Når en ny lov træder i kraft inden for et relevant felt, søger man gerne efter så mange informationer som muligt. Ofte ender det med, at man får lidt info her og der.

Noget finder man online, andet er input fra netværk. Men forvirringen kan være total, når man forsøger at stykke informationer sammen til noget brugbart.

Læs med her og få skyts til at udfordre din GDPR viden, med de 10 typiske misforståelser vi finder indenfor Databeskyttelsesforordninge.

Misforståelse nr. 1 af 10

”Det er kun virksomheder, der behandler følsomme personoplysninger, der er omfattet af GDPR.”

Mange virksomheder tror, at de ikke er omfattet af reglerne i Databeskyttelsesforordningen, hvis de ikke behandler følsomme persondata. Men det er ikke korrekt. Virksomheder er omfattet af lovgivningen, så snart de behandler personoplysninger systematisk, eller personoplysninger er indeholdt i et register. Det betyder, at såfremt en virksomhed har medarbejdere eller et kunderegister, så er de omfattet af lovgivningen.

Læs mere om grundprincipperne i databeskyttelsesforordningen her.

Misforståelse nr. 2 af 10

”Man skal lave databehandleraftaler med alle, man videresender data til”

En databehandler behandler data efter din virksomheds instruks. Det betyder altså, at det alene må være dig der bestemmer, hvad databehandleren skal gøre med dataene. Samtidig skal hovedformålet med deres aktiviteter være at behandle personoplysninger. Det vil sige, at f.eks. SKAT, banker, forsikringsselskaber, pensionsselskaber, trykkerier og lignende ikke er databehandlere. Disse er enten underlagt en anden lovgivning, der dikterer hvordan de må behandle data, eller også er hovedformålet ikke at behandle personoplysninger. Du kan læse mere om: Databehandleraftaler og også blive klog på hvem der er dataansvarlig og hvem der er databehandler.

Du kan læse mere om: Databehandleraftaler, og også blive klog på hvem der er dataansvarlig, og hvem der er databehandler.

Misforståelse nr. 3 af 10

”Man skal altid have samtykke fra sine kunder”

Det er desværre en udbredt misforståelse, at man skal have samtykke fra sine kunder for at behandle deres oplysninger. Det er unødvendigt i langt de fleste tilfælde. Vi anbefaler at anvende samtykke så lidt som overhovedet muligt, da der oftest kan findes et andet lovligt grundlag.

Man skal f.eks. have et samtykke, hvis man ønsker at sende markedsføring til kunder, eller ønsker at dele et billede af en person. Ved et helt almindeligt kundeforhold, er det altså IKKE nødvendigt at indhente samtykke fra den pågældende.

Misforståelse nr. 4 af 10

”Man skal informere de registrerede, hvis man ændrer politikker”

Omkring d. 25. maj 2018 modtog vi alle en hel masse mails om diverse opdateringer af politikker.

Nogle krævede, at man afgav sit samtykke til at modtage nyhedsbreve i fremtiden, hvorimod andre bare var informationsmails. Disse informationsmails om opdateringer af diverse politikker er ikke en nødvendighed, og bliver ofte betragtet som spam.

Oplysningspligten skal efterleves af en virksomhed, når den indsamler oplysninger om en person, og har dermed intet at gøre med opdateringen af politikker.

Vil du have begreberne på plads, så læs mere her.

Misforståelse nr. 5 af 10

”Det er tilstrækkeligt bare at indhente databehandleraftaler og samtykker”

Det er en udbredt misforståelse, at man ”bare” skal have indhentet databehandleraftaler og de nødvendige samtykker, og så har man egentlig styr på GDPR - måske også lige lave en privatlivspolitik til hjemmesiden.

Men hvad der ofte bliver glemt eller overset, er kravet om fortegnelsen over behandlingsaktviteter. Altså en kortlægning af alle arbejdsprocesser hvor der indgår persondata.

Det er et krav i forordningen, at man får udarbejdet denne fortegnelse, og der er nogle bestemte krav til hvad fortegnelsen skal indeholde.

Hvis du har brug for hjælp til udarbejdelsen af din fortegnelse, kan du bestille en demo på GDPR-Portalen her.

