ComplyTo - GDPR guide - Sådan laver du dine persondatapolitikker

Guide til GDPR

 

6 trin - Sådan laver du du din persondatapolitik

Det er nemmere end advokaterne siger

Persondataforordningen er for mange en kompliceret lov. Mange små og mellemstore virksomheder har svært ved at finde ud af, hvordan man kortlægger personoplysninger og får lavet de nødvendige persondatapolitikker og databehandleraftaler.

Samtidig er det ikke fordi at konsulenter og advokater ligefrem gør GDPR nemt at forstå, da de hellere vil blive betalt for at lave politikkerne for virksomhederne end at forklare loven. Men bare rolig - ComplyTo hjælper dig i denne guide med at kortlægge din virksomheds persondata, så du selv kan overholde persondataforordningen og løbende opdatere dine politikker fremfor at skulle have en advokat til at ordne dem hver eneste gang du får et nyt IT-system eller begynder at opbevare nye persondatatyper.

Du kan ved hjælp af denne guide enten manuelt nedskrive og kortlægge dine persondata, eller du kan bruge ComplyTo’s intuitive wizard til nemt at klikke det hele af. Du kan prøve wizarden gratis i 14 dage her.

Brug guiden nemt sammen med ComplyTo GDPR

Start din 14 dages gratis prøveperiode her

Trin 1: Processer

Nu er vi klar til at gå i gang!

Det første du bør gøre i udarbejdelsen af dine persondatapolitikker er, at kortlægge hvilke persondata din virksomhed anvender og opbevarer. Det gør du ved at finde ud af hvilke processer du har. En proces kan fx være Kunder, Hjemmeside hvis du anvender analyseværktøjer til at overvåge hvad brugerne af din hjemmeside foretager sig, og HRsom dækker over bl.a. medarbejdere og jobansøgere til din virksomhed. Der er flere processer, men i denne guide tager vi udgangspunkt i disse tre.

Trin 2: Opbevaring af persondata

Når du har valgt disse tre processer, skal du finde ud af hvilke IT-systemer du anvender til at opbevare den indsamlede persondata. Her er det en god idé, hvis du sætter dig sammen med dine medarbejdere, der til daglig arbejder med de forskellige processer. Det gør arbejdet noget nemmere. Husk også, at hvis du anvender papirarkiver til opbevaring af eksempelvis kundelister eller persondata på medarbejdere, så angiv dette. Og hav en god lås på arkivskabene.

Til processen Hjemmeside er det ofte analyseværktøjer man anvender til at overvåge brugerne af ens hjemmesides adfærd. Der findes en lang række værktøjer til dette. Eksempler på IT-systemer til processen Hjemmeside er:

  • Google Analytics
  • Facebook Pixels
  • Mailchimp
  • Hotjar
  • Spring Metrics
  • Woopra
  • Clicky
  • Mouseflow
  • Mint
  • Chartbeat
  • Wordpress

Til processen HR er det ofte IT-systemer som:

  • Outlook
  • Google Drive
  • Danløn
  • Gmail

Det kan være du har et eksternt firma til at lave din lønadministration - så tilføjer du også dette firma her, på lige fod med systemer og andre dataarkiver som har persondata. De vil alle være databehandlere for din virksomhed

Til processen Kunder er det fx:

  • Google Drive
  • Outlook
  • Gmail
  • Facebook Insights
  • LinkedIn Analytics

Trin 3: Hvilke persontyper hører til i processer, og hvilken geografisk placering har de?

Når du har valgt hvilke IT-systemer og dataarkiver du anvender til at opbevare persondata, er du klar til at gå videre. Det næste du skal gøre at angive hvilke lande persontyperne er placeret i. Altså, ikke hvilken nationalitet de er fra, men hvilket EU-land bruger/kunder/medarbejdere er placeret i. Fx i HR processen, hvis virksomhedens eneste kontor ligger i København, en af medarbejderne er fra Frankrig men bor i Sverige, så angiver du kun Danmark og Sverige. Hvis virksomheden også har en afdeling i eksempelvis Tyskland, så angiver man også Tyskland. Det er landet som personen opholder sig i der er væsentligt - ikke nationalitet eller lignende

Når det kommer til Hjemmeside-processen, kan det være svært at indramme brugerne til kun at være placeret i Danmark, da der på mange hjemmesider også kommer brugere ind fra andre EU-lande, især hvis man har en engelsksproget hjemmeside. Derfor kan man vælge at sige “Alle EU-lande” til denne.

