Grundprincipperne i Databeskyttelses forordningen

persondataloven

Persondataforordningen vil uden tvivl kræve mange nye arbejdsmetoder og tankegange. Vi har i de efterfølgende afsnit uddybet de forskellige emner i de grundlæggende principper.

 

Det er afgørende, at de personer, der behandler persondata i virksomheden, er bekendt med og efterlever de grundlæggende principper for god databehandling. Det betyder, at tankegangen skal være, at man i databehandlingen ikke må gå længere, end det er nødvendigt for at varetage det konkrete formål med behandlingen, og at der bliver taget hensyn til de personer, det drejer sig om – de registrerede. Det er derfor nødvendigt at overveje virksomhedens nuværende fremgangsmåde med henblik på både at optimere behandlingen og overholde forordningens krav.

 

Lovlighed

Behandling af persondata skal være lovlig. For at være lovlig, skal behandlingen have såkaldt hjemmel i et af punkterne i forordningens artikel 6. Der kan være seks grunde til at en behandling er lovlig, og hvis ingen af disse seks grunde er passende, så er databehandlingen simpelthen ulovlig.

Den fulde ordlyd kan findes i forordningen, men de seks hjemler er:

  • Samtykke, behov for at kunne opfylde kontrakt,
  • behov for at overholde en retlig forpligtelse,
  • behov for at beskytte f.eks. kundes vitale interesser,
  • samfundets interesse og
  • endelig interesseafvejning.

For virksomheder vil det som oftest være samtykke, kontraktindgåelse og interesseafvejning, som vil være de mest relevante hjemler.

Du skal være opmærksom på, at selvom din virksomhed overholder forordningen i sin databehandling, kan der være mulighed for, at en anden lov er overtrådt.

 

Rimelighed

Enhver behandling af persondata skal være rimelig. Det betyder, at behandlingen af data skal ske på rimelig vis og dette betyder ikke bare at loven skal overholdes. En databehandling kan godt være urimelig, selvom den er lovlig. Rimelighed kan vurderes af tilsynsmyndigheden på basis af den i samfundet på den tid herskende opfattelse af, hvad der er rimeligt, så det er en vurdering du med fordel selv kan foretage, når der skal behandles data.

 

Gennemsigtighed

Gennemsigtighed gør det nemmere for enhver at gennemskue, hvorfor de afgiver deres personlige oplysninger. Der er krav om, at man ikke må kræve unødige oplysninger og dermed skal angive hvorfor og til hvilket formål, man indsamler de pågældende oplysninger.

Den registrerede må ikke på noget tidspunkt være i tvivl om, at der behandles data om vedkommende. Samtidig skal det være let gennemskueligt for den registrerede, hvilke rettigheder, der tillægges personen i forbindelse med behandlingen.

 

Formålsbegrænsning

Der må ikke opbevares data, der ikke har noget reelt formål. Hvis dette sker, skal det slettes øjeblikkeligt. Alt data må kun benyttes til formål, der ikke strider imod indsamlingens oprindelige formål, og der må samtidig ikke indsamles data uden samtykke fra den registrerede. Dette skyldes, at det skal være muligt for den registrerede at kunne forudse, hvad de givne oplysninger kan blive brugt til og hvilke oplysninger, der er adgang til.

 

Dataminimering

En virksomhed er kun berettiget til at indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet, samtidig med at behandlingen af data skal ske på et egnet grundlag. Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af, hvilke data, der er relevante for at opfylde formålet med indsamlingen.

 

Rigtighed

Der må ikke forefindes urigtige oplysninger, og den dataansvarlige er forpligtet til at rette dem omgående. Samtidig har enhver person også ret til at få rettet deres oplysninger omgående, hvis de finder ud af, at der er fejl.

 

Opbevaringsbegrænsning

Der stilles i Persondataforordningen krav om, at persondata ikke må opbevares længere tid end nødvendigt for at kunne opfylde det formål, dataene er indsamlet til. Dette kræver i det fleste tilfælde en konkret vurdering af dataenes relevans, da der sjældent kan redegøres for, at data i samme kategori er nødvendige i lige lange perioder. Det anbefales derfor, at der fastsættes perioder for, hvornår der skal ske en revurdering af datas tilstrækkelighed og relevans.

