Jura

5 hyppige spørgsmål om GDPR fra bilforhandlere og værksteder

Black computer keyboard with the keys GDPR in blue and yellow

GDPR er blevet en fast del af det at drive en virksomhed, som forsvarligt skal håndtere en stor mængde kundedata – enten fysisk eller digitalt.

AutoBranchen Danmarks jurister får løbende spørgsmål, der relaterer sig til persondataforordningen, GDPR. Her samlet vi de 5 hyppigste emner, som der bliver spurgt ind til.

1. Hvad er en personoplysning egentlig?

  • En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person. Den fysiske person bliver kaldt for den registrerede.
  • Der er to former for personoplysninger:
    • almindelige personoplysninger og
    • følsomme personoplysninger.
  • Almindelige personoplysninger: navn, adresse, e-mail, telefonnummer, nummerplade, stelnummer, fødselsdato, IP-adresse, GPS-oplysninger, løn, kreditkortnummer, stilling mv.
  • Følsomme personoplysninger: helbredsoplysninger, politisk overbevisning, race, religion.

2. Hvordan skal personoplysninger behandles? 

  • En behandling er stort set alt, hvad virksomheden gør med en personoplysning.
  • Det er f.eks. være en indsamling, registrering, systematisering, opbevaring, søgning, brugen, tilpasning/ændringen, videregivelse, blokering, sletning. Behandlinger opdeles typisk i:
  • Lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede
  • Til et relevant og sagligt formål, senere behandling må ikke være uforeneligt med formålet
  • Dataminimering – relevante og tilstrækkelige oplysninger
  • Datakvalitet – oplysningerne skal være rigtige og ajourførte
  • Sletning – oplysningen skal slettes, når formålet ikke længere er tilstede
  • Integritet og fortrolighed – oplysningerne skal sikres den tilstrækkelig sikkerhed
  • Behandles på en måde, som sikrer tilstrækkelig sikkerhed for personoplysningerne

Hvordan behandles personoplysningerne på en måde, som sikrer tilstrækkelig sikkerhed?

  • at der ikke er synlige papirer om kunders personoplysninger i fx jeres ansattes skraldespande ved deres skriveborde,
  • at der ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue,
  • at computeren skal låses når en arbejdsplads efterlades
  • at der skal en lås på de skabe, der indeholder registrer med personoplysninger
  • at personoplysningen skal slettes, når den ikke længere har et formål med at være registreret

3. Hvor længe må virksomheder gemme personoplysninger?

  • En virksomhed må gemme personoplysninger, så længe der er et nødvendigt og sagligt formål med det.
  • Når der ikke længere er et nødvendigt og sagligt formål – f.eks. når personoplysningerne ikke længere skal bruges til det formål, de er indsamlet til, eller når der ikke er lovkrav om at opbevare personoplysningerne – skal de slettes eller gemmes på en form, hvor der ikke længere er tale om personoplysninger (anonymiseres).
  • Virksomheder skal derfor konkret overveje, hvor længe et formål skal gælde, og kan fastsætte en udløbsdato på personoplysningerne, allerede når de fødes.

4. Skal vores virksomhed rydde op i kundedatabasen?

  • Der skal ryddes op i kundedatabasen, og man kan med fordel etablere sletterutiner, så forhenværende kunder slettes.
  • Det kan bl.a. ske ved at designe sit CRM-system, så kunder, der ikke har været aktive i en fastsat periode, automatisk slettes efter det fastsatte tidsrum.
  • Der er ikke pligt til løbende at holde personoplysningerne ajourførte, i de tidsrum, hvor de ikke anvendes, inden de rammer slettefristen.
  • Man skal være opmærksom på, at der kan være hjemmel i andre love, som betyder, at personoplysningerne skal gemmes i en årrække og derfor ikke må slettes.
  • F.eks. kræver bogføringsloven, at fakturaer er gemt i en periode. Også garantiperioder for købte produkter kan berettige, at data opbevares i længere tid.

5. Hvordan behandles personoplysninger med tilstrækkelig sikkerhed?

  • Der må ikke være synlige papirer om kunders personoplysninger i f.eks. jeres ansattes skraldespande ved deres skriveborde.
  • Der må ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue.
  • Computeren skal låses, når ansatte forlader en arbejdsstation.
  • Der skal en lås på de skabe, der indeholder registrer med personoplysninger.
  • personoplysninger skal slettes, når de ikke længere har et formål med at være registreret.

Find svar på flere af dine GDPR-sprøgsmål i vores store univers her

Juridisk hotline