Fremdrift

Indtast dit søgeord

    Sociale medier

Persondataforordningen i praksis

Persondataforordningen i praksis

13. december 2018

Vi er nu kommet på den anden side af den 25. maj 2018, som var ikrafttrædelsesdatoen for persondataforordningen, og der er fortsat meget fokus på persondataforordningen. Dokumentationen er på plads for de flestes vedkommende, men der kan være mange spørgsmål til den praktiske efterlevelse af reglerne.

Vores indtryk er, at virksomhederne generelt er gode til at dokumentere kravene i henholdsvis persondataforordningen samt databeskyttelsesloven. Dog lader der til at være usikkerhed om, hvorvidt deres arbejde med at implementere de databeskyttelsesretlige krav er tilstrækkeligt, samt hvordan der i praksis skal handles efter reglerne på nogle områder.

Persondataforordningen er et nyt område, som alle skal finde fodfæste i – og der er delte opfattelser af omfanget af kravene til virksomhederne, hvilket kun gør udfordringen større. Denne problemstilling har bl.a. medført, at nogle virksomheder kan have svært ved at danne sig et overblik over, hvorledes indholdet af Datatilsynets vejledninger og retningslinjer skal tilpasses virksomhedens behandlingsaktiviteter.

Virksomhederne kan med fordel have fokus på bl.a. følgende punkter i deres fremtidige behandling af personoplysninger:

  • Implementere generelle slettefrister – herunder med fokus på periodisk gennemgang og sletning af e-mails.
  • Oplysninger som ikke kan dokumenteres med et lovligt grundlag skal slettes.
  • Efterleves kravene til samtykke i forbindelse med nyhedsbreve efter de tidligere databeskyttelsesretlige regler, så er der intet krav til, at et nyt samtykke skal indhentes. Hvis blot muligheden for ”tilbagetrækning af samtykke” ikke er oplyst de registrerede, kan dette krav efterleves ved at orientere registrerede gennem oplysningspligten.
  • Behandling af brugeranmeldelser kan ske med hjemmel i interesseafvejningsreglen.
  • Databehandleraftaler – fokus på løbende tilsyn med databehandler, databehandlers praktiske overholdelse af krav til foranstaltninger samt sikring af hjemmel til overladelse af personoplysninger til underdatabehandler etableret i tredjelande.
  • En fratrådt medarbejder ønsker indsigt i f.eks. breve, notater og e-mails udfærdiget eller sendt i arbejdsmæssig sammenhæng – disse oplysninger er ikke omfattet af indsigtsretten. Dermed er tidligere arbejdsgiver berettiget til ikke at give den fratrådte medarbejder indsigt i visse oplysninger.
  • Under et rekrutteringsforløb vil personoplysninger efter omstændighederne kunne behandles (eks. indsamles, videregives og opbevares) med hjemmel i artikel 6, stk. 1, litra e (for offentlige arbejdsgivere), artikel 6, stk. 1, litra f (for private arbejdsgivere), artikel 9, stk. 2, litra f, eller databeskyttelseslovens § 8. Ligeledes er der mere lempelige krav end forventet til en række behandlingsaktiviteter forbundet med rekruttering, herunder bl.a. personlighedstest og arbejdsgivers behandling af følsomme oplysninger afgivet på ansøgers eget initiativ.
  • Portrætbilleder af ansatte og billeder optaget af ansatte på arbejdet (situationsbilleder) vil som udgangspunkt ikke kunne offentliggøres uden den ansattes samtykke. Samtykket skal opfylde betingelserne i forordningens artikel 7 for et gyldigt samtykke. Arbejdsgiveren har derfor bl.a. pligt til at sikre, at samtykket er givet frivilligt. Tilsvarende gælder, hvis en arbejdsgiver bruger billeder af ansatte i materiale, der f.eks. anvendes til markedsføring.
  • Markedsføringsmateriale med portrætbilleder anbefales baseret på kontrakt i stedet for samtykke. Der bør være en reel modydelse.
  • Det kan være nødvendigt, at arbejdsgiveren informerer de ansatte om, at en medarbejder er fratrådt, f.eks. for at hindre rygtedannelse og ”uro” på arbejdspladsen. Arbejdsgiverens mulighed for at informere de ansatte om ændringer i virksomhedens organisation må normalt anses at veje tungere end hensynet til en medarbejder, der er fratrådt, ligesom det kan tillægges vægt, at den pågældendes kolleger efterfølgende ved selvsyn vil kunne konstatere, at den afskedigede ikke længere er ansat. Det vil på den baggrund være et væsentligt hensyn, at virksomheden har mulighed for at orientere de ansatte om fratrædelsen, og den interne videregivelse af oplysningen vil kunne ske med hjemmel i forordningens artikel 6, stk. 1, litra e eller litra f.

 

Sidder du i en virksomhed, hvor I ikke er kommet helt i mål med implementeringen, eller ønsker I et review af jeres implementering, så kontakt os for en uforpligtende samtale om, hvordan din virksomhed kommer målrettet igennem opgaven, og hvor jeres fokus og prioriteringer bør ligge.

Artikler

Kontakt

Er du interesseret i vores ydelser? Vil du lave en forespørgsel? Kontakt os via nedenstående formular og vi vender tilbage så snart vi kan. Du kan også kontakte et lokalt kontor.

Abonner på EY's nyhedsbreve

EY udgiver en række nyhedsbreve, der er relevante for små og mellemstore virksomheder. Nyhedsbrevene er gratis og indeholder korte artikler, der beskriver aktuelle lovkrav og udfordringer, samt fakta og inspiration til virksomhedsejere, direktører, økonomichefer m.fl. Du tilmelder dig via nedenstående link.

Få nyheder fra EY

Vil du have hjælp?

Hvordan kan du udvikle din virksomhed?

Vi har lang erfaring med de udfordringer, som du og din virksomhed står overfor - uanset om der er tale om revision, regnskab, skat eller anden rådgivning.