Skal min virksomhed have en persondatapolitik? Ja, formentlig.
Faktisk er det bedste spørgsmål: Hvordan efterlever min virksomhed sin oplysningspligt? En persondatapolitik kan være et redskab til at efterleve virksomhedens pligt til at oplyse fx kunder om hvordan deres persondata behandles.
Hvis du “blot” har en persondatapolitik, så er der gode chancer for, at du ikke efterlever din oplysningspligt.
Om oplysningspligten
Så du har altså en pligt til at oplyse fx dine kunder og ansatte om hvordan deres persondata behandles.. Oplysningspligten kræver, at du giver information til den du indsamler persondata om i et kortfattet, gennemsigtigt, letforståeligt og i et lettilgængeligt sprog.
Så hvis man skal være jurist for at forstå hvad din virksomhed skriver, så overholder I ikke reglerne. Du skal give oplysningerne i det øjeblik, at du påbegynder behandlingen af den registreredes data fx kunde eller medarbejder.
Oplysningspligten i praksis
En persondatapolitik er sjældent tilstrækkelig. Hvis du har ansatte i din virksomhed, men kun har en persondatapolitik målrettet besøgende på hjemmesiden, så efterlever du ikke din oplysningspligt. Dette skyldes, at du ikke har informeret dine ansatte om hvordan deres oplysninger behandles jf. oplysningspligten. Se mere om dette herunder.
Ved køb af vare
I forbindelse med indgåelsen af en aftale med en kunde, så skal kunden oplyses om hvordan at dennes personlige oplysninger behandles af din virksomhed. Denne oplysning skal gives til kunder der køber en vare i en butik, online, mv.
Ved tilmelding til et event
Ved tilmelding til et event, så skal deltageren oplyses om hvordan dennes personlige oplysninger behandles af din virksomhed.
Ved brug af kontaktformular
Ved en besøgendes brug af din hjemmesides kontaktformular, så skal den besøgende oplyses om hvordan dennes personlige oplysninger behandles.
Når virksomheden har ansatte
Dine ansatte skal informeres om hvordan deres oplysninger behandles af din virksomhed. Dette skal ske når data indsamles første gang. Hvis formålet med behandlingen af data ændres, så skal den ansatte informeres igen.
Oplysningspligtens indhold
Ok, så hvilke informationer skal man bruge for at efterleve oplysningspligten?
Artikel 13 beskriver den information, som skal gives til den registrerede når der indsamles personoplysninger direkte fra den registrerede.
Artikel 14 beskriver den information, som skal gives til den registrerede når der indsamles personoplysninger om den registrerede via andre fx samarbejdspartnere.
Oplysningspligt (artikel 13)
Lovgivningen stiller nogle krav til indholdet af din oplysning til fx kunderne:
1) Identitet på og kontaktoplysninger for din virksomhed
- Basisoplysninger så man ved hvem den dataansvarlige virksomhed er.
2) Kontaktoplysninger for en eventuel databeskyttelsesrådgiver
- Dette er ikke relevant for små virksomheder
3) Formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen
- Dette kan eksempelvis være udsendelse af nyhedsbrev, fordi at du har fået samtykke til dette.
4) De legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f.
- Dette kan eksempelvis være arbejdsgivers legtime interesse i at behandle oplysninger i forbindelse med et ansættelsesforhold.
5) Hvis personoplysningerne videregives til andre, så angiv de modtagere eller kategorier af modtagere af personoplysningerne
- Dette kan eksempelvis være relevant, hvis du skal videregive oplysninger om en ansat til det offentlige pga. lovkrav herom i forbindelse løntilskudsstilling.
6) Hvis personoplysningerne overføres til et tredjeland, så skal du angive land og virksomhed. Du skal også angive din “hjemmel” til at overføre oplysningerne til et tredjeland.
- Dette er eksempelvis relevant, hvis du anvender et program, som anvender servere i USA, eller på anden måde udveksler data med USA, så skal virksomheden og landet angives.
7) Angiv det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
- Dette kunne eksempelvis være “vi opbevarer dine oplysninger indtil at kundeforholdet ophører”.
8) Informér om retten til at anmode om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende kundes personoplysninger, og deres ret til at gøre indsigelse mod behandling samt retten til dataportabilitet.
9) Hvis din behandling er baseret på kundens samtykke, og fx ikke en kontrakt, så skal du informere kunden om, at de har ret til at trække samtykket tilbage når de ønsker.
10) Informer om retten til at indgive en klage til en tilsynsmyndighed.
- Dette er for det meste Datatilsynet.
11) Hvis du stiller krav om at kunden skal give specifikke personoplysninger til brug for gennemførelse af en kontrakt mellem jer, så skal du oplyse kunden om dette, samt konsekvenserne for kunden ved ikke at angive disse oplysninger.
12) Hvis du laver profiler af dine kunder, samt hvis du bruger disse til at lave automatiske afgørelser, så skal du informere kunden om logikken i denne behandling, betydningen og konsekvenserne for kunden.
13) Hvis du indsamler personoplysningerne via en anden part fx via en database hos en anden virksomhed eller via en offentlig myndighed, så varierer ovenstående regler en smule. Da dette sjældent er tilfældet for en mindre virksomhed, og i et forsøg på at simplificerer (bare lidt), så er denne situation ikke beskrevet her.
Hvis dette dog skulle være tilfældet for din virksomhed, så se artikel 14 for kravene til din oplysningspligt i denne forbindelse.
Skabelon (gratis)
Vi har lavet en privatlivspolitik skabelon, som du kan tilrette og anvende på din virksomheds hjemmeside.