GDPR er blevet en fast del af det at drive en virksomhed, som forsvarligt skal håndtere en stor mængde kundedata – enten fysisk eller digitalt.
AutoBranchen Danmarks jurister får løbende spørgsmål, der relaterer sig til persondataforordningen, GDPR. Her samlet vi de 5 hyppigste emner, som der bliver spurgt ind til.
1. Hvad er en personoplysning egentlig?
- En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person. Den fysiske person bliver kaldt for den registrerede.
- Der er to former for personoplysninger:
- almindelige personoplysninger og
- følsomme personoplysninger.
- Almindelige personoplysninger: navn, adresse, e-mail, telefonnummer, nummerplade, stelnummer, fødselsdato, IP-adresse, GPS-oplysninger, løn, kreditkortnummer, stilling mv.
- Følsomme personoplysninger: helbredsoplysninger, politisk overbevisning, race, religion.
2. Hvordan skal personoplysninger behandles?
- En behandling er stort set alt, hvad virksomheden gør med en personoplysning.
- Det er f.eks. være en indsamling, registrering, systematisering, opbevaring, søgning, brugen, tilpasning/ændringen, videregivelse, blokering, sletning. Behandlinger opdeles typisk i:
- Lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede
- Til et relevant og sagligt formål, senere behandling må ikke være uforeneligt med formålet
- Dataminimering – relevante og tilstrækkelige oplysninger
- Datakvalitet – oplysningerne skal være rigtige og ajourførte
- Sletning – oplysningen skal slettes, når formålet ikke længere er tilstede
- Integritet og fortrolighed – oplysningerne skal sikres den tilstrækkelig sikkerhed
- Behandles på en måde, som sikrer tilstrækkelig sikkerhed for personoplysningerne
Hvordan behandles personoplysningerne på en måde, som sikrer tilstrækkelig sikkerhed?
- at der ikke er synlige papirer om kunders personoplysninger i fx jeres ansattes skraldespande ved deres skriveborde,
- at der ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue,
- at computeren skal låses når en arbejdsplads efterlades
- at der skal en lås på de skabe, der indeholder registrer med personoplysninger
- at personoplysningen skal slettes, når den ikke længere har et formål med at være registreret
3. Hvor længe må virksomheder gemme personoplysninger?
- En virksomhed må gemme personoplysninger, så længe der er et nødvendigt og sagligt formål med det.
- Når der ikke længere er et nødvendigt og sagligt formål – f.eks. når personoplysningerne ikke længere skal bruges til det formål, de er indsamlet til, eller når der ikke er lovkrav om at opbevare personoplysningerne – skal de slettes eller gemmes på en form, hvor der ikke længere er tale om personoplysninger (anonymiseres).
- Virksomheder skal derfor konkret overveje, hvor længe et formål skal gælde, og kan fastsætte en udløbsdato på personoplysningerne, allerede når de fødes.
4. Skal vores virksomhed rydde op i kundedatabasen?
- Der skal ryddes op i kundedatabasen, og man kan med fordel etablere sletterutiner, så forhenværende kunder slettes.
- Det kan bl.a. ske ved at designe sit CRM-system, så kunder, der ikke har været aktive i en fastsat periode, automatisk slettes efter det fastsatte tidsrum.
- Der er ikke pligt til løbende at holde personoplysningerne ajourførte, i de tidsrum, hvor de ikke anvendes, inden de rammer slettefristen.
- Man skal være opmærksom på, at der kan være hjemmel i andre love, som betyder, at personoplysningerne skal gemmes i en årrække og derfor ikke må slettes.
- F.eks. kræver bogføringsloven, at fakturaer er gemt i en periode. Også garantiperioder for købte produkter kan berettige, at data opbevares i længere tid.
5. Hvordan behandles personoplysninger med tilstrækkelig sikkerhed?
- Der må ikke være synlige papirer om kunders personoplysninger i f.eks. jeres ansattes skraldespande ved deres skriveborde.
- Der må ikke ligger sagsmapper med kundernes oplysninger fremme til frit skue.
- Computeren skal låses, når ansatte forlader en arbejdsstation.
- Der skal en lås på de skabe, der indeholder registrer med personoplysninger.
- personoplysninger skal slettes, når de ikke længere har et formål med at være registreret.
Find svar på flere af dine GDPR-sprøgsmål i vores store univers her