 

Integritet og fortrolighed

Integritet er et overordnet udtryk for et systems evne til at nå frem til dets formål, det vil sige, om det system, der benyttes, generelt når frem til sit mål uden at beskæftige sig med unødvendige emner og dermed kun inkluderer relevant data. Det betyder også, at dataene skal behandles med ansvarlighed og dermed er det også vigtigt, at det kun er relevante personer, der har adgang til disse.

Under fortrolighed er det væsentligste fokus, at den registrerede kan vide sig sikker på, at den personlige data, som personen videregiver, behandles med fortrolighed og uvæsentlige personer hermed ikke får adgang til dataene.

 

Behandlingsbetingelser (hjemmelskrav)

For at behandling af persondata er lovlig, skal man have hjemmel, det vil sige, at der skal være belæg for behandling i forordningen. Sagt med andre ord: Der er ifølge forordningen seks gode grunde (hjemler) til at behandle data. Hvis ingen af disse grunde passer på virksomhedens databehandling, så er behandlingen ulovlig.

 

De seks hjemler er følgende:

 

  • Samtykke Samtykke betyder kort fortalt, at den registrerede selv har indvilliget i, at vedkommendes data behandles.
  • Nødvendig for opfyldelse eller forberedelse af kontrakt, det vil f.eks. sige, hvis en kunde ønsker at købe en vare. Ved alt andet en kontant køb kan det ikke lade sig gøre at indgå i køb og salg, med mindre man kan behandle persondata.
  • Nødvendig for at overholde en retlig forpligtelse. Ved retlige forpligtelser af enhver art er dette punkt hjemmel for behandling af persondata.
  • Nødvendig for at beskytte den registreredes, f.eks. kundens, vitale interesser. Dette kan f.eks. gøre sig gældende, hvis en kunde skal beskyttes mod et stort økonomisk tab og kunden ikke selv er i stand til at reagere.
  • Nødvendig af hensyn til udførelse af opgave i samfundets interesse eller offentlig myndighedsudøvelse. Hvis en given opgave er blevet pålagt en virksomhed af det offentlige system, skal hjemlen findes i dette punkt.
  • Nødvendig for at forfølge legitim interesse, så længe denne ikke overstiger eksempelvis kundes interesse eller grundlæggende rettigheder (interesseafvejningsreglen). Denne hjemmel er vigtig, men potentielt meget farlig at bruge, for hvornår overgår virksomhedens interesse i f.eks. salg, kundens interesse i f.eks. privatliv? Det er nødvendigt at overveje dette i hvert tilfælde, hvor man vil gøre brug af denne hjemmel og det ville være en rigtig god ide at dokumentere sine overvejelser, hvis hjemlen skulle blive anfægtet.

 

Virksomheden skal foretage et bevidst valg om, hvilken eller hvilke hjemler, man vil basere sin persondatabehandling på. Der SKAL som sagt være hjemmel, ellers er behandlingen (og det inkluderer også opbevaring og sletning) ulovlig. Og hjemlen skal kunne holde til at blive målt og vejet af jurister.

 

Ansvarlighed

Ansvarlighed handler i bund og grund om, at behandle data på ansvarlig vis. Det betyder, at brug af sund fornuft, når man er i omgang med en anden persons personlige oplysninger, er helt centralt. Dette ansvar ligger hovedsageligt hos den dataansvarlige, hvis primære ansvar er, at alt data behandles i overensstemmelse med loven, uanset om det er den dataansvarlige selv, eller en anden databehandler, der håndterer dataene.

 

Hvis du også synes, at det er mange ting at holde styr på, så kontakt os i PersondataSupport, så kan vi hjælpe dig og din virksomhed med at blive klar til Persondataforordningens indførelse i maj 2018. Kontakt Per Løkken på kontakt@pds.as eller 23315014 for en uforpligtende snak.