsskader. Opbevaringen af disse data kommer ofte bag på virksomhederne, der dog er positive over for ændringer og tilpasninger, så de kan overholde databeskyttelsesforordningen.
Brancher underlagt særlovgivning
Nogle brancher er underlagt en særlovgivning, som ligeledes skal overholdes, og de virksomheder skal særligt være opmærksomme på fortsat at overholde databeskyttelsesforordningen. Som eksempel skal havne overholde ISPS-lovgivningen angående terrorsikring på havne og foretage adgangskontrol for alle personer, som opholder sig på terrorsikret område på havnen. Havnen og skibstrafikken skal overvåges jf. ISPS-lovgivningen, og havnen skal sikre, at der sker korrekt opbevaring af materialet til overholdelse af ISPS-lovgivningen. Det er vores erfaring, at havnene selv er opmærksomme på særlovgivningen og i denne forbindelse udelukkende har behov for assistance til at dokumentere, at de ligeledes overholder databeskyttelsesforordningen.
Vi kan hjælpe
Vi rådgiver vores kunder om udarbejdelse af fortegnelsen, så de føler sig bedre rustet til at overholde databeskyttelsesforordningen. Det er vores erfaring, at de føler sig rigtig godt hjulpet, og mange bliver overrasket over, hvor simpelt blot ét dokument kan gøre så komplekst et område. Fortegnelsen hjælper vores kunder med at dokumentere, at de overholder databeskyttelsesforordningen, og at virksomheden har indført de passende tekniske og organisatoriske foranstaltninger vedrørende opbevaringen af personoplysninger.