En behandling er alt, hvad der sker med personoplysningen, såsom at indsamle den, registrere den, opbevare den, videregive den, eller slette den.
Det er vigtigt, at man kender sin rolle i forbindelse med behandlingen, fordi der er forskellige krav alt afhængig af, hvilken rolle virksomheden har. Det er som udgangspunkt den dataansvarlige, der har ansvaret for, at en behandling af personoplysninger lever op til reglerne i forordningen herunder fx:
- Om virksomheden har lov til at behandle de oplysninger, som virksomheden er i besiddelse af (om virksomheden har et behandlingsgrundlag)
- Om virksomheden er i stand til at efterleve de registrerede personers rettigheder (fx i form af virksomhedens oplysningsforpligtelse, som kan opfyldes ved hjælp af en privatlivspolitik)
En dataansvarlig bestemmer hvordan og med hvilke formål personoplysningerne må behandles, herunder indsamling, sletning og/eller videregivelse af oplysningerne.
Når en virksomhed behandler personoplysninger om sine kunder, er den dataansvarlig.
En databehandler behandler personoplysningerne på den dataansvarliges vegne og følger dermed den instruks, som er fastsat af den dataansvarlige.
En dataansvarlig må kun bruge databehandlere, der kan garantere, at de vil gennemføre de passende tekniske og organisatoriske procedurer så behandlingen opfylder kravene i lovgivningen.
En databehandler tager sig typisk af disse opgaver:
- Hvilke IT-systemer eller metoder der skal bruges til behandling
- Hvordan personoplysningerne skal opbevares
- De nærmere sikkerhedsforanstaltninger
- Hvordan personoplysninger overføres til andre
- Hvordan personoplysninger genfindes
- Metoder til at sikre, at slettefrister overholdes
- Metoder til at slette personoplysninger
Når I har en IT-leverandør, der udelukkende handler efter instruks og udfører elektronisk databehandling af personoplysninger for jer (som dataansvarlig), er IT-leverandøren databehandler. Økonomi-, og DMS-systemer falder ind under kategorien databehandler. Der skal derfor laves databehandleraftaler med fx Bilinfo, Bluegarden, Biltorvet (AutoDesktop) og CDK (Dracar).
Det er ikke lovligt, hvis databehandleren uden den dataansvarliges godkendelse bruger oplysningerne til sine egne eller nye formål.
Der skal mellem den dataansvarlige og databehandleren laves en databehandleraftale. Aftalen skal være en skriftlig kontrakt eller andet retligt dokument, som er bindende for parterne. Dokumentet skal også kunne findes elektronisk.
I forhold til lovgivningen skal følgende være indeholdt i databehandleraftalen:
- Genstanden for behandlingen (hvad skal databehandleren lave?)
- Varigheden af behandlingen
- Behandlingens karakter (her beskrives med hvilke aktiviteter databehandlingen skal ske – fx at databehandleren forbereder markedsføring i form af elektroniske nyhedsbreve)
- Behandlingens formål (fx markedsføringstiltag)
- Typen af personoplysninger (hvilke oplysninger behandles? Fx navn og CPR-nummer)
- Kategorier af registrerede (hvem er registreret – fx kunder, medarbejdere)
- Parternes rettigheder og forpligtelser
Hvilke rettigheder og forpligtelser har parterne efter lovgivningen?
- Behandling må kun ske efter dokumenteret instruks fra dataansvarlig til databehandleren
- Personer, der er autoriseret til at behandle oplysninger, skal være underlagt fortrolighed (ved lov eller i aftalen)
- Der skal være procedurer for behandlingssikkerhed
- Databehandleren skal slette eller tilbagelevere personoplysninger til den dataansvarlige, når tjenesten er ophørt
- Databehandleren skal stille sig til rådighed og levere alle oplysninger for inspektioner fra den dataansvarlige. Ydermere skal databehandleren give information til den dataansvarlige fx ved sikkerhedsnedbrud
- Den dataansvarlige skal løbende tjekke, om databehandleren overholder kravene
- Databehandleren skal omgående underrette den dataansvarlige om instrukser i strid med persondataforordningen, EU-ret eller national ret
Almindelig videregivelse af oplysninger – fra én dataansvarlig til en anden dataansvarlig
Der er ikke altid tale om en situation, hvor der er en databehandler. Derimod kan der være en situation, hvor en dataansvarlig (fx en forhandler) videregiver oplysninger til en anden selvstændig dataansvarlig (fx SKAT, finansieringsselskab, forsikringsselskaber, importør og Det Digitale Motorregister).
De videregivne oplysninger bliver nemlig behandlet til hver deres nye formål, og virksomhederne har selv vurderet, hvilke oplysninger, der er nødvendige for at foretage behandlingen.
Her skal der ikke være en databehandleraftale, men du skal sikre dig, at du må videregive oplysningerne og at modtageren må modtage oplysningerne.
Den part, som modtager oplysningerne vil så være dataansvarlig for den efterfølgende behandling af personoplysningerne. Modtageren skal sikre sig at have et behandlingsgrundlag for at kunne behandle oplysningerne og skal også opfylde sin oplysningspligt overfor den registrerede.
Opsummering om persondata
På højre side kan du finde et årshjul som beskriver de processer, der skal starte i virksomheden allerede nu. Den nye persondatalovgivning træder i kraft den 25. maj 2018, og her findes både nye krav og meget højere bødestørrelser end hidtil set. Derfor er det vigtigt at sætte sig ind i reglerne hurtigst muligt.
AutoBranchen Danmark har lavet en folder om reglerne, samt reglerne om markedsføring med masser af praktiske eksempler fra en forhandlers hverdag. Folderen kan gøre kravene i lovgivningen mere jordnære.
AutobBanchen Danmark har også lavet skræddersyede dokumenter om:
- Samtykketekst til modtagelse af direkte markedsføring
- Privatlivstekster
- Databehandleraftale til brug for videregivelse af oplysninger fra en forhandler til en importør. Aftalen giver importøren lov til at sende markedsføringsmateriale ud på vegne af forhandleren, da dette ellers kræver et separat samtykke fra den registrerede person, for at dette må ske
Som det kan ses på årshjulet, så anbefaler AutoBranchen Danmark medlemmer at være i gang med punkterne 1-4 på nuværende tidspunkt. Dokumenterne på hjemmesiden hjælper med punkterne.