Jeudans persondatapolitik

1. FORMÅL

Alle virksomheder behandler på en eller anden måde persondata. Det kan være HR som har informationer om ansatte eller salg og marketing som har kundedata i deres systemer.

Formålet med persondatapolitiken er at sikre at Jeudan A/S og Jeudan Servicepartner A/S (herefter benævnt Jeudan) behandler persondata korrekt og i overensstemmelse med EU Persondataforordningen.

Det er vigtigt at alle medarbejdere er bekendt med hvordan data behandles således at persondata og især følsomme data behandles efter de processer som er angivet i denne politik.

1.1 EU persondataforordningen og persondataloven

Denne politik er baseret på EU Persondataforordningen og persondataloven fra Datatilsynet. Persondataloven kan findes på Datatilsynets hjemmeside via nedenstående link:

https://www.datatilsynet.dk/generelt-om-databeskyttelse/lovgivning/

 

2. BEHANDLING AF PERSONDATA

Det er vigtigt, at Jeudan behandler persondata med henblik på god databeskyttelsesskik. Det betyder helt konkret, at Jeudan og dens medarbejdere kan forsvare indholdet og kategorierne af samtlige persondata, der behandles i de processer og systemer, som til dagligt drives i Jeudan.

En grundlæggende regel er, at Jeudan kun må opbevare og behandle de persondata som er nødvendige for Jeudan. Jeudan skal kunne redegøre for hvorfor Jeudan har disse data, og er der ikke nogen rimelig arbejdsrelateret begrundelse, skal disse data slettes.

2.1. Definition af behandling af personoplysninger

En behandling af personoplysninger er enhver operation, som personoplysningerne gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

2.2 Retningslinjer for god databeskyttelsesskik

Nedenfor er der beskrevet nogle retningslinjer, som skal følges for at Jeudan driver god databeskyttelsesskik på persondata:

  • Data skal behandles lovligt, rimeligt og på en gennemsigtig måde
  • Der skal være et sagligt formål med indsamlingen
  • Data skal være tilstrækkelige, relevante og begrænset til nødvendigheden af det formål det skal bruges til
  • Data skal være rigtige og - om nødvendigt - ajourført
  • Det må ikke være muligt at identificere de registrerede i længere tid end nødvendigt
  • Tilstrækkelig sikkerhed som sikrer mod ulovligt brug, beskadigelse og ødelæggelse m.m.
  • Løbende sikre at data er relevante og korrekte
  • Jeudan skal kunne påvise overholdelsen af loven, og dette skal kunne dokumenteres.

 

2.3 Dataansvarlig og databehandler

2.3.1. Dataansvarlig

En dataansvarlig defineres i persondatalovens § 3, nr. 4, som den der afgør, til hvilket formål og hvordan der må foretages behandling af oplysninger. Dvs. det er den som har ansvaret for selve indholdet af data.

2.3.2. Databehandler

En databehandler er i persondatalovens § 3, nr. 5, defineret som den der behandler oplysninger på den dataansvarliges vegne. Databehandleren behandler aldrig personoplysninger til egne formål, og må kun bruge de oplysninger, som er aftalt med den dataansvarlige.

En databehandler kunne være en ekstern samarbejdspartner, som håndterer data på vegne af Jeudan som f.eks. IT-leverandører, webhotel-udbyder, cloudvirksomheder, inkassobureau, håndværkervirksomheder, revision m.m.

I praksis kan en databehandler f.eks. være en virksomhed, der varetager en anden virksomheds IT-systemer. Det kan også være en udbyder af et webhotel eller et inkassobureau.

Jeudans databehandlere er ansvarlige for, at:

  • Man ikke behandler data på andre måder, end det man har aftalt med den dataansvarlige
  • Udarbejde rapporter over behandlingsaktiviteterne
  • Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger
  • Informere den dataansvarlige ved databrud uden unødigt ophold
  • Udpege en DPO (Databeskyttelsesrådgiver) hvis det er påkrævet
  • Overholde reglerne for overførsel af data til lande uden for EU


2.3.3. Databehandleraftale

I persondatalovens § 3, nr. 5, defineres en ”databehandler”, som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.

