Se de specifikke krav, som virksomheden/foreningen skal leve op til

To af de største misforståelser i vor tid er:

1. Troen på, at Persondataloven og Persondataforordningen kun gælder for offentlige myndigheder
2. Troen på, at persondata kun er = CPR.NR.
   Men persondata er også almindelige oplysninger som: navn, telefonnummer, post- og mailadresse. Og hvilke virksomheder har ikke netop disse oplysninger på såvel medarbejdere/frivillige som kunder for ikke at nævne leverandører og andre samarbejdspartnere, eller for den sags skyld på ansøgere til jobs i virksomheden.

Persondataloven, såvel som Persondataforordningen gælder for ALLE virksomheder (organisationer) og foreninger uanset størrelse, art og branche, om der så kun er én kunde/ét medlem eller én ansat/frivillig.

Se de specifikke krav til virksomheder/organisationer/foreninger længere nede.

Voldsomme bøder

Efterlever virksomheden/foreningen ikke disse krav, vanker der voldsomme bøder efter 25. maj 2018 – så der er ingen tid at spilde. Se evt. tidligere blogindlæg ”Hvordan spiser man en elefant?” af Tove Dahlmann.

Rådgivning/hjælp omkring Persondatabeskyttelse

Der er ikke nogen nem løsning når det gælder lovgivningens krav til persondatabeskyttelse, men TD Consult kan hjælpe et langt stykke hen ad vejen (se TD Consult’s persondatapakker og blog-posten ”Hvordan spiser man en elefant”). TD Consult har nogle værktøjer (formularer og skabeloner), der kan hjælpe virksomheden i arbejdet med persondatasikkerhed, men der vil – i sagens natur – blive stillet krav til virksomhedens egne ressourcer, og det er ikke en opgave, der kan klares på et par dage, så jo før virksomheden kommer i gang, desto mindre vil det belaste virksomhedens daglige virke.

TD Consult er certificeret i Persondatasikkerhed (hos Digicure-Deloitte og Sytorus). Vil du have detaljeret rådgivning omkring, hvad netop din virksomhed skal gøre inden 25. maj 2018, så kontakt TD Consult på +45 4025 4626 eller tove@tdconsult.dk, og begynd på det store arbejde allerede i dag.

Kravene til virksomheder/organisationer/foreninger

I henhold til Persondataloven (01-07-2000) skal virksomheder/organisationer/foreninger:

1. Have databehandleraftaler på plads med parter med/til hvem, der deles/sendes persondata ^I)
2. Kunne påvise en retlig eller anden saglig grund til behandling af persondata
3. I visse tilfælde skal virksomheden/foreningen have de(n) registreredes samtykke til behandling
4. Sikre at persondata er ajourførte og korrekte
5. Sikre at virksomheden/foreningen sletter persondata, som der ikke længere er en retlig/saglig begrundelse for at have (behandle).
6. Sørge for passende teknisk og organisatorisk sikkerhed omkring persondata – gælder også Smartphones såvel som tablets/Ipads og hjemmearbejdspladser ^II)
7. Sikre, at persondata ikke uden tilladelse/samtykke overføres til/lagres i lande udenfor EØS
   (f.eks. til samarbejdspartnere/ på servere), hverken af virksomheden selv eller af samarbejdspartnere
8. Slette/rette data på anmodning fra de(n) registrerede
9. Kun opbevare (behandle) data, der er nødvendige i forhold til det retlige/saglige grundlag
10. Overholde informationspligten overfor de(n) registrerede
11. Kunne besvare en anmodning om indsigt fra de(n) registrerede
12. Efterleve de 12 krav til sikkerhed i personaleadministrationer
13. Respektere de(n) registreredes indsigelse mod behandling
14. Respektere de(n) registreredes ret til at tilbagekalde et samtykke

^I) Gælder også, når pc/smartphones/tablets indeholdende persondata sendes/modtages til reparation eller destruktion og når papir sendes/modtages til makulering

^II) En del af dette er bl.a. relevante politikker og instruktion/uddannelse i korrekt håndtering af persondata

I henhold til Persondataforordningen (25-05-2018) skal virksomheder/organisationer/foreninger:

1. Efterleve kravene i Persondataloven
2. Føre en fortegnelse over databehandlingsaktiviteter
3. Visse virksomheder/organisationer/foreninger skal have en databeskyttelsesrådgiver (DPO) tilknyttet
4. Anmelde brud på persondatasikkerheden til Datatilsynet indenfor 72 timer, en anmeldelse, der skal følges op af en række yderligere informationer ^III) og, under visse omstændigheder, informering af de berørte registrerede om bruddet
5. Uddanne personale i korrekt håndtering af persondata
6. Opfylde de(n) registreredes ønske om dataportabilitet
7. I visse tilfælde udføre PIA-analyser
8. Efterleve de 8 databeskyttelses-principper
9. Efterleve Privacy-by-design- og Privacy-by-default- principperne
10. Kunne dokumentere at virksomheden/organisationen/foreningen overholder Persondataforordningen

^III) hvad der gik galt og hvordan virksomheden vil forhindre en gentagelse, men også information om omfanget og arten af kompromitterede persondata –

kan DIN virksomhed fremskaffe disse data indenfor 72 timer?