Persondatapolitikker


En persondatapolitik skal vise, hvordan du behandler persondata fra dine kunder, brugere, medarbejdere eller medlemmer. Den kan virke omfattende, og derfor har vi lavet en guide, som viser dig, hvordan du kommer i gang.

Det kan være nemt

Persondataforordningen er for mange en kompliceret lov. Mange små og mellemstore virksomheder har svært ved at finde ud af, hvordan man kortlægger personoplysninger og får lavet de nødvendige persondatapolitikker og databehandleraftaler.

Men bare rolig – One Step Privacy hjælper dig i denne guide med at kortlægge din virksomheds persondata, så du selv kan overholde persondataforordningen og løbende opdatere dine politikker, fremfor at skulle have en advokat til at ordne dem hver eneste gang, du får et nyt IT-system eller begynder at opbevare nye persondatatyper.

Du kan ved hjælp af denne guide enten manuelt nedskrive og kortlægge dine persondata, eller du kan bruge One Step Privacys intuitive værktøj til nemt at klikke det hele af.

Kom nemt i gang

GDPR kan virke uoverskueligt for mange. Det er netop det, som vi gør op med hos One Step Privacy.

Nedenfor kan du læse en guide i 6 trin, som uddyber og hjælper dig i gang med persondatapolitikker.

Du kan også oprette en konto i vores intuitive værktøj, som hjælper dig med at få styr på GDPR.

 

Guide i 6 trin

Trin 1: Processer

Nu er vi klar til at gå i gang!

Det første du bør gøre, i udarbejdelsen af dine persondatapolitikker er, at kortlægge hvilke persondata din virksomhed anvender og opbevarer. Det gør du ved at finde ud af hvilke processer også kaldet behandlingsaktiviteter, du har. Det kan for eksempel være “Kunder”, “Hjemmeside” hvis du anvender analyseværktøjer til at overvåge, hvad brugerne af din hjemmeside foretager sig, og “HR” som blandt andet dækker over medarbejdere og jobansøgere til din virksomhed. Der findes mange flere processer, men i denne guide tager vi udgangspunkt i disse tre.

Trin 2: Opbevaring af persondata

Når du har valgt disse tre processer, skal du finde ud af, hvilke IT-systemer du anvender til at opbevare den indsamlede persondata. Her er det en god idé, hvis du sætter dig sammen med dine medarbejdere, der til daglig arbejder med de forskellige processer. Det gør arbejdet noget nemmere. Husk også at hvis du anvender papirarkiver til opbevaring af eksempelvis kundelister eller persondata på medarbejdere, så skal det angives. Og du bør have en god lås på arkivskabene.

Til processen Hjemmeside er det ofte analyseværktøjer, man anvender til at overvåge brugernes adfærd på ens hjemmeside. Der findes en lang række værktøjer til dette. Eksempler på IT-systemer til processen Hjemmeside er:

  • Google Analytics
  • Facebook Pixels
  • Mailchimp
  • Hotjar
  • Spring Metrics
  • Woopra
  • Clicky
  • Mouseflow
  • Mint
  • Chartbeat
  • WordPress

Til processen HR er det ofte IT-systemer som:

  • Outlook
  • Google Drive
  • Danløn
  • Gmail

Det kan være du har et eksternt firma til at lave din lønadministration – så tilføjer du også dette firma her, på lige fod med systemer og andre dataarkiver som har persondata. De vil alle være databehandlere for din virksomhed.

Til processen Kunder er det fx:

  • Google Drive
  • Outlook
  • Gmail
  • Facebook Insights
  • LinkedIn Analytics

Trin 3: Hvilke persontyper hører til i processer, og hvilken geografisk placering har de?

Når du har valgt hvilke IT-systemer og dataarkiver, du anvender til at opbevare persondata, er du klar til at gå videre. Det næste du skal gøre, er at angive hvilke lande persontyperne er placeret i. Altså, ikke hvilken nationalitet de er fra, men hvilket EU-land brugere/kunder/medarbejdere/medlemmer er placeret i. For eksempel i HR-processen, hvis virksomhedens eneste kontor ligger i København, og en af medarbejderne er fra Frankrig men bor i Sverige, så angiver du kun Danmark og Sverige. Hvis virksomheden også har en afdeling i eksempelvis Tyskland, så angiver man også Tyskland. Det er landet som personen opholder sig i der er væsentligt – ikke nationalitet eller lignende.