En databehandler kendetegnes altså ved, kun at behandle personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig personoplysninger til egne formål, og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

Samtlige af Jeudans samarbejdspartnere som kategoriseres ’databehandler’, skal underskrive en databehandleraftale. Databehandleraftalen skal så vidt muligt være Jeudans egen aftale, men i visse tilfælde kan samarbejdspartnerens databehandleraftale tages i brug, såfremt den lever op til de gældende krav for denne. Databehandleraftalen skal gemmes og til enhver tid kunne findes frem.

2.4. Opbevaring og sletning af persondata

2.4.1. Sletning af persondata

Sletning af personoplysninger betyder i praksis, at personoplysninger uigenkaldeligt fjernes fra alle de lagringsmedier, hvorpå de har været lagret, og at personoplysninger på ingen måde kan genskabes. Dette gælder for samtlige lagringsmedier, der har været i anvendelse i forbindelse med den pågældende databehandling. Ultimativt kan sletning af personoplysninger gennemføres ved destruktion af anvendte lagringsmedier.

2.4.2. Opbevaring af persondata

Når en dataansvarlig behandler personoplysninger, omfattes behandlingen af regler i persondataloven.

”Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.”[1]

I praksis betyder det, at personoplysninger må behandles, hvis der er en legal grund, og at personoplysninger enten skal anonymiseres eller slettes, når der ikke længere er grundlag for at behandle dem. Dette er én af de rettigheder som alle personer har, se nærmere under punkt ’6.1.3. Retten til at gøre indsigelse’.

Det er et krav, at Jeudan vurderer behovet for at opbevare persondata, og laver processer der sikrer, at alt data som ikke længere er rimelig eller lovligt at opbevare, bliver slettet efter definitionen i punkt 3.4.1. herover.

Information om persondata samt dokumenter med persondata skal for så vidt det overhovedet er muligt, opbevares i det, af den relevante afdeling, anviste system og ud fra den relevante afdelings anviste procedurer.

 

3. PERSONDATA KATEGORISERING

3.1 Definition af persondata

Datatilsynet definerer personoplysninger/persondata som:

” Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).”[2]

Dette skal forstås som enhver form for data/information, som kan medvirke til at identificere en persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. En enkeltmandsvirksomhed er også at betragte som en fysisk person og skal behandles herefter.

Persondata kan deles op i to overordnede kategorier: Følsomme data og almindelige data.

3.2 Følsomme data (artikel 9)

Følsomme data er oplysninger af særlig karakter, og skal behandles med stor fortrolighed og forsigtighed. Oplysningerne vil som oftest være af personlig karakter, og skal opbevares således, at uvedkommende ikke kan få adgang til disse. Følsomme persondata kategoriseres som:

  • Race
  • Etnisk oprindelse, dog ikke nationalitet
  • Politisk eller filosofisk overbevisning
  • Fagforenings tilhørsforhold
  • Helbredsmæssige informationer
  • Strafbare forhold (ikke besluttet ved lov endnu)
  • Religion
  • Genetisk og biometrisk data anvendt til identifikation
  • Seksuelle forhold og seksuel orientering


3.2.1. Hjemmel til opbevaring af følsomme data

Følsomme data er kun lovlig at opbevare, hvis mindst én af følgende betingelser er opfyldt:

  1. Udtrykkeligt samtykke
  2. Nødvendigt for at opfylde dataansvarlig eller registreredes forpligtelser
  3. Beskytte personens vitale interesser hvis de ikke selv er i stand til det

I Jeudan kræves det, at vi som hovedregel har punkt a. ’udtrykkeligt samtykke’ fra samtlige personer, vi opbevarer følsomme data om. Dette gælder både ansatte og kunder. Fagforenings tilhørsforhold kan undtagelsesvis registreres uden samtykke, såfremt dette fremgår af en kollektiv overenskomst. Ved udtrykkeligt samtykke menes der, at nedenstående er opfyldt:

  • Personen er fuldt informeret om nøjagtigt hvilke informationer vi opbevarer
  • Personen har via en eller anden form for personlig ”underskrift”, givet samtykke til at dette er ok
  • Jeudan kan til enhver tid fremfinde den underskrevne samtykkeerklæring


3.3. Almindelig data (artikel 6)

Almindelige data om personer er informationer som vurderes at være ikke følsomme. Dette er bl.a.:

  • Navn
  • Alder
  • Adresse
  • Telefonnummer
  • IP adresse
  • Video/Billeder
    • Undtagelse - Hvis disse bruges kommercielt i marketingmateriale eller på hjemmesider kræves samtykke
  • Interesser
  • Lokaliseringsdata
  • Køn
  • Journalnummer
  • Bankinformationer
  • CPR-nummer
  • Sygefravær
  • Evalueringer / advarsler


3.3.1. Hjemmel til opbevaring af almindelige data

Mindst én af nedenstående betingelser skal være opfyldt for at det er lovligt for Jeudan at opbevare disse data:

  1. Nødvendigt pga. opfyldelse af kontrakt
  2. Samtykke
  3. Retslig forpligtelse af dataansvarlige
  4. Beskytte den registreredes vitale interesser
  5. For at opfylde opgaver i det offentlige eller samfundets interesse
  6. Grundet legitime interesser


Som regel vil punkt a. være tilstrækkeligt, når vi snakker almindelige data. Det må antages at de informationer Jeudan har om sine kunder og ansatte er nødvendige, for at kunne drive virksomheden. Har Jeudan f.eks. ikke kundens navn og adresse kan Jeudan ikke sende et brev. Har Jeudan ikke bankinformationerne, kan Jeudan ikke udbetale løn til de ansatte. Har Jeudan ikke alder, ved Jeudan ikke hvornår en medarbejder har krav på at kunne gå på førtidspension etc.

 

4. PERSONDATA UDEN FOR EU

Hvis Jeudan ønsker at overføre persondata mellem lande uden for EU, indeholder loven nogle særlige betingelser for, i hvilke situationer der må overføres oplysninger fra Danmark til lande uden for EU.

En sådan overførsel må som hovedregel kun ske, hvis det pågældende land sikrer en tilstrækkelig beskyttelse af oplysningerne. Datatilsynet fører på sin hjemmeside (www.datatilsynet.dk) en fortegnelse over lande, der anses for sikre.

Det vil som hovedregel være samtlige lande som er tilsluttet EU/EØS og listen som findes under punkt 5.1. herunder.

4.1. Sikre lande uden for EU

Den seneste liste over sikkerhedsgodkendte lande uden for EU/EØS (25. juli 2017) kan ses her:

Andorra, Argentina, Australien (angår kun overførsel af personoplysninger vedrørende flypassagerer - se Kommissionens hjemmeside for yderligere oplysninger), Canada (begrænset anvendelsesområde - se Kommissionens hjemmeside for yderligere oplysninger), Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz, Uruguay, USA (overførsel af personoplysninger vedrørende flypassagerer - se Kommissionens hjemmeside for yderligere oplysninger), USA (overførsel af personoplysninger til organisationer (typisk virksomheder), der har tilsluttet sig EU - U.S. Privacy Shield).

4.2. Opbevaring af data i lande uden for EU

Da Jeudan primært driver al forretning i Danmark, er dette ikke noget virksomheden vil skulle tage stilling til under normale omstændigheder.

Dog kan der være IT Systemer, som bliver driftet i skyen. Det er vigtigt at sikre, at der er styr på hvor data befinder sig rent geografisk, og hvis det evt. er tale om lande uden for EU/EØS, skal der foreligge en klar aftale om dette.

Hvis der er tale om følsomme data (se punkt 4.2), er det ikke tilladt at overføre data til et tredjeland, uden tilladelse fra Datatilsynet.

