Den 14. april 2016 vedtog Europa-Kommissionen en forordning om beskyttelse af personoplysninger, som både gælder for den offentlige og den private sektor. Forordningen træder i kraft den 25. maj 2018, og har på det tidspunkt direkte virkning over for private virksomheder i Danmark. Det vil sige, at vi alle skal indstille os på de nye regler, som fremgår af persondataforordningen.

Fra Justitsministeriets side har man meldt ud, at man forventer at kunne publicere en vejledning om, hvordan de forskellige begreber i persondataforordningen skal fortolkes, i slutningen af april i år. Men der er faktisk en hel del, din virksomhed kan gå i gang med allerede nu.

Det første spørgsmål, I som virksomhed bør stille jer selv, er: Betragtes de informationer, vi ønsker at behandle, som personoplysninger, således at de er omfattet af forordningen?

For at finde ud af det, er I nødt til at klarlægge, hvilke personoplysninger I som virksomhed behandler i de forskellige afdelinger, og med hvilket formål I behandler disse oplysninger. Hvis I ikke allerede har gjort dette, så vil et godt sted at starte være at få klarlagt, hvilke informationer der kommer ind i virksomheden, altså hvilke dataflows I har.

Tænk årshjul ind i dataflowet

Sørg for, at I kommer alle hjørner af jeres organisation rundt, og overvej, hvilke informationer I modtager, og hvad der sker med denne information. Hvis det for eksempel er jeres reception, der skal undersøges, så kan det være relevant at overveje, hvilken information der modtages her, og hvad I gør med den pågældende information.

Hvad sker der eksempelvis, når I modtager en klage fra en lejer pr. brev eller e-mail? Hvad sker der, når I modtager en telefonbesked fra en andelshaver? Eller hvad sker der, når I aftaler et møde i huset, hvor en af mødedeltagerne sidder i kørestol?

Her er det nødvendigt at få klarlagt, om informationen bliver gemt i for eksempel et sagssystem, da det at gemme informationen er ensbetydende med, at I behandler data. Når de forskellige organisationer i jeres virksomhed klarlægges for dataflows, så kan det være relevant at tænke jeres årshjul med ind i dataflowet. For eksempel hvilken data I modtager i forbindelse med afholdelse af generalforsamlinger, og hvad I bruger denne data til.

Alle disse dataflows kan bruges til at lave en fortegnelse over jeres behandlingsaktiviteter, så I kan klarlægge, hvad I skal sørge for, når forordningens regler skal overholdes.

Hvornår må man behandle persondata?

Der må alene ske behandling af persondata, hvis behandlingen er lovlig. Det vil sige, at I skal have en hjemmel, der berettiger til behandlingen. Hovedreglen i persondataforordningen er, at medmindre det udtrykkeligt er skrevet, at behandlingen er tilladt, så er behandlingen forbudt. Hjemlen fremgår som udgangspunkt af artikel 6, men også artikel 9 og 10 indeholder behandlingshjemmel. 

I henhold til forordningen skal behandlingen enten være nødvendig af hensyn til en i forordningen oplistet årsag, eller den registrerede skal have givet samtykke til behandlingen. I henhold til forordningen er behandling nødvendig i følgende tilfælde: Til opfyldelse af kontrakt, for at overholde en retlig forpligtelse, for at beskytte den registreredes vitale interesser, for at udføre en opgave i samfundets interesse, samt for at den dataansvarlige kan forfølge en legitim interesse.

Det er samtidig vigtigt at overveje, hvad jeres formål er med indsamlingen af persondata, idet behandlingen af data skal være for at opfylde det formål, som I har indhentet dataene til. Det vil sige, at hvis I har fået samtykke til at behandle nogle data, så kan I ikke bruge de indhentede data til noget, I ikke har fået samtykke til, uden at I indhenter et nyt samtykke, der omfatter det nye forhold.

Hvad er kravene til indhentelse af samtykke?

Den registrerede må ikke være i tvivl om, hvad vedkommende giver samtykke til, eller at vedkommende giver et samtykke til behandling af sine persondataoplysninger. Derfor må et samtykke for eksempel ikke gemmes væk i en kontrakt, der vedrører alt muligt andet. Dette kan der dog afviges fra ved at fremhæve samtykket, så det klart og i et enkelt sprog kan skelnes fra de øvrige kontraktforhold.

Den registrerede skal have mulighed for at tilbagekalde sit samtykke, hvilket skal oplyses i forbindelse med afgivelse af samtykket. Det er jer som virksomhed, der har bevisbyrden for, at der er indhentet det fornødne samtykke til behandlingen, og der er således ikke nogen undskyldning for ikke at få samtykket indhentet.

I forhold til persondataforordningen er det kun tilladt at behandle (herunder opbevare) information, som er nødvendig til det pågældende formål. Efter I har klarlagt jeres dataflows, er det derfor tid til at overveje, om det overhovedet er nødvendigt at gemme informationen i sagssystemet. Hvis det ikke er det, så bør informationen blive slettet.