Når det kommer til Hjemmeside-processen, kan det være svært at indramme brugerne til kun at være placeret i Danmark, da der på mange hjemmesider også kommer brugere ind fra andre EU-lande. Det er især tilfældet, hvis man har en engelsksproget hjemmeside. Derfor kan man vælge at sige “Alle EU-lande” til denne.

Det samme gælder ved en webshop, hvor der også kan komme kunder ind fra andre EU-lande. Du kan også vælge “hele verden”. Det væsentlige her er, hvem din hjemmeside er rettet imod. Lad os sige du har en webshop kun med dansk sprog, du markedsfører kun i Danmark, modtager kun Dankort og Master-/Visakort, og sender varerne til adresser i Danmark. I sådan et tilfælde er det væsentligt, at du koncentrerer dig om brugere i Danmark, og ikke hvis en eller to personer fra Grækenland skulle komme ind på din side. Omvendt hvis du har en webshop på engelsk og sender varer rundt i hele EU, skal du nok vælge hele EU for at være dækket ind.

Trin 4: Opbevarer du persondata på personer under 16 år?

Artikel 8 i persondataforordningen omhandler persondata om børn under 16 år. Hvis du tilbyder en gratis tjeneste, der har til formål at videresælge det persondata du indsamler om børn under 16 år, eller bruger data til at markedsføre eller mersælge til børn, så skal du være opmærksom på artikel 8.

Artiklen er skabt for at styrke børn under 16 års rettigheder overfor gratistjenester som for eksempel sociale medier (Facebook, Instagram, Snapchat og YouTube). Hvis din virksomhed tilbyder en gratis tjeneste til børn i EU, og du profiterer fra den persondata på børn under 16 år, så skal der indsamles samtykke fra indehaveren af forældremyndigheden til børnene, og validiteten af samtykket skal kunne kontrolleres og fremvises ved eftersyn.

Medlemslande kan dog have en lov hvor aldersgrænsen er ned til 13 år. Det har Danmark. Så hvis indsamling og anvendelse af persondata kun foregår på børn placeret i Danmark, skal der kun indsamles samtykke fra indehaveren af forældremyndigheden på børn under 13 år.

Se eventuelt mere i datatilsynets vejlendning om samtykke fra børn (afsnit 4 i denne vejledning)

Læs den her

Trin 5: Brug af persondata i hver proces

Nu skal du redegøre for hvilke persondatatyper, du har i hver enkelt proces. Det vil sige, at hvis du for eksempel har emailadresser på dine medarbejdere, skal du i HR-processen skrive e-mail. Som tidligere nævnt hører persontyper som medarbejdere og jobansøgere under HR-processen. Så nu skal du tage stilling til, om du opbevarer e-mails på medarbejdere og jobansøgere, og hvis ja, så skal du skrive ned hvor du opbevarer dem (IT systemer og dataarkiver). Et godt bud er den email-service, som din virksomhed bruger, eksempelvis Gmail eller Outlook. Det kan også være i systemer som Mailchimp, Dropbox og i papirarkiver, at du opbevarer lister med deres e-mails.

Andre typer af persondata du opbevarer i HR-processen kan, for eksempel, også være:

  • Navne
  • Adresser
  • CV
  • Telefonnumre
  • Billeder
  • Ferie
  • Sygedage
  • Løninformationer

 

Du skal redegøre for, om du har modtaget e-mails direkte fra personen, fra en tredjepart eller gennem profilering på andre data. Du har formentlig modtaget e-mailadressen direkte fra personen – både af dine medarbejdere, og eksempelvis gennem en jobansøgers CV.

Når du har tilføjet de systemer, du bruger til at opbevare e-mails, så skal du vælge hvilke formål du har med opbevaringen af e-mails. I HR-processen er personaleadministration formentlig et formål med e-mails på dine medarbejdere, og rekruttering er formentlig et formål, når det kommer til jobansøgere.