 

5. SLETTEPOLITIK

Som grundregel skal alle persondata, som behandles af Jeudan, slettes omgående, når der ikke længere er nogen rimelig behandlingshjemmel. Det kunne være en medarbejder der ikke længere er ansat, en tidligere kunde, en opsagt kundeleverandør m.m. Nedenfor findes de overordnede regler for sletning af persondata i Jeudan.

5.1. Grundlæggende sletteregler

5.1.1. Video og billeder i forbindelse med overvågning

Alle videoer og billeder, som benyttes til overvågning, skal slettes inden der er gået 30 dage.

5.1.2. E-mails

Alle e-mails i Microsoft Outlook slettes automatisk efter 3 år, gælder for alle medarbejdere.

5.1.3. Fratrådte medarbejderes arbejdsfiler, -dokumenter og -e-mails

Fratrådte medarbejderes arbejdsfiler, -dokumenter og -e-mails slettes 1 år efter endt samarbejde.

5.2 Kunder

Opbevaringsperiode Så længe arbejdet med kunden består
Sletning af data 5 år efter ophørt samarbejde grundet regnskabsloven
Metode Anonymisering/Sletning

 

5.3. Medarbejdere

Opbevaringsperiode Medarbejderen ansættelsesperiode
Sletning af data 5 år efter ophørt samarbejde med medarbejder. Ved retskrav, arbejdsskade og lignende kan relevante dokumenter opbevares længere.
Metode  Anonymisering/Sletning

 

5.4. Leverandører

Opbevaringsperiode Så længe samarbejdet med leverandøren består
Sletning af data 5 år efter ophørt samarbejde grundet regnskabsloven
Metode Anonymisering/Sletning

 

6. PERSONERS RETTIGHEDER

Det er essentielt, at Jeudan er bekendt med personers rettigheder. Dette omhandler både kunder, ansatte og samarbejdspartnere. Samtlige processer i Jeudan, som behandler persondata, skal indrettes således, at personers rettigheder til enhver tid kan efterleves, og når Jeudan indsamler disse persondata, skal personerne informeres om nedenstående rettigheder.

6.1. Den registreredes rettigheder

Den registrerede kunde, ansatte, samarbejdspartner m.m. har følgende rettigheder som Jeudan til enhver til skal kunne efterleve:

6.1.1. Retten til viden om indsamling

Den registrerede har ret til at modtage besked fra den dataansvarlige om, at der indsamles oplysninger om denne.

6.1.2. Retten til indsigt i oplysninger

Den registrerede har ret til indsigt i de oplysninger, der behandles om denne.

6.1.3 Retten til at gøre indsigelse

Den registrerede har ret til at gøre indsigelse mod, at behandling af oplysninger finder sted, og hvis indsigelsen er berettiget, skal databehandlingen ophøre og data skal slettes, med mindre der er en rimelig og lovlig grund til, at beholde disse data.

6.1.4. Retten til indsigelse mod markedsføring

Den registrerede har ret til at gøre indsigelse mod, at oplysninger om en selv, videregives med henblik på markedsføring.

6.1.5. Retten til indsigelse mod retsvirkning baseret på elektronisk databehandling

Den registrerede har ret til at gøre indsigelse mod, at man undergives afgørelser, der har retsvirkninger for eller i øvrigt berører en selv i væsentlig grad, og som alene er truffet på grundlag af elektronisk databehandling, f.eks. hvis en arbejdsgiver overlader det til en computer at afgøre, om en jobansøger skal afvises.

6.1.6. Retten til korrekt information

Den registrerede har ret til at få oplysninger, der er urigtige eller vildledende, rettet, slettet eller blokeret, samt i den forbindelse at forlange, at andre, der har modtaget oplysningerne, orienteres om dette.

6.1.7. Retten til at tilbagekalde samtykke

Den registrerede har ret til at tilbagekalde et samtykke, og ret til at klage til Datatilsynet over behandling af personoplysninger om en selv.

 

7. COOKIES

En cookie er en lille tekstfil, der giver mulighed for at lagre oplysninger, eller tilgå allerede lagrede oplysninger på brugerens pc, smartphone, tablet eller lignende, med det formål at indhente data om brugeren.

