Compliance – Databeskyttelse

Databeskyttelsesretten udspringer af EU’s databeskyttelsesforordning og den danske implementering, databeskyttelsesloven. Samfundet bliver mere og mere datadrevet, hvilket betyder at det bliver endnu vigtigere at sikre sig, at man som virksomhed overholder de bagvedliggende regler, når I behandler personoplysninger.

Opdateret den 28/5-2024: Version 1

Lovgivning

Databeskyttelsesforordningen kan findes her

Databeskyttelsesloven kan findes her

Databeskyttelsesforordningen er den overordnede lovgivning, som også omtales persondataforordningen eller GDPR. Forordningen suppleres med regler i den danske databeskyttelseslob. Hertil findes særlovgivning om databeskyttelse, som går forud for databeskyttelsesforordningens og databeskyttelseslovens regler. Det kan fx være markedsføringsloven.

Hvornår finder reglerne anvendelse for speditører

Når speditionsvirksomheden eller dennes ansatte behandler personoplysninger om fysiske personer. Reglerne finder derfor ikke anvendelse ved behandling af oplysninger om virksomheder, medmindre der i oplysningerne ligger oplysninger om fysiske personer.

Hvornår behandler man personoplysninger:

Personoplysning

En information er en personoplysning hvis den er identificerbar. Så længe personen er identificerbar, så er der tale om en personoplysning – uanset at den fysiske person ikke er identificeret. Personen er identificerbar, hvis vedkommende direkte eller indirekte kan identificeres, typisk ved en indikator såsom et navn, identifikationsnummer, lokaliseringsdata, onlineidentifikator (IP-adresse), eller et eller flere elementer, der er særlige for personen, fx fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Eksempler på personoplysninger kan være personnumre, registreringsnumre, et billede, en stemme, navn eller adresse. I praksis kan næsten enhver oplysning altså være en personoplysning, hvis den kan være med til at identificere en specifik person.

Krypterede oplysninger er også omfattet når nogen har krypteringsnøglen. Hvis der benyttes andre former for koder i stedet for fx navn og adresse, som kan føres tilbage til de oprindelige personoplysninger, så er der også tale om en personoplysning.

Anonyme oplysninger er derimod ikke omfattet af reglerne.

Behandling

Behandlingsbegrebet omfatter enhver aktivitet eller række af aktiviteter, manuelt eller automatisk, som personoplysninger gøres til genstand for. Eksempler på behandling af data er indsamling, registrering, organisering, systematisering, opbevaring, tilpasning, ændring, genfinding, søgning, brug, videregivelse, formidling eller anden form for overdragelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Hvor finder reglerne anvendelse

Reglerne finder anvendelse for behandling af personoplysninger af en virksomhed eller fysisk person etableret i EU, også selvom behandlingen finder sted udenfor EU.

Man bør dog være opmærksom på, at EU’s medlemsstater kan have egne supplerende regler, gældende på deres territorie.

Hvornår kan personoplysninger behandles lovligt

Det er et grundlæggende krav i persondataloven, at personoplysninger altid skal behandles i overensstemmelse med god databehandlingsskik. Kravet gælder altid og for al form for behandling af personoplysninger. Eksempelvis gælder kravet også, selvom en person har givet sit samtykke til behandlingen af personoplysninger.

God behandlingsskik betyder at personoplysninger behandles i overensstemmelse med:

1. tydeligt angivne formål (eksempelvis oprettelse af en brugerprofil), og at senere behandling af oplysningerne ikke er uforenligt med det oplyste formål.

2. At der ikke må indsamles flere oplysninger end hvad der er nødvendigt og relevant (eksempelvis er CPR-nummer ikke altid relevant).

3. At behandlingen af oplysningerne tilrettelægges så oplysningerne kan ajourføres, berigtiges og slettes når behandling af oplysningerne ikke længere er nødvendig

Udover kravet om god behandlingsskik findes også et krav om bemyndigelse:

Der er bemyndigelse til behandling af almindelige personoplysninger, hvis et af følgende krav er opfyldt:

• Kunden har givet sit udtrykkelige samtykke

• Behandlingen sker for at opfylde en aftale med den registrerede (det er eksempelvis nødvendigt for en speditør at kende kundens navn og adresse for at kunne opfylde transportaftalen).

• Behandlingen finder sted for at opfylde en retlig forpligtelse for din virksomhed (eksempelvis bogføring).

• Behandlingen er nødvendig for, at din virksomhed kan forfølge en berettiget interesse, og at hensynet til den kunde, hvis oplysninger behandles, ikke overstiger denne interesse.

Dog gælder hvis der er tale om følsomme eller semi-følsomme data, at kunden skal have givet udtrykkeligt samtykke til behandlingen eller hvis kunden selv har offentliggjort oplysningerne.

