Relancering af PrivacyKompasset

Faglig nyhedDatatilsynet og Erhvervsstyrelsen har den 22. januar 2018 relanceret deres PrivacyKompas. PrivacyKompasset er en online test, der kan hjælpe virksomheder til overholdelse af databeskyttelsesreglerne. Dansk Erhverv afholdt den 6. februar 2018 et event, som gav mulighed for at få et bedre kendskab til PrivacyKompasset. Ved eventet blev PrivacyKompasset gennemgået, og der var rig mulighed for at stille spørgsmål. Du kan læse mere om det her.

Om revisor
PrivacyKompasset er et elektronisk værktøj udarbejdet af Datatilsynet og Erhvervsstyrelsen. Det er en hjælp for virksomhederne til at implementere og overholde de kommende databeskyttelsesregler. PrivacyKompasset er en online test, som består af i alt 23 spørgsmål om de personoplysninger, som din virksomhed ligger inde med. Når du har besvaret de 23 spørgsmål, får du en status på, hvordan man i din virksomhed håndterer personoplysninger på nuværende tidspunkt, samt hvad man i din virksomhed skal gøre fremover for at overholde databeskyttelsesreglerne.

PrivacyKompasset berører ikke alle emner inden for databeskyttelsesreglerne, men det er et godt sted at starte, da det forsøger at ramme de områder, hvor man som virksomhed bør være særligt opmærksom.

Efter besvarelse af PrivacyKompasset inddeles dine svar i grønne, gule og røde kategorier. De røde indeholder anmærkninger til dine svar, og det er her, du bør være særligt opmærksom. Resultatet af PrivacyKompasset kan du få tilsendt din mailadresse, eller du kan downloade det som PDF-fil.

På hjemmesiden for PrivacyKompasset, under fanen ’Viden og regler’, har du mulighed for at læse mere om reglerne i databeskyttelsesforordningen. Her kan du blandt andet læse om pligter for dataansvarlige, pligter for databehandlere og cookies.

Før relanceringen af PrivacyKompasset fik man ved at besvare spørgsmålene udarbejdet en privatlivspolitik, som man kunne bruge i virksomheden. Dette har man fra Datatilsynet og Erhvervsstyrelsens side bevidst undladt i relanceringen. Dette skyldes, at mange har anset en sådan privatlivspolitik, som at man i virksomheden overholder databeskyttelsesreglerne, hvilket ikke altid har været tilfældet.

Behandling af personoplysninger
Datatilsynet og Erhvervsstyrelsen understreger, at der er andre legitime behandlingsgrundlag end samtykke. Giver personen, som oplysningerne omhandler, ikke samtykke, kan der altså være andre grundlag, som gør, at du alligevel kan behandle oplysningerne uden at overtræde reglerne.

”Behandling af persondataoplysninger” omfatter stort set alt, hvad man kan tænke sig at gøre med disse personoplysninger. Der forefindes ingen undtagelser for personoplysninger, der er offentligt tilgængelige. Selv her skal oplysningspligten opfyldes.
Yderligere er oplysninger, som virksomheden ligger inde med fra før vedtagelse af databeskyttelsesforordningen, også omfattet af reglerne.

Oplysningspligt
Når man oplyser en person om, at virksomheden ligger inde med personoplysninger om denne, skal virksomheden oplyse, til hvilket formål oplysningerne opbevares. Det er i den forbindelse ikke et krav at oplyse, hvilke slags personoplysninger virksomheden besidder.

Ved opbevaring af oplysninger skal personen, som oplysningerne omhandler, oplyses om tidsrummet for opbevaringen. Er det ikke muligt at give et bestemt tidsrum, skal enten regelgrundlaget for opbevaringen oplyses eller de kriterier for opbevaringen, som der i virksomheden lægges vægt på.

Ajourføring af oplysninger
Det er ikke et krav, at virksomheden ajourfører personoplysninger, såfremt man stadig har et legitimt grundlag for at være i besiddelse af disse. Dette, såfremt man ikke har fået mistanke om, at oplysningerne er forkerte. I så fald skal oplysningerne slettes eller rettes.

DPO’er (Data Protection Officer)
Ikke alle virksomheder skal udpege en DPO. Som udgangspunkt skal din virksomhed udpege en DPO, såfremt virksomheden er omfattet af forvaltningsloven eller behandler følsomme oplysninger i et stort omfang.

Kryptering
Kryptering af oplysninger er som udgangspunkt ikke et krav på nuværende tidspunkt, men det anbefales, at private virksomheder benytter kryptering.

Krav på indsigt
Privatpersoner har krav på at få udleveret de oplysninger, som en virksomhed ligger inde med om denne. Virksomheden skal sikre sig, at personen, som henvender sig, og personen, som oplysningerne omhandler, er den samme. Det er i den forbindelse ikke tilstrækkeligt at bede personen, som henvender sig, oplyse sit CPR-nummer. Det anbefales, at virksomheden stiller flere kontrolspørgsmål.

Du kan finde mere information om PrivacyKompasset og behandling af personoplysninger her:

Link til PrivacyKompasset

Link til webinar

Link til vejledning om behandling af personoplysninger