16. april 2018

Persondataforordning råd nr 1

Persondataforordningen venter lige rundt om hjørnet. Men har din virksomhed styr på, hvordan I lever op til forordningen? Frem til den 25. maj hvor forordningen træder i kraft, kan du læse Redmarks anbefalinger og 5 gode råd. Vi begynder med det 1. gode råd fra Redmarks ekspert i persondataforordningen.

Hvor starter man overhovedet? Redmarks ekspert i persondataforordningen og statsautoriseret revisor, Mark Leerdrup, giver i en serie på fem gode råd hans bud på, hvordan mindre og mellemstore virksomheder kommer tættere på målet. Det første gode råd er: Find ud af, hvilke persondata I har.
 

1. Hvad starter vi med?

”Jeg synes det hele starter med, at ledelsen gør det til en mærkesag, at virksomheden behandler persondata ordentligt. Nogle dele af arbejdet hermed kan uddelegeres, men successen afhænger i sidste ende af en ledelse, der tager ansvaret. Den ordentlige behandling af persondata, kan betyde meget for virksomhedens omdømme i forhold til både medarbejdere og kunder, og vil nok kræve ændringer af rutinerne. Men disse ændringer kan også føre til effektivisering, fordi overflødige ”det-plejer-vi”-rutiner skæres væk. Så der er altså mange gode grunde til, at ledelsen sidder med, når der analyseres, besluttes og gennemføres” fortæller Mark Leerdrup, Redmarks ekspert i persondataforordningen.

”Det næste er noget af det sværeste, og som jeg tit bliver spurgt om: hvordan skal vores persondata-dokumentation se ud – er der ikke bare en skabelon med start-til-