Det samme gælder ved en webshop, hvor der også kan komme kunder ind fra andre EU-lande.  Du kan også vælge “hele verden”. Det væsentlige her er, hvem din hjemmeside er rettet imod. Lad os sige du har en webshop kun med dansk sprog, du markedsfører kun i Danmark, modtager kun Dankort og Master-/Visakort, og sender varerne til adresser i Danmark. I sådan et tilfælde er det væsentligt, at du koncentrerer dig om brugere i Danmark, og ikke hvis en eller to personer fra Grækenland skulle komme ind på din side. Omvendt hvis du har en webshop på engelsk og sender varer rundt i hele EU, skal du nok vælge hele EU for at være dækket ind.

Trin 4: Opbevarer du persondata på personer under 16 år?

Artikel 8 i persondataforordningen omhandler persondata om børn under 16 år. Hvis du tilbyder en gratis tjeneste, der har til formål at videresælge det persondata du indsamler om børn under 16 år, eller bruger data til at markedsføre eller mersælge til børn, så skal du være opmærksom på artikel 8.

Artiklen er skabt for at styrke børn under 16 års rettigheder overfor gratistjenester som for eksempel sociale medier (Facebook, Instagram, Snapchat og Youtube). Hvis din virksomhed tilbyder en gratis tjeneste til børn i EU og du profiterer fra den persondata på børn under 16 år, så skal der indsamles samtykke fra indehaveren af forældremyndigheden til børnene, og validiteten af samtykket skal kunne kontrolleres og fremvises ved eftersyn.

Medlemslande kan dog have en lov hvor aldersgrænsen er ned til 13 år. Det har Danmark. Så hvis indsamling og anvendelse af persondata kun foregår på børn placeret i Danmark, så skal der kun indsamles samtykke fra indehaveren af forældremyndigheden på børn under 13 år.

Se eventuelt mere i datatilsynets vejlendning om samtykke fra børn (afsnit 5 i denne vejledning)

Læs den her.

Trin 5: Brug af persondata i hver proces

Nu skal du redegøre for hvilke persondatatyper du har i hver enkelt proces. Det vil sige, at hvis du for eksempel har emailadresser på dine medarbejdere, skal du i HR processen skrive e-mail. Som tidligere nævnt hører persontyper som medarbejdere og jobansøgere under HR processen. Så nu skal du tage stilling til om du opbevarer emails på medarbejdere og jobansøgere, og hvis ja, så skal du skrive ned hvor (IT systemer og dataarkiver) du opbevarer dem. Et godt bud er den email-service din virksomhed bruger, eksempelvis Gmail eller Outlook. Det kan også være i systemer som Mailchimp, Dropbox og i papirarkiver du opbevarer lister med deres emails.

Andre typer af persondata du opbevarer i HR processen kan, for eksempel, også være:

  • Navne
  • Adresser
  • CV
  • Telefonnumre
  • Billeder
  • Ferie
  • Sygedage
  • Løninformationer

 

Du skal redegøre for om du har modtaget emails direkte fra personen, fra en tredjepart eller gennem profilering på andre data. Du har formentlig modtaget emailadresse direkte fra personen både af dine medarbejdere, og eksempelvis gennem en jobansøgers CV.

Når du har tilføjet de systemer du bruger til at opbevare emails, så skal du vælge hvilke formål du har med opbevaringen af emails. I HR processen er personaleadministration formentlig et formål med emails på dine medarbejdere, og rekruttering er formentlig et formål, når det kommer til jobansøgere.

Er du dataansvarlig eller databehandler af persondata? Altså er du ansvarlig for den indsamlede persondata? Eller opbevarer du den på vegne af en tredjepart (fx en anden virksomhed), for så er du databehandler. Du er kun databehandler, hvis du udelukkende agerer på instruktion fra en anden dataansvarlig/behandler. Hvis du selv bestemmer hvad du anvender data til, er du dataansvarlig.

Du skal ligeledes specificere om du overfører data til tredjeparter. En overførsel til tredjepart er, når du giver persondata til en anden dataansvarlig. Eksempelvis overfører du data til SKAT og formentligt til pensionsselskaber for dine medarbejdere. Dette er overførsel til tredjeparter og ikke databehandlere, da SKAT og pensionsselskaberne ikke bruger data på din instruktion, men til deres egne formål - og du kan heller ikke ringe til dem og bede dem om at slette data.