Cookies er ikke i sig selv ulovlige. De bruges bl.a. til at lagre oplysninger om brugerens adfærd på en hjemmeside og er nødvendige for mange online ydelser. Fx til indkøbskurven på webbutikker, som husker varerne i indkøbskurven ved hjælp af cookies.

Samtlige af Jeudans hjemmesider som anvender cookies skal efterleve nedenstående retningslinjer som er baseret på Erhvervsstyrelsens cookie-lov[3].

7.1. Identificer og skab overblik over alle cookies

Sørg for at der er ryddet op på hjemmesiden og at samtlige cookies er identificeret. Her er det også vigtigt at det er klart beskrevet hvilke data den angivne cookie benytter sig af. Hvis der ikke længere er behov for en cookie skal denne slettes.

7.2. Informer brugerne om cookies på hjemmesiden

Cookiereglerne kræver, at brugerne bliver oplyst om cookies på en hjemmeside. Start derfor med at informere brugerne om cookies på de hjemmesider de besøger og hvad formålet med cookies er.

7.3. Brugerne skal give udtrykkeligt samtykke

Det næste skridt er at sikre, at brugerne giver samtykke til lagring af disse cookies på deres pc, tablet, smartphone eller lignende.

 

8. SIKKERHEDSKRAV TIL IT SYSTEMER

Da langt størstedelen af alt data i Jeudan behandles i IT systemer, er det vigtigt at der er fokus på at disse systemer er tilpasset og udviklet med henblik på at efterleve de krav der stilles til sikker og korrekt behandling af persondata.

Til at efterleve disse krav gør Jeudan brug af sikkerhedsstandarden ISO 27001, samt kontrollerne beskrevet i ISO 27002.

8.1. Informationssikerhedspolitik

Jeudan har en formaliseret informationssikkerhedspolitik samt en informationssikkerhedshåndbog, som tillige støtter sig til ISO 27001 standarden. Denne politik skal danne fundamentet for, at Jeudan efterlever gældende industristandarder, for korrekt og sikker behandling af persondata og informationssikkerhed generelt. Her henvises der især til informationssikkerhedshåndbogens kapitler:

  1. STYRING AF NETVÆRK OG DRIFT
  2. ADGANGSSTYRING
  3. ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF INFORMATIONSBEHANDLINGSSYSTEMER

Ovenstående kapitler indeholder retningslinjer for bl.a.:

  • Kryptering
  • Adgangskontrol
  • Netværkssikkerhed
  • Beskyttelse af klienter
  • Administration af fjernadgange
  • Backup og restore af systemer
  • Change- og incident management processer
  • Bruger og password politik
  • Logning og overvågning.

 

Retningslinjerne i informationssikkerhedspolitikken, samt informationssikkerhedshåndbogen, skal til enhver tid efterleves af Jeudan.

 

9. PRIVACY BY DESIGN AND PRIVACY BY DEFAULT

For at sikre efterlevelse af persondataforordningen, er det vigtigt at Jeudan hele tiden sikrer at beskyttelse af personers data, til enhver tid tænkes ind i nye arbejdsprocesser og IT systemer. Til dette findes der nogle grundlæggende principper, som bør efterleves så vidt muligt.

9.1. Privacy by Default

Privacy by default betyder oversat, ”privatliv som standard”. Med dette menes der, at dataansvarlige virksomhede, skal implementere standardmekanismer, der begrænser persondata til det nødvendige i forhold til de bestemte formål.

Default-mekanismen betyder, at privacy er indlejret og automatisk aktiveres – i modsætning til den typiske fremgangsmåde i dag, hvor data trackes by default.

Med de standardiserede løsninger sikres det, at der alene indsamles den datamængde, der er nødvendig, at omfanget af behandlingen ikke er unødigt stort, og at opbevaringstiden ikke er for lang.

De standardiserede løsninger sikrer også mod, at data er tilgængelige for uvedkommende, og at et ubegrænset antal personer, kan få adgang til data, uden menneskelig indblanding. Dette er vigtigt, når formålet med persondatabehandlingen ikke er, at formidle data til offentligheden. 

