Jura

5 hyppige spørgsmål om GDPR fra bilforhandlere og værksteder

GDPR er blevet en fast del af det at drive en virksomhed, som forsvarligt skal håndtere en stor mængde kundedata – enten fysisk eller digitalt.

AutoBranchen Danmarks jurister får løbende spørgsmål, der relaterer sig til persondataforordningen, GDPR. Her samlet vi de 5 hyppigste emner, som der bliver spurgt ind til.

1. Hvad er en personoplysning egentlig?
  • En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person. Den fysiske person bliver kaldt for den registrerede.
  • Der er to former for personoplysninger:
    • almindelige personoplysninger og
    • følsomme personoplysninger.
  • Almindelige personoplysninger: navn, adresse, e-mail, telefonnummer, nummerplade, stelnummer, fødselsdato, IP-adresse, GPS-oplysninger, løn, kreditkortnummer, stilling mv.
  • Følsomme personoplysninger: helbredsoplysninger, politisk overbevisning, race, religion.
2. Hvordan skal personoplysninger behandles?
  • En behandling er stort set alt, hvad virksomheden gør med en personoplysning.
  • Det er f.eks. være en indsamling, registrering, systematisering, opbevaring, søgning, brugen, tilpasning/ændringen, videregivelse, blokering, sletning. Behandlinger opdeles typisk i:
  • Lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede
  • Til et relevant og sagligt formål, senere behandling må ikke være uforeneligt med formålet
  • Dataminimering – relevante og tilstrækkelige oplysninger
  • Datakvalitet – oplysningerne skal være rigtige og ajourførte
  • Sletning – oplysningen skal slettes, når formålet ikke længere er tilstede
  • Integritet og fortrolighed – oplysningerne skal sikres den tilstrækkelig sikkerhed
  • Behandles på en måde, som sikrer tilstrækkelig sikkerhed for personoplysningerne

Hvordan behandles personoplysningerne på en måde, som sikrer tilstrækkelig sikkerhed?

  • at der ikke er synlige papirer om kunders personoplysninger i fx jeres ansattes skraldespande ved deres skriveborde,
  • at der ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue,
  • at computeren skal låses når en arbejdsplads efterlades
  • at der skal en lås på de skabe, der indeholder registrer med personoplysninger
  • at personoplysningen skal slettes, når den ikke længere har et formål med at være registreret
3. Hvor længe må virksomheder gemme personoplysninger?
  • En virksomhed må gemme personoplysninger, så længe der er et nødvendigt og sagligt formål med det.
  • Når der ikke længere er et nødvendigt og sagligt formål – f.eks. når personoplysningerne ikke længere skal bruges til det formål, de er indsamlet til, eller når der ikke er lovkrav om at opbevare personoplysningerne – skal de slettes eller gemmes på en form, hvor der ikke længere er tale om personoplysninger (anonymiseres).
  • Virksomheder skal derfor konkret overveje, hvor længe et formål skal gælde, og kan fastsætte en udløbsdato på personoplysningerne, allerede når de fødes.
4. Skal vores virksomhed rydde op i kundedatabasen?
  • Der skal ryddes op i kundedatabasen, og man kan med fordel etablere sletterutiner, så forhenværende kunder slettes.
  • Det kan bl.a. ske ved at designe sit CRM-system, så kunder, der ikke har været aktive i en fastsat periode, automatisk slettes efter det fastsatte tidsrum.
  • Der er ikke pligt til løbende at holde personoplysningerne ajourførte, i de tidsrum, hvor de ikke anvendes, inden de rammer slettefristen.
  • Man skal være opmærksom på, at der kan være hjemmel i andre love, som betyder, at personoplysningerne skal gemmes i en årrække og derfor ikke må slettes.
  • F.eks. kræver bogføringsloven, at fakturaer er gemt i en periode. Også garantiperioder for købte produkter kan berettige, at data opbevares i længere tid.
5. Hvordan behandles personoplysninger med tilstrækkelig sikkerhed?
  • Der må ikke være synlige papirer om kunders personoplysninger i f.eks. jeres ansattes skraldespande ved deres skriveborde.
  • Der må ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue.
  • Computeren skal låses, når ansatte forlader en arbejdsstation.
  • Der skal en lås på de skabe, der indeholder registrer med personoplysninger.
  • personoplysninger skal slettes, når de ikke længere har et formål med at være registreret.

 

Find svar på flere af dine GDPR-sprøgsmål i vores store univers her