 

Er du dataansvarlig eller databehandler af persondata?

Er du ansvarlig for den indsamlede persondata? Eller opbevarer du den på vegne af en tredjepart (fx en anden virksomhed)? For så er du databehandler. Du er kun databehandler, hvis du udelukkende agerer på instruktion fra en anden dataansvarlig/behandler. Hvis du selv bestemmer hvad du anvender data til, er du dataansvarlig.

Du skal ligeledes specificere, om du overfører data til tredjeparter. En overførsel til tredjepart er, når du giver persondata til en anden dataansvarlig. Eksempelvis overfører du data til SKAT og formentligt til pensionsselskaber for dine medarbejdere. Dette er overførsel til tredjeparter og ikke databehandlere, da SKAT og pensionsselskaberne ikke bruger data på din instruktion, men til deres egne formål – og du kan heller ikke ringe til dem og bede dem om at slette data.

Derefter skal du tage stilling til, hvor længe du vil opbevare denne persondata. Hvis det er et CV og en ansøgning fra en jobansøger, skal du angive, hvor længe efter du har modtaget disse eller ikke skal bruge dem længere, at du sletter dem. Altså hvis det er en jobansøger, som du ikke giver stillingen, så kan du vælge at sige, at du sletter ansøgning og CV seks måneder efter modtagelse eller færdig behandling. Du må ikke beholde personers CV og ansøgninger til potentielle fremtidige stillinger, medmindre du har modtaget et aktivt samtykke fra ansøgeren. Ved opsigelse af kontrakt med medarbejder, kan en virksomhed skrive i persondatapolitikken, at den sletter personoplysninger på medarbejdere, eksempelvis en måned efter endt kontrakt.

Husk dog, at information som bruges til eksempelvis lønbogføringen kan (og skal) opbevares i 5 år i henhold til bogføringsloven. Såfremt du har flere formål med behandlingen af persondatatypen, kan du selvfølgelig vælge mere end et formål og også have forskellige opbevaringsperioder, som svarer til formålet.

Trin 6: Sikkerhed ved opbevaring af persondata

I det sidste trin i din kortlægning af persondata, skal du tage stilling til, om din opbevaring af personoplysninger er tilpas sikker. De fleste virksomheder opbevarer persondata i IT-systemer, som for eksempel Google Drive, Gmail, Outlook, Mailchimp, Danløn osv. Mange anvender også arkivskabe til fysiske dokumenter, som indeholder personoplysninger.

Du skal i dette trin redegøre for, om du har tilpas sikkerhed de steder, hvor du opbevarer persondata. Det vil sige, om du har et stærkt password på dine IT-systemer og en god og sikker lås på dit arkivskab. En generel god tommelfingerregel for persondataforordningen er, om du selv vil føle dig sikker, hvis det var din persondata du opbevarede. Altså synes du selv, at passwordet eller låsen er stærk nok til at holde uvedkommende væk fra dine personoplysninger?

Det kan også være, at du har konsulenter eller andre partnere, som behandler data for dig via outsourcing eller lignende. Disse vil du også have nævnt her, og du kan specificere de sikkerhedsforanstaltninger, som du har med henblik på at sikre disse data.

One Step Privacy kan hjælpe dig

Det var de seks trin, som du skal igennem for at kortlægge dine opbevarede personoplysninger, så du selv kan lave dine persondatapolitikker. Hvis du er træt af at skrive det hele ned på papir, så kan du bruge One Step Privacys værktøj til nemt at lave kortlægningen.

Vores system guider dig igennem kortlægningen i samme rækkefølge som denne GDPR-guide, og til sidst udarbejder den automatisk dine persondatapolitikker. Det er ret simpelt, og du kan selvfølgelig sidde med denne GDPR-guide ved siden af.

Opret konto

 

 

 

 

Har du nogle spørgsmål?

Hvis du har spørgsmål eller problemstillinger i forhold til persondataloven, så er du altid velkommen til at kontakte os. Du kan kontakte os ved at skrive en mail til [email protected].

Hvis du ønsker et brugervenligt onlineprogram til at lave dine persondatapolitikker og databehandleraftaler nemt og prisvenligt – så prøv One Step Privacys værktøj.