Lovlig behandling af personoplysninger!
Er du i tvivl om, hvordan du sikrer lovlig behandling af personoplysninger i din mindre virksomhed eller forening? Og har du brug for nogle enkle værktøjer og metoder til at komme i gang? Så læs med her. Lær hvordan du kan lave lovlig behandling af personoplysninger, uden at bygge en ny Storstrømsbro.
Behandling af personoplysninger er en integreret del af hverdagen i de fleste mindre virksomheder og foreninger. Men kan du svare klart og tydeligt på, hvorfor du behandler de personoplysninger, du har? Det er kernen i databeskyttelsesreglernes krav om et lovligt og sagligt formål. Og det er netop opgaven på trin 2 i GDPR-trappen™. GDPR-trappen er baseret på Datatilsynets GDPR-universet for små virksomheder og foreninger. Så er du sikker på at komme omkring det nødvendige og tilstrækkelige uden at overimplementere.
Datatilsynet anviser hvad du skal gøre for et efterleve kravene til lovlig behandling af personoplysninger i GDPR-reglerne. Med GDPR-trappen får du konkrete værktøjer, vejledning og skabeloner til, hvordan du kan opfylde kravene. Og du får en praktisk metode til at identificere og dokumentere dine behandlingsaktiviteter.
Det er ikke så kompliceret og besværligt, som mange siger eller forsøger at overbevise dig om. Du behøver heller ikke være GDPR-nørd eller databeskyttelsesentusiast. Du skal bare have viljen til at ville have styr på GDPR og behandlingsaktiviteterne i din virksomhed eller forening.
Hvad er en behandlingsaktivitet?
En ”behandlingsaktivitet” er GDPR-slang for enhver arbejdsproces i din virksomhed eller forening, hvori der indgår behandling af personoplysninger. Det kan være alt lige fra markedsføring og salg, aftaler med kunder og leverandører, til lønudbetaling, personaleadministration og bogføring. Og vær opmærksom på, at behandlingsbegrebet skal forstås meget bredt. Læs mere i faktaboksen, hvor jeg har gengivet definitionen af begrebet fra Artikel 4(2).
Men når du vil udøve lovlig behandling af personoplysninger – uanset om det drejer sig om kunder, ansatte, foreningsmedlemmer eller samarbejdspartnere – så er det afgørende at kunne svare på hvorfor du har disse oplysninger?
Dit svar på spørgsmålet skal afspejle formålet med den lovlig behandling af personoplysninger.
Det er et grundlæggende krav i databeskyttelsesreglerne, at du kan henvise til et lovligt behandlingsformål, dvs. en gyldig hjemmel i lovgivningen eller en saglig begrundelse for behandlingen.
Uden et klart formål risikerer du ikke bare at overtræde reglerne om lovlig behandling af personoplysninger, men også at miste tilliden hos dem, hvis data du behandler.
Behandling: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Sådan kommer du i gang: lovlig behandling af personoplysninger
Det er vigtigt at løse opgaven trin for trin og bruge din sunde fornuft. GDPR blev ikke bygget på én dag. Her er en trinvis vejledning til, hvordan du skaber grundlaget for din lovpligtige fortegnelse, og udøver lovlig behandling af personoplysninger.
1. Identificér dine behandlingsaktiviteter
Start med at kortlægge alle de arbejdsgange i din virksomhed, der involverer behandling af personoplysninger. Brug gerne brainstorm-metoden med kolleger på tværs af organisationen.
Skriv alle behandlinger ned, og brug en aktiv formulering, som kan begrunde formålet med behandlingen. For eksempel
- Formålet med behandlingen er at indgå aftaler med kunderne om levering af ydelser og produkter.
Når du har identificeret alle dine behandlingsaktiviteter, så kan du gruppere dem i nogle overordnede kategorier såsom
- Administration af kundeforhold
- Personaleadministration
- Leverandørkontrakter og -styring
2. Fastlæg det lovlige grundlag for behandlingen
For hver behandlingsaktivitet skal du dokumentere, hvorfor oplysningerne behandles. Er det for at opfylde en kontrakt eller for at overholde en forpligtelse i lovgivningen. Eller baserer behandlingen sig på et samtykke? Find ud af, hvad det er, der gør det til lovlig behandling af personoplysninger.
Når det handler om almindelige personoplysninger, så giver GDPR’s artikel 6 dig seks mulige hjemler – vælg den, der passer bedst til din situation. Læs mere om hjemlerne i artikel 6 på Datatilsynets hjemmeside – eller læs med i et af mine kommende nyhedsbreve.
Og husk lige at ”Nice to have” ikke en gyldig begrundelse!
3. Vær kritisk overfor din egen logik
Spørg dig selv: Er behandlingen nødvendig og proportional? Det vil sige: behandler du kun de oplysninger, du faktisk har brug for i henhold til formålet? Hvis ikke, så skal du overveje at indskrænke behandlingen eller slette unødvendige oplysninger.
4. Byg din fortegnelse
En fortegnelse over behandlingsaktiviteter er ikke bare et formalistisk krav fra artikel 30 i GDPR. Det er et værdifuldt værktøj til at skabe overblik samt sikre og dokumentere efterlevelse af reglerne. Det er din påvisning af, at du foretager lovlig behandling af personoplysninger.
Fortegnelsen skal beskrive formålet med behandlingen, de typer af personoplysninger og personer, der er involveret, samt eventuelle modtagere af oplysningerne mm.
Datatilsynet kan anmode om at se din fortegnelse, så det er vigtigt, at den er ajour og tilgængelig.
5. Vær opmærksom på følsomme og fortrolige personoplysninger
Lovlig behandling af personoplysninger, som er følsomme (som f.eks. helbredsoplysninger og fagforeningsforhold) kræver ekstra opmærksomhed og et dobbelt hjemmelskrav efter artikel 9 i GDPR. Her kan det være nødvendigt at rådføre sig med en specialist.
Godt, at du har én lige ved hånden!
Det danske CPR-nummer er en almindelig, men særligt beskyttelsesværdig personoplysning. Hjemmel til behandling af CPR-nummeret skal du finde i §11-12 i den supplerende danske databeskyttelseslov.
6. Lav sletteregler - og følg dem!
Slet personoplysninger, når formålet ikke længere eksisterer – medmindre anden lovgivning (f.eks. bogføringsloven) kræver opbevaring.
Hvorfor lovlig behandling af personoplysninger betaler sig
Lovlig behandling af personoplysninger styrker tilliden hos kunder, medarbejdere og samarbejdspartnere – og minimerer risikoen for bøder.
Brug Datatilsynets GDPR-universer og GDPR-trappen™ til konkrete værktøjer og skabeloner.
Har du allerede arbejdet med trin 2, eller skal du i gang? Del dine erfaringer!
GDPR-trappen™ er en veltilrettelagt genvej til god databeskyttelse og høj informationssikkerhed.
GDPR-trappen er baseret på Datatilsynets koncepter “GDPR-Universet for små virksomheder” og “GDPR-Universet for små foreninger.”
Når du følger Datatilsynets syv trin ved hjælp af GDPR-trappen, så er du sikker på at komme omkring det nødvendige og tilstrækkelige.