Misforståelse nr. 6 af 10

”Som medarbejder behandler jeg ikke personfølsomme oplysninger, så GDPR vedkommer ikke mig.”

Flere medarbejdere tror, at databeskyttelsesforordningen ikke vedkommer dem, når de ikke behandler følsomme oplysninger. Det er dog ikke korrekt: GDPR gælder alle former for personhenførbare oplysninger.

GDPR gælder for alle, som behandler personoplysninger systematisk, også selv om der kun er tale om et enkelt navn i en enkelt arbejdsproces eller helt almindelig mailkorrespondance.

Her kan du læse mere om de forskellige datatyper og behandlingen af dem: Datatyper.

Misforståelse nr. 7 af 10

”Når der bliver ført kontrol med mig som databehandler, er det tilstrækkeligt at genfremsende databehandleraftalen.”

Når der føres kontrol med dig som databehandler, eller når du som dataansvarlig fører kontrol med dine databehandlere, er der generelt en fejlagtig opfattelse af, at det reelt er en kontrol med databehandleraftalen - altså et tjek af om aftalen stadig er aktuel og lever op til de gældende krav. Dette er også nødvendigt at kontrollere regelmæssigt, men den lovpligtige kontrol med databehandlere er noget andet.

Mindst en gang årligt skal den dataansvarlige føre kontrol med, at databehandleren lever op til de krav, der er opstillet i databehandleraftalen. Kontrollen kan gennemføres ved hjælp af et spørgeskema, hvori databehandleren angiver at de relevante tekniske og organisatoriske foranstaltninger er foretaget, eller ved udarbejdelsen af en revisorerklæring fx ISAE 3000 på vegne af databehandleren.

Her kan du få mere information om, hvordan du kontrollerer dine databehandlere: Kontrol af databehandler.

Misforståelse nr. 8 af 10

”Det må være tilstrækkeligt at nævne GDPR på ét årligt møde”

Ifølge databeskyttelsesforordningen er det den dataansvarliges ansvar at sikre, at de passende organisatoriske foranstaltninger er foretaget – men der er ingen konkret facitliste for, hvad det indebærer.

I praksis betyder det, at det er virksomhedens ansvar at sikre, at medarbejderne er tilstrækkeligt informeret til at kunne behandle personoplysninger korrekt.

Vores anbefaling er derfor, at der mindst en gang årligt gennemføres undervisning af alle medarbejdere. Derudover skal det gerne kunne dokumenteres, at denne awareness-træning har fundet sted, så virksomheden kan fritages for ansvar, hvis en medarbejder begår en fejl.

Træningen kan ske på flere forskellige måder fx ved almindelig awareness-træning eller e-learning.

Misforståelse nr. 9 af 10

”Jeg underskriver bare databehandleraftalen - det er ikke nødvendigt at læse den.”

Når man som dataansvarlig gør brug af en databehandler, så ved de fleste, at der skal indgås en databehandleraftale. Men det er langtfra altid at disse aftaler gennemlæses, før de bliver underskrevet.

Vi anbefaler at altid gennemlæse databehandleraftaler, da det sker at aftalerne ikke lever op til de gældende krav eller indeholder krav til den dataansvarlige. Derudover kan en databehandleraftale indeholde et krav om betaling for databehandlerens arbejde ifm. kontrol og revision. Det er som udgangspunkt i orden, men godt at være opmærksom på.

Hvis du er i tvivl om, hvad en databehandleraftale skal indeholde, kan du læse mere her: Databehandleraftale.

Misforståelse nr. 10 af 10

”Når der sker et databrud, skal det bare begrænses.”

Et databrud er en videregivelse af data til en uvedkommende modtager - enten ved en menneskelig fejl, hacking eller andet. Så snart et databrud opdages, er det vigtigt at forsøge at begrænse bruddet og forhindre yderligere adgang til data. Men det er ikke tilstrækkeligt.

Efterfølgende er det nødvendigt at indføre bruddet i virksomhedens databrudslog og ydermere vurdere, hvorvidt bruddet skal anmeldes til Datatilsynet, og om det er nødvendigt at underrette de registrerede, hvis personoplysninger har været berørt.

Her kan du læse mere om, hvordan du agerer ved databrud.