GDPR Dokumenter
Alle virksomheder, små som store, er underlagt reglerne i Persondataforordningen(GDPR). Det kan være en uoverskuelig opgave, hvorfor du med fordel kan rette henvendelse til LegalUp, som kan hjælpe med at danne overblik over din virksomheds indsamling og brug af personoplysninger samt udarbejde de nødvendige dokumenter.
Privatlivspolitik
Hvad er en privatlivspolitik?
Det er en redegørelse for brug af kunders persondata. I en privatlivspolitik vil der blive redegjort for, hvordan en virksomhed eller hjemmeside behandler dens kunders persondata, hvad grundlaget for indhentning af data er, og hvem der har adgang til deres kunders persondata.
Hvorfor er denne vigtig?
Den er vigtig for jer som virksomhed, da loven siger, at der er oplysningspligt ved indsamling af personoplysninger. Derfor vil en privatlivspolitik være det bedste redskab til netop at informere kunden om, hvordan I behandler deres persondata. Hvis en virksomhed ikke overholder loven og behandler data, som de ikke må berøre, kan dette medføre bøde.
Eksempler på hvad en privatlivspolitik kan indeholde:
- Kontaktoplysninger for den dataansvarlige
- Kontaktoplysninger for en eventuel databeskyttelsesrådgiver
- Hvad personoplysninger er
- Hvilke personoplysninger der indsamles
- Formålene med indhentning af persondata, og retsgrundlaget for behandlingen
- Tidsrum for opbevaring af persondata
- Hvem der har adgang til persondata
- Deling af personoplysninger med tredjepart
- Beskyttelse af personoplysninger
- Hvilke rettigheder man som kunde har
- Klagemuligheder
Interne procedurer
Hvad er interne procedurer?
Ledelsen skal udarbejde procedurer og retningslinjer for, hvordan og hvorledes medarbejdere må og skal indsamle, behandle og videregive personoplysninger. Procedurerne kan med fordel målrettes medarbejdernes forskellige funktioner, således hver afdeling får specifikke procedurer, der er skræddersyet efter den enkelte afdelings arbejdsopgaver.
Hvorfor er interne procedurer vigtig?
Dette er vigtigt for selskaber at indføre, da det giver medarbejderne retningslinjer for, hvorledes arbejde med personoplysninger skal behandles.
Databehandleraftaler
Hvad er en databehandleraftale?
Det er en aftale mellem databehandler og dataansvarlig. Det er et dokument, som fungerer som en instruktion til databehandleren. Hvordan databehandleren er forpligtet til at behandle data. Det fremgår direkte af loven, at der skal foreligge en skriftlig databehandleraftale. Hvis I ikke har en databehandleraftale, skal der straks laves en skriftlig databehandleraftale for at være ajour med persondataloven.
Hvorfor er den vigtig?
Den er vigtig, da denne aftale blandt andet regulerer, hvordan databehandleren må behandle personoplysninger, som den dataansvarlig har indsamlet, på den dataansvarliges vegne og til hvilket formål disse oplysninger skal bruges til. Den forpligter databehandleren til at behandle efter klare instrukser, så behandlingen vil ske med omhu og sikkerhed.
Eksempler på hvad en databehandleraftale kan indeholde:
- Baggrund for databehandleraftalen
- Den dataansvarliges forpligtelser og rettigheder
- Databehandleren handler efter instruks
- Fortrolighed
- Behandlingssikkerhed
- Anvendelse af underdatabehandlere
- Overførsel af oplysninger til tredjelande eller internationale organisationer
- Bistand til den dataansvarlige
- Underretning om brug på persondatasikkerheden
- Sletning og tilbagelevering af oplysninger
- Tilsyn og revision
- Parternes aftaler om andre forhold
- Ikrafttræden og ophør
- Kontraktpersoner
- Bilag A: Oplysninger om behandlingen
- Bilag B: Betingelser for databehandlerens brug af underdatabehandlere og liste og godkendte underdatabehandlere
- Bilag C: Instruks vedrørende behandling af personoplysninger
- Bilag F: Parternes regulering af andre forhold
Aftale vedrørende fælles dataansvar
Hvad er en aftale vedrørende fælles dataansvar?
Selskabet kan sammen med en eller flere parter indgå en aftale vedrørende fælles dataansvar. Dette betyder således, at selskabet sammen med en eller flere parter har ansvaret for en behandling og alle parter har ret til at bruge de indsamlet oplysninger til egne formål. Der er derfor ikke tale om et fælles dataansvar, hvis en behandling kun foretages til den ene parts formål.
Hvorfor er en aftale vedrørende dataansvar vigtig?
En aftale vedrørende fælles dataansvar er vigtig, da denne aftale kan minimere udgifterne til databehandlingens udformning. Det er vigtigt at de fælles dataansvarlige indgår en gennemsigtig aftale på skrift eller lignende, hvori de fastlægger deres respektive ansvar for at overholde reglerne i den generelle forordning om databeskyttelse. Denne aftale skal afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede.
Eksempel på hvad sådan en aftale kan indeholde:
- Hvem er parterne
- Fælles dataansvar
- Overordnet ansvarsfordeling
- Principper og behandlingshjemmel
- De registreredes rettigheder
- Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen
- Anvendelse af databehandlere og underdatabehandlere
- Fortegnelse
- Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
- Underretning om brud på persondatasikkerheden til den registrerede
- Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
- Overførsel af personoplysninger til tredjelande eller internationale organisationer
- Klager
- Orientering af den anden part
- Regulering af andre forhold
- Ikrafttræden og ophør
Samtykkeerklæring
Hvad er en samtykkeerklæring?
Et samtykke er en skriftlig erklæring om samtykke til en bestemt handling. Samtykket medfører, at man frivilligt giver tilladelse til, at en bestemt handling udføres.
Det er essentielt for selskaber at have styr på, hvorledes en samtykkeerklæring bør indsamles. En samtykkeerklæring er en frivillig, specifik og velinformerende og det er derfor vigtigt, at selskaber formulerer sig enkelt og forståligt, således der ikke opstår nogle forvirringer.
Vær opmærksom på at der skal indhentes samtykke fra forældre eller værge, hvis man ønsker at indsamle persondata på personer under 16 år.
En samtykkeerklæring bør informere om:
- Hvilke typer af persondata, der indsamles?
- Hvem der behandler disse persondata?
- Hvad skal persondataene bruges til?
- Hvad er formålet med dataindsamlingen?
- Hvordan er brugernes rettigheder til at rette eller slette deres indsamlet data?
- Hvad er grundlaget for persondatabehandlingen?
- De forskellige modtagere eller kategorier af modtagerne af oplysningerne.
- Kontaktoplysninger på den ansvarlige for dataindsamlingen.
- Brugernes rettigheder til at trække samtykket tilbage, samt muligheden for at klage til den nationale databeskyttelsesmyndighed.
Hvorfor er en samtykkeerklæring vigtig?
Persondataforordningen kræver samtykke til at indsamle samt behandle personoplysninger fra personer i EU. Såfremt personoplysningerne ikke er indhentet på retlige vilkår, kan samtykket ikke udgøre et behandlingsgrundlag.
Persondataforordningen kan ikke gradbøjes, ej heller hvis der er givet samtykke herfor.