Derefter skal du tage stilling til hvor længe du vil opbevare denne persondata. Hvis det er et CV og en ansøgning fra en jobansøger, skal du angive hvor længe efter du har modtaget disse eller ikke skal bruge dem længere, at du sletter dem. Altså hvis det er en jobansøger som du ikke giver stillingen, så kan du vælge at sige, at du sletter ansøgning og CV seks måneder efter modtagelse eller færdig behandling. Du må ikke beholde personers CV og ansøgninger til potentielle fremtidige stillinger, medmindre du har modtaget et aktivt samtykke fra ansøgeren. Ved opsigelse af kontrakt med medarbejder, kan en virksomhed skrive i persondatapolitikken, at den sletter personoplysninger på medarbejdere, eksempelvis, en måned efter endt kontrakt.

Husk dog, at information som bruges til eksempelvis lønbogføringen kan (og skal) opbevares i 5 år i henhold til bogføringsloven. Såfremt du har flere formål med behandlingen af persondatatypen, kan du selvfølgelig vælge mere end et formål og også have forskellige opbevaringsperioder, som svarer til formålet.

Trin 6: Sikkerhed ved opbevaring af persondata

I det sidste trin i din kortlægning af persondata, skal du tage stilling til om din opbevaring af personoplysninger er tilpas sikker. De fleste virksomheder opbevarer persondata i IT-systemer, som for eksempel Google Drive, Gmail, Outlook, Mailchimp, Danløn osv. Mange anvender også arkivskabe til fysiske dokumenter som indeholder personoplysninger.

Du skal i dette trin redegøre for, om du har tilpas sikkerhed de steder, hvor du opbevarer persondata. Dvs. om du har et stærkt password på dine IT-systemer og en god og sikker lås på dit arkivskab. En generel god fingerregel for persondataforordningen er, om du selv vil føle dig sikker, hvis det var din persondata du opbevarede. Altså synes du selv, at passwordet eller låsen er stærk nok til at holde uvedkommende væk fra dine personoplysninger?

Det kan også være, at du har konsulenter eller andre partnere som behandler data for dig via outsourcing eller lignende. Disse vil du også have nævnt her og du kan specificere de sikkerhedsforanstaltninger, som du har med henblik på at sikre disse data.

Sådan anvender du denne GDPR guide

Det var de seks trin du skal igennem for at kortlægge dine opbevarede personoplysninger, så du selv kan lave dine persondatapolitikker. Hvis du er træt af at skrive det hele ned på papir, så kan du bruge ComplyTo GDPR, til nemt at lave kortlægningen.

Vores wizard guider dig igennem kortlægningen i samme rækkefølge som denne GDPR guide, og til sidst udarbejder den automatisk dine persondatapolitikker. Det er ret simpelt, og du kan selvfølgelig sidde med denne GDPR guide ved siden af.

Har du andre GDPR spørgsmål?

Hvis du har spørgsmål eller problemstillinger i forhold til persondataloven, så er du altid velkommen til at kontakte os. Du kan kontakte os gennem vores chatbot nederst i højre hjørne af hver side eller skrive en mail til [email protected].

Hvis du ønsker et brugervenligt online program til at lave dine persondatapolitikker og databehandleraftaler nemt og prisvenligt, så kan du prøve ComplyTo GDPR gratis.

Ønsker du at holde dig opdateret på nyheder, guides og tjeklister om EU persondataforordningen, så skriv dig op til vores nyhedsbrev.

Skriv dig op til vores nyhedsbrev og hold dig opdateret på GDPR

Ja tak - Send mig nyhedsbreve

Læs også

gdpr compliance ComplyTo

Få GDPR forklaret

Persondataforordningens betydning og konsekvenser for virksomheder

Lær mere her

GDPR for webshops - 8 tips og en tjekliste

Læs den her
gdpr compliance ComplyTo

Her er Datatilsynets tilsynsplan for 2018

Se hvad Datatilsynet kigger efter her

Facebooksider og GDPR - I deler ansvaret for persondata

Se hvad det betyder for dig her
Personers GDPR rettigheder

7 rettigheder personer har efter GDPR

Læs dine rettigheder her

Cookies hjælper os med at forbedre vores service. Ved at klikke videre accepterer du vores brug af cookies.