Den nuværende lovgivning er allerede meget skarp når vi taler firmaer og organisationers opbevaring af persondata.
Bemærk at der er tale om kommercielle forhold - firmaer eller privates indsamling af personoplysninger kommercielt, ikke om din liste over bedstemor og venner privat.
Dette indlæg baserer sig på bedste viden men uden ansvar af nogen art for trykfejl eller misforståelse.
Formålet er alene at give en let forståelig introduktion til emnet.
Når en offentlig myndighed eller en privat virksomhed m.v. behandler personoplysninger, er der nogle generelle og grundlæggende krav, som altid skal være opfyldt.
Behandling af personoplysninger, skal ske i overensstemmelse med god databehandlingsskik.
Det betyder, at den dataansvarlige nøje skal overholde reglerne i loven, såvel i ånd som bogstav, og ikke må forsøge at omgå reglerne. Fastlæggelse af, hvad der ligger i "god databehandlingsskik", sker gennem Datatilsynets praksis.
Det skal altid stå klart, hvad formålet med indsamling af oplysningerne er, og dette formål skal være strengt sagligt. Om formålet er saglig afhænger først og fremmest af, at oplysningerne indsamles til at løse en opgave som er nødvendig at løse i en konkret sammenhæng og som gør indsamlingen naturlig. Hvad der er sagligt for den ene myndighed eller virksomhed, vil altså ikke nødvendigvis være sagligt for den anden.
Man må aldrig indsamle oplysninger, hvis man ikke aktuelt har noget at bruge dem til, men blot forventer, at der senere viser sig et formål..
Behandling til senere brug må ikke være uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til.
Principielt KAN oplysninger godt anvendes til et andet end det oprindelige formål, blot den senere anvendelse ikke er uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til. Det vil være en konkret vurdering, om senere behandling må anses for så uvedkommende i forhold til det oprindelige, at det ikke vil kunne accepteres.
Oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning. Der må således ikke indsamles flere oplysninger om en borger/kunde/person, end hvad der er absolut nødvendigt.
Som data ansvarlig skal du sikre dig, at der ikke på nogen måde behandles forkerte eller vildledende oplysninger, og skulle det vise sig at være tilfældet, så skal disse hurtigst muligt slettes eller rettes. (skærpelse i ny lov angive senere)
Alle Oplysninger skal slettes eller gøres anonyme, så snart det ikke længere er nødvendigt for den dataansvarlige at være i besiddelse af oplysningerne i en form, der gør det muligt at identificere den enkelte person.
Du skal fremover informere om muligheden for at trække et samtykke tilbage inden/samtidigt med, samtykke gives. Samtykke givet inden 25 maj 2018 anses med alt jeg kan se, ikke at kræve der nu skal gives besked om mulighed for at trække dette tilbage. Det vil dog være god skik, i det omfang det er praktisk muligt, hvis den dataansvarlige overvejer at orientere de som har givet samtykke, om muligheden for at trække dette tilbage.
Gruppe 1 og 2 falder ind under "Følsomme person oplysninger":
Der må som udgangspunkt ikke registreres det som i loven falder ind under menneskers rent private forhold så¨som race, etnisk tilhørsforhold, politisk, religiøs eller filosofisk overbevisning samt oplysninger om fagforeningsmæssige forhold og oplysninger af helbredsmæssige og seksuelle forhold.
Også oplysninger om strafbare forhold, væsentlige sociale problemer, interne familieforhold/problemer falde ind under særligt følsomme oplysninger
Andre typer af oplysninger om rent private forhold anses også for at være følsomme. Det drejer sig om oplysninger om strafbare forhold.
Almindelige personoplysninger må derimod registreres, så længe loven fuldt overholdes.
Det vil dreje sig om f.eks. identifikationsoplysninger, navn adresse mm, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke følsomme oplysninger.
Der er en række krav for at man må indsamle almindelige - ikke følsomme"oplysninger:
Den man registrerer skal give udtrykkeligt samtykke. Stiltiende eller som del af almene forretningsbetingelser vil ikke være samtykke.
Indsamling og behandling skal være nødvendig for at kunne opfylde en aftale, som den man registrerer skal være part i. Det kunne være oplysninger som fremgår af ordrer, fakturaer og lignende i tilknytning til aftaler med den registrerede.
Arbejdsgivere er f.eks. via skattelove forpligtet til at indsamle en række oplysninger om de ansatte for at kunne videre give disse til myndighederne.
Alle forpligtelser som på den vis er pålagt via dom eller offentlig afgørelser og lov - er retslige forpligtelser der gør registrering lovlig.
Almindelige Derimod er aftale retlige forpligtelser er derimod ikke omfattet af tilladelsen.
Registrering må også ske hvis det er nødvendig for at beskytte den registreredes vitale interesser. eller er nødvendig for at kunne udføre en vigtig opgave i landets og samfundets interesse.
Ligeledes må der registreres i forbindelse med myndighedsudøvelse, forvaltningssager mm.
Den dataansvarlige kan også, efter konkret vurdering registrere, fordi det er nødvendig for at varetage en berettiget Det er f.eks tilladt at føre personaleregistre og registre over en virksomheds kunder og leverandører.
Der er visse undtagelser, f.eks i forhold til ansatte hvor arbejdsgiver må registrere og opbevare:
Navn, adresse, tlf. nr, fødselsdato
Famileforhold
Ansøgning og CV, eksamens-oplysninger og oplysning om tidl. beskæftigelse.
Løn, arbejdstider, fravær og sygedage.
Kontonummer til banken
Skat og tilsvarende vedr. gæld.
Der må derimod for ansatte IKKE gemmes:
Oplysninger om helbred (med mindre oplysningen er nødvendig for at overhold lovkrav)
Fagforenings medlemskab, med mindre arbejdsgiver har ansvaret for kontingenttræk
Straffeattester mm
Oplysning om race, etnisk bagrund, religiøs, politisk holding eller overbevisninger.
Oplysning om seksueller forhold, eller
Væsentlige sociale problemer
RETTIGHEDER:
- Ret til indsigt i de oplysninger, der behandles om den registrerede,
- Ret til at få information om, at der indsamles oplysninger om den registrerede, og
- Ret til at få slettet eller rettet urigtige oplysninger.
´SKÆRPELSE AF LOVEN FRA 25/5-2018:
Basalt set er det en skærpelse, men rigtigt meget går igen.
Reglerne gælder for alle virksomheder, organisationer og offentlige myndigheder, og omfatter også alle virksomheden uden for EU, hvis disse driver virksomhed inden for EU og behandler persondata om EU borgere.
Meget af lovstoffet er kendt fra den nuværende persondatalov, så følger du allerede denne, så er du rigtigt godt på vil, men der indføres også en række nye bestemmelser, som du (og din data ansvarlige) absolut skal få styr på, og overholde.
OM du så firma er forpligtet til at udpege/ansætte en egentlig ansvarlig DPO afhænger af en række kriterier, som ikke nødvendigvis er så vældigt klare. Det kan du læse om her I LINK men selve persondataloven, skal alle overholde.
ØGET BØDE NIVEAU:
Bødeniveauet er meget højt, idet manglende overholdelse af forordningen kan medføre bøder der som udgangspunkt vil være op til 4% af hele din omsætning, og derudover kan du som person eller firma blive pålagt, at betale erstatning for tort som de personer du har opbevaret data kan have lidt, i strid med loven for.
Formildende omstændigheder vil have indflydelse ved udmåling af en bøde. Det fremgår direkte af forordningen, at bødeudmålingen sker på baggrund af en konkret vurdering, hvor domstolen bl.a. kan lægge vægt på,
- Overtrædelsens karakter, alvor og varighed, antallet af registrerede, der er berørt, og omfanget af skaden.
- Om overtrædelsen er begået forsætligt (bevidst) eller uagtsomt (om der er noget at bebrejde virksomheden).
- Hvad virksomheden har gjort for at begrænse skaden.
- Om virksomheden har samarbejdet med Datatilsynet for at afhjælpe overtrædelsen eller begrænse skaden.
- Om det er følsomme eller almindelige personoplysninger, der er berørt.
- Om virksomheden selv har anmeldt overtrædelsen eller har holdt den skjult for Datatilsynet.
- Om virksomheden tidligere er straffet for overtrædelse af persondatareglerne.
DATATILSYNET HAR LAGT 12 RIGTIGT GODE RÅD UD:
Det vil være klogt, at gennemgå datatilsynets 12 gode råd for overholdelse af den nye forordning, og gør det bare allerede med det samme, så du ved du er klar i god tid. Her er LINK TIL 12 GODE RÅD, de starter på side 3 i dokumentet.
Her også en CHECKLISTE
Lad mig se om jeg kan gøre det lidt lettere for alm webshops til slut og se alene på de oplysninger som vil være nødvendige for at gennemføre en alm. webshop handel, oplysning om navn, adresse og evt email/tlf, oplysninger der ikke vedrører rent private forhold.
Den type oplysninger må kun registreres, hvis én af nedenstående betingelser er opfyldt:
• Kunden har givet samtykke.
• Registreringen er nødvendig for at opfylde aftalen. Det er for eksempel nødvendigt for en internetbutik at kende kundens navn og adresse for at kunne sende varerne.
• Registreringen er nødvendig for at opfylde en retlig forpligtelse.
• Beskyttelse af kundens vitale interesser.
Som gode råd kan gentages:
• Oplys dine kunder om, hvilke informationer virksomheden indsamler.
• Oplys altid, hvad oplysningerne skal bruges til.
• Få altid kundens samtykke, hvis du ønsker at benytte kontaktinformationer til markedsføringsformål.
• Få altid kundens samtykke, hvis du vil videregive information til tredjepart
• Det er vigtigt at alle medarbejdere kender og følger virksomhedens politik på området.
• Giv dine kunder let adgang til at læse om virksomhedens indsamling og brug af oplysninger for eksempel via virksomhedens hjemmeside
• Giv kunder let adgang til at blive slettet fra databaser som du ikke er tvunget lovgivningsmæssigt til at opretholde (navne på kunder i regnskab osv)
Kravene til opbevaring er uanset formen stadigt som gennemgået tidl.
Også om at slette, har datatilsynet givet den bedste tekst synes jeg;
Jeg blogger her bare efter min bedste viden, og kan ikke holdes ansvarlig for evt. fejl eller misfortolkninger i mine tekster.