Den grundlæggende idé i privacy by default er, at den dataansvarlige - ved at sikre en default konfiguration – kan fremme persondatabeskyttelse, uden at skulle gennemtvinge den. Den er med andre ord, ”indbygget i designet”.

9.2. Privacy by Design

Privacy by design betyder oversat ”Privatliv per design”. Ved at arbejde med princippet om privacy by design, kan privatlivs- og persondatabeskyttelse indlejres i it-design og arkitektur fra begyndelsen.

Anvendelse af princippet forudsætter en vurdering af, hvilke persondata, der er behov for at behandle, og en undersøgelse af, hvordan datamængden kan minimeres. Minimeringskravet er særligt udfordrende, hvis der behandles biometriske data (f.eks. fingeraftryk), fordi disse typisk indeholder mere information end nødvendigt, for at foretage sammenligningen mellem de afgivne data og den template, der ligger i en database eller en elektronisk enhed.

Det er den dataansvarliges opgave at sikre, at det kun er de nødvendige oplysninger, der anvendes i databehandlingen, og ikke alle de tilgængelige oplysninger som sammenstillede data, big data eller biometriske data, giver adgang til.

9.2.1. Pseudonymisering og anonymisering af data

Pseudonymisering og anonymisering tages i brug for at beskytte personer mod at blive identificeret eller re-identificeret på en måde og i sammenhænge, hvor det kan udgøre en risiko for personernes privatlivsbeskyttelse. Det har særlig betydning ved behandling af følsomme data og data om personers interesser og vaner.

 

10. DOKUMENTATION

Den dataansvarlige og databehandleren har forpligtelser til at kunne dokumentere følgende så vidt det er muligt:

  • Navn, kontaktoplysninger på dataansvarlige, deres repræsentanter m.m.
  • Destinationen som data sendes til
  • Formålet med behandlingen
  • Kategorisering af registrerede og personoplysningerne
  • Kategorisering af modtagere som oplysningerne vil blive videregivet til
  • Forventede tidsfrister for sletning af de forskellige kategorier af oplysninger.
  • Generel beskrivelse af sikkerhedsforanstaltninger

 

11. DPIA (Data Privacy Impact Assessment)

En DPIA er en vurdering af risici, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger.

DPIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på det rette tidspunkt i en teknologis livscyklus. DPIA'en foretages ikke af individet selv men i stedet af den aktør, som behandler personoplysningerne.

11.1. Hvornår skal der gennemføres en DPIA?

En DPIA skal gennemføres efter behov, f.eks. ved etablering eller ved væsentlige ændringer af teknologier, som digitalt behandler personoplysninger, eller som på anden måde har konsekvenser for beskyttelsen af personoplysninger. Dette vil oftest være når der skal implementeres nye IT Systemer men vil også gælde allerede eksisterende IT systemer som behandler persondata.

11.2. DPIA proces og skabelon

Til at udføre en DPIA benytter Jeudan sig af Dansk Industris skabelon for Data Protection Impact Assessment.

 

12. DPO

12.1 DPO definition

En DPO er en databeskyttelsesrådgiver, der underretter og rådgiver den dataansvarlige eller databehandleren og de ansatte, der behandler persondata, om deres forpligtelser efter forordningen, og som fører tilsyn med, om virksomheden overholder reglerne.

Efter persondataforordningens artikel 37, skal virksomheder have en DPO i følgende tilfælde:

  • Når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der efter deres karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang.
  • Når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af ”følsomme oplysninger” og personoplysninger vedrørende straffedomme og lovovertrædelser.

12.2. DPO rolle i Jeudan

Jeudan vurderer baseret på ovenstående, at det ikke er nødvendigt at have en DPO tilknyttet virksomheden, da Jeudans behandling af personoplysninger, og især følsomme oplysninger, er af et meget begrænset omfang, og uden regelmæssig og systematisk overvågning af registrerede.