Retten til at blive oplyst

Retten til at blive oplyst om behandlingen af personoplysninger betyder, at du skal oplyse om følgende, når du indsamler personoplysninger:

• Din virksomheds identitet (dvs. din virksomheds CVR-nummer, adresse og øvrige kontaktoplysninger).

• Formålene med indsamlingen og behandlingen af personoplysningerne.

• Reglerne om indsigt i og om berigtigelse af personoplysningerne.

• Hvilken type oplysninger der indsamles, og hvem der modtager oplysningerne. Denne oplysningspligt gælder også selvom det ikke er nødvendigt at indhente kundens samtykke.

Eksempelvis kan oplysningerne gives til kunder via din virksomheds persondatapolitik eller i forbindelse med, at kunden selv angiver oplysningerne (eksempelvis hvor kunden indtaster oplysningerne online).

Desuden skal du oplyse om alle yderligere oplysninger, der konkret er nødvendige for, at kunden kan varetage sine interesser. Det omfatter eksempelvis oplysninger om, hvilke konsekvenser det vil have, hvis kunden ikke afgiver de efterspurgte personoplysninger (eksempelvis at det begrænser muligheden for at gøre brug af tjenester eller købe produkter).

Retten til indsigt

Foruden de oplysninger, som du skal oplyse kunden om i forbindelse med indsamlingen af oplysninger om kunden, er kunden også berettiget til løbende at få indsigt i, hvilke oplysninger du behandler om kunden

Retten til at få indsigt i behandlingen af personoplysninger betyder, at du på anmodning skal oplyse en kunde om:

• Hvilke oplysninger der behandles?

• Hvad formålet er med behandlingen?

• Hvem der får adgang til de indsamlede oplysninger?

• Information om, hvor personoplysningerne stammer fra.

Hvis en person retter henvendelse til din virksomhed og anmoder om indsigt, skal du besvare anmodningen inden for 4 uger efter modtagelse.

Hvis det ikke er muligt, skal du inden for 4 uger underrette den pågældende om grunden hertil, samt om, hvornår den endelige besvarelse kan forventes at foreligge.

Ved omfattende anmodninger kan du undersøge muligheden for at opkræve et mindre gebyr for en skriftlig besvarelse.

Hvad skal du være opmærksom på ved indgåelse af IT-aftaler

 

Hvordan skal du beskytte personoplysninger

Virksomheder, der behandler personoplysninger, skal ifølge persondataloven træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de personoplysninger, der behandles af virksomheden. Persondatalovens bestemmelser om sikkerhed er blandt persondatalovens mest grundlæggende krav.

I praksis er sikkerhed en dynamisk størrelse, der udvikler sig i takt med teknologien og det aktuelle trusselsbillede. De sikkerhedsforanstaltninger der i dag er nødvendige for at sikre en tilstrækkelig sikkerhed, er ikke de samme som de foranstaltninger, der var nødvendige og tilgængelige i går.

Loven foreskriver ikke de specifikke foranstaltninger, der skal træffes og du skal derfor løbende sikre, at din virksomheds beskyttelse af personoplysninger er tilstrækkelig ud fra de konkrete risici forbundet med din virksomheds brug af personoplysninger.

Det er vigtigt, at du gør dig klart, at overholdelse af persondatalovens sikkerhedsregler er en opgave, der involverer hele virksomheden. Selv om mange af de foranstaltninger, der er nødvendige for at sikre tilstrækkelig sikkerhed i praksis, ofte vil være tæt knyttet til din virksomheds it-infrastruktur, er etableringen af fornødne sikkerhedsforanstaltninger ikke blot et anliggende for it-afdelingen. Det kan også betyde ændring af arbejdsgange eller omlægning af administrative opgaver for virksomhedens øvrige afdelinger.


Vejledninger og skabeloner

Virksomheder, der indsamler eller bruger personoplysninger, skal informere de personer, der behandles oplysninger om. I kan finde en skabelon til persondatapolitik, som kan sendes til kunder og leverandører, som virksomheden har persondata om. Den kan med fordel ligeledes offentliggøres på virksomhedens hjemmeside.

Hent skabelonen til persondatapolitik her

Hent vejledninger her

Dataansvarlig og databehandler

Læs Datatilsynets vejledninger her

Hent skabeloner til kontraktsbestemmelser her

Denne guide kan ikke erstatte juridisk rådgivning, og der tages forbehold for fejl eller mangler. Spørgsmål til denne guide kan rettes til Danske Speditørers juridiske afdeling på tlf. 70131214. Vi opdaterer løbende, så hold dig opdateret via vores hjemmeside for at sikre, at du har den nyeste version.