GDPR kunne lørdag den 25. maj 2019 fejre sin 1-års fødselsdag. På dagen her i 2018 trådte GDPR (Databeskyttelsesforordningen ved databeskyttelsesloven) nemlig i kraft i dansk ret. AutoBranchen Danmark håber, at alle efterhånden har fået godt styr på reglerne, men vi anbefaler, at man som virksomhed løbende tjekker op på om reglerne overholdes. Derfor har vi lavet en lille opsummering på, hvorfor fødselaren er så vigtig for din virksomhed.
Overordnet: Hvem og hvad omfatter loven?
- Det er private virksomheder, offentlige myndigheder og organisationer, der skal overholde reglerne. Private personer skal ikke overholde reglerne, når der er tale om rent personlige aktiviteter.
- Loven gælder ved hvert register med personoplysninger, uanset om det er på en computer, papirudskrift eller i et manuelt kartotek.
- Hvad med den post-it-seddel, hvor der undtagelsesvist bliver skrevet et navn og telefonnummer på, men efter 10 minutter smides i skraldespanden? Denne er ikke omfattet af loven.
Hvad er en personoplysning?
- En personoplysning er enhver form for information om en identificeret eller identificerbar, fysisk person. Den fysiske person bliver kaldt for den registrerede.
- Der er to former for personoplysninger: almindelige personoplysninger og følsomme personoplysninger.
- Almindelige personoplysninger: navn, adresse, e-mail, telefonnummer, nummerplade, stelnummer, fødselsdato, IP-adresse, GPS-oplysninger, løn, kreditkortnummer, stilling mv.
- Følsomme personoplysninger: helbredsoplysninger, politisk overbevisning, race, religion. Der findes strengere krav til håndtering og opbevaring af personoplysningerne.
Hvem behandler data og er ansvarlig?
- En behandling er stort set alt, hvad virksomheden gør med en personoplysning. Det er fx indsamling, registrering, systematisering, opbevaring, søgning, brugen, tilpasning/ændringen, videregivelse, blokering, sletning.
- I persondataretten kan virksomheden enten være dataansvarlig eller databehandler. En dataansvarlig afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. En virksomhed er typisk dataansvarlige for deres egne kunde- og personaleoplysninger.
- En databehandler følger beslutningerne, men har et begrænset råderum. En databehandler kan fx være it-leverandører, DMS-systemer, økonomi-systemer, som behandler data på den dataansvarliges vegne.
- En tredjemand er fx en anden virksomhed, som får en selvstændig ret til at behandle personoplysningerne, og bliver dermed også dataansvarlig.
Hvad er en databehandleraftale?
Den dataansvarlige skal indgå skriftlige databehandleraftaler med databehandleren, hvor der skal reguleres følgende:
- Hvad skal databehandleren lave? Formål?
- Varigheden af behandlingen?
- Hvilke typer af personoplysninger behandles?
- Hvem behandles der personoplysninger omkring?
- Parternes rettigheder og forpligtelser
Hvornår må en virksomhed behandle personoplysninger?
- En virksomhed må kun behandle personoplysninger, hvis der er et hjemmelsgrundlag/behandlingshjemmel. I det følgende er omtalt dem, der er relevant for jeres branche. Det bemærkes, at de kun er gældende ved almindelige oplysninger.
1) Samtykke – enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse
Det bør altid overvejes, om virksomheden kan anvende andre retlige grunde for sin behandling (fx kontrakt eller interesseafvejning), da et samtykke kan trækkes tilbage.
- Dokumentation
- Klar adskillelse fra andre vilkår (og fremhævet)
- Forståelig og i let tilgængelig form
- Samtykket skal altid kunne trækkes tilbage
- Brug ABDK’s samtykketekst
Markedsføringsloven: Der skal bruges et samtykke for, at en virksomhed må sende markedsføring til sin kunde. Læs mere om dette i persondatafolderen.
2) Nødvendigt for at kunne indgå eller opfylde en aftale
Fx indhentelse og registrering af oplysninger om kunder i forbindelse med lejekontrakter, køresedler, slutsedler og serviceaftaler.
3) Nødvendigt for at overholde lovmæssige krav
Fx købelovens regler om reklamationsret.
4) Interesseafvejning
Virksomheden mener, det er nødvendigt at behandle oplysningerne, og at det ikke overstiger kundens interesser.
Fx kundekartotek. Virksomheden kan mene, det er nødvendigt at registrere sine kunder i et kartotek. Denne registrering sker, da virksomheden ønsker at se, hvad efterspørgslen fra kunderne er. Denne registrering vil ikke påvirke kunden derfor er behandlingen lovlig.
Fx kontakt til en kunde, når værkstedet er færdig med at reparere motorcyklen.
Hvordan skal de indhentede personoplysninger behandles?
- Lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede
- Til et relevant og sagligt formål, senere behandling må ikke være uforeneligt med formålet
- Dataminimering – relevante og tilstrækkelige oplysninger
- Datakvalitet – oplysningerne skal være rigtige og ajourførte
- Sletning – oplysningen skal slettes, når formålet ikke længere er tilstede
- Integritet og fortrolighed – oplysningerne skal sikres den tilstrækkelig sikkerhed
- Behandles på en måde, som sikrer tilstrækkelig sikkerhed for personoplysningerne
Hvordan behandles personoplysningerne på en måde, som sikrer tilstrækkelig sikkerhed?
- at der ikke er synlige papirer om kunders personoplysninger i fx jeres ansattes skraldespande ved deres skriveborde,
- at der ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue,
- at computeren skal låses når en arbejdsplads efterlades
- at der skal en lås på de skabe, der indeholder registrer med personoplysninger
- at personoplysningen skal slettes, når den ikke længere har et formål med at være registreret
I AutoBranchen Danmarks Persondataunivers kan du både finde en guide til forhandlere og autolakerer, samt en lang række eksempler og dokumenter, du skal bruge i forbindelse med lovgivningen. Du finder Persondatauniverset under fanebladet JURA eller ved at klikke her.