 

13. UNDERRETNINGSPLIGT

Hvis en virksomhed oplever sikkerhedsbrud f.eks. i form af et internt misbrug, et eksternt cyber-angreb eller andre former for kompromittering af persondata, bør de personer, der berøres af dette, underrettes så hurtigt som muligt. For at kunne vurdere om dette er nødvendigt skal der foretages en risikovurdering.

13.1. Risikovurdering

Det skal her vurderes om kompromitteringen bidrager til en høj risiko for følgende:

  • At personer kan blive udsat for diskrimination
  • ID-tyveri eller bedrageri
  • At lide økonomisk tab eller tab af fortrolighed
  • Miste omdømme eller på anden måde oplever en væsentlig økonomisk eller social ulempe.

Jeudan bør i videst muligt omfang, benytte sig af skabelonen for risikovurderinger, til at danne grundlag for videre aktion i henhold til nedenstående.

13.2. Krav til oplysninger

Dataforordningen beskriver 3 minimumskrav til hvad kommunikationen til personerne skal indeholde:

  1. Beskrivelse af de tiltag, der er eller vil blive iværksat af den dataansvarlige virksomhed.
  2. Såfremt det er muligt, skal den også indikere, hvilke tiltag personer selv kan iværksætte for at reducere en eventuel negativ effekt af sikkerhedsbruddet.
  3. Kontaktoplysninger på virksomhedens Data Protection Officer eller en anden person med viden om sikkerhedshændelsen.

13.3. Undtagelse for underretning

Underretning til personen er imidlertid ikke nødvendig, hvis den dataansvarlige har implementeret tekniske og organisatoriske tiltag, der sikrer et tilstrækkeligt sikkerhedsniveau, herunder f.eks. brug af kryptering.

Underretning kan også undlades, hvis der som reaktion på sikkerhedsbruddet er anvendt sikkerhedsmekanismer, der imødegår den høje risiko for indgreb i personers rettigheder og handlefrihed, og på den måde begrænser sandsynligheden for, at sådanne tab opstår.

Jeudans strategi er at kryptere alle vores pc'er, laptops, smartphones og tablets samt i videst muligt omfang sikre, at vores forretnings IT systemer, som indeholder persondata, er krypterede.

14 SÆRLIGE REGLER

14.1. Forskning og statistik

Der gælder særlige regler for indsamling, registrering og videregivelse af personoplysninger i forbindelse med forskning og statistik.

I forbindelse med forskning og statistik må der foretages de behandlinger af personoplysninger, som er nødvendige for projekterne.

Når disse behandlinger omfatter oplysninger om rent private forhold, skal den dataansvarlige anmelde det til Datatilsynet, som skal give en tilladelse. Datatilsynet fastsætter en række vilkår, der skal beskytte oplysningerne.

Oplysninger, der indgår i en videnskabelig eller statistisk undersøgelse, må ikke senere bruges til andre formål.

Oplysninger fra undersøgelsen - bortset fra anonyme oplysninger - må kun videregives, hvis Datatilsynet har givet tilladelse til det. Videregivelse må i så fald kun ske til brug for andre videnskabelige eller statistiske undersøgelser. Tilsynet vil i sådanne tilfælde stille nærmere vilkår for videregivelsen.

14.2. Registrering af telefonnumre

Det er forbudt for offentlige myndigheder og private virksomheder m.v. automatisk at registrere de telefonnumre, som de ansatte ringer til. Det er heller ikke tilladt at modtage oversigter fra teleselskabet, der indeholder specifikation af de telefonnumre, der er ringet til.

Man må godt registrere telefonnumre, hvis det kun er en del af telefonnummeret, der fremgår. F.eks. når de sidste to cifre af nummeret fjernes.

Datatilsynet kan dog i ganske særlige tilfælde give tilladelse til at registrere de fuldstændige telefonnumre.

14.3. Behandlinger i forbindelse med markedsføring

Når det drejer sig om brug af personoplysninger i forbindelse med uanmodet markedsføring, skal der skelnes mellem to situationer:

  • En erhvervsdrivende, der ønsker at foretage direkte markedsføring over for en person
  • En erhvervsdrivende, der ønsker at videregive oplysninger om en forbruger (kunde) til andre erhvervsdrivende, der vil markedsføre sig over for forbrugeren.

 

14.3.1. Direkte markedsføring

Reglerne om direkte markedsføring findes i markedsføringslovens § 6 a, som vedrører uanmodet henvendelse til bestemte aftagere for at sælge varer og ydelser.

Direkte markedsføring over for privatpersoner, virksomheder og offentlige myndigheder ved hjælp af e-post, telefax eller automatisk telefonopkald må kun finde sted, hvis modtageren på forhånd har anmodet om det.

Når der er tale om henvendelser i traditionelle breve og adresserede reklametryksager er reglen kort fortalt, at en erhvervsdrivende ikke må henvende sig til en person i markedsføringsøjemed, hvis vedkommende har frabedt sig dette.

Ved direkte markedsføring forstås, at en erhvervsdrivende henvender sig til en eller flere bestemte personer. Adresseløse forsendelser, tilbudsaviser o.lign., der sendes til en ubestemt kreds, er derimod ikke direkte markedsføring.

Samtidig er der indført en ordning, hvorefter enhver ved at henvende sig til sin bopælskommune vederlagsfrit kan få registreret i CPR-registeret, at vedkommende ikke ønsker at modtage henvendelser i markedsføringsøjemed.

Indenrigsministeriets CPR-kontor udarbejder hvert kvartal en liste (fortegnelse) over de personer, der har frabedt sig disse henvendelser. Erhvervsdrivende, som ønsker at markedsføre sig over for en person, skal undersøge, om den pågældende står opført i fortegnelsen. Hvis det er tilfældet, må virksomheden ikke markedsføre sig over for den pågældende. Fortegnelsen kan mod betaling rekvireres ved henvendelse til CPR-kontoret, Datavej 20, 3460 Birkerød, tlf. 4594 0320.

Selv om en person ikke i CPR har frabedt sig henvendelser i markedsføringsøjemed, kan den pågældende altid over for bestemte erhvervsdrivende sige nej tak til fremover at modtage markedsføringshenvendelser fra netop disse. I så fald skal de erhvervsdrivende respektere dette.

14.3.2. Videregivelse af oplysninger om forbrugere

Der findes særlige regler om videregivelse af oplysninger om forbrugere (kundeoplysninger) til brug for andre virksomheders markedsføring.

Uden forbrugerens udtrykkelige samtykke må en erhvervsdrivende kun videregive sådanne oplysninger, hvis der er tale om "generelle kundeoplysninger", f.eks. om køn, alder og bopæl eller oplysninger om almindelige interesser, såsom at man er bilejer eller er interesseret i haveartikler.

Oplysningerne må dog ikke videregives, hvis forbrugeren har gjort indsigelse imod det, herunder ved at få registreret i CPR, at han eller hun ikke ønsker henvendelser i markedsføringsøjemed.

Virksomheden skal hver gang undersøge hos CPR (henvendelse til CPR-kontoret, Datavej 20, 3460 Birkerød, tlf. 4594 0320), om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. Har forbrugeren ikke gjort det, skal virksomheden henvende sig til forbrugeren og oplyse, at vedkommende har ret til at gøre indsigelse mod, at oplysninger gives videre. Den erhvervsdrivende skal give forbrugeren ret til at gøre indsigelse på en nem måde og inden for en frist på 14 dage. Videregivelsen må først ske, når 14-dagesfristen er udløbet, hvis forbrugeren vel at mærke ikke har gjort indsigelse. Hvis forbrugeren fremsætter sin indsigelse efter udløbet af 14-dagesfristen, skal virksomheden fremover rette sig efter den.

Der må ikke videregives detaljerede oplysninger om, hvad kunden har købt, eller om kundens forbrugsvaner, medmindre kunden på forhånd har givet sit samtykke.

 

[1] Persondatalovens § 5, Stk. 5,:

[2] www.datatilsynet.dk

[3] https://erhvervsstyrelsen.dk/cookie-loven

Kontakt os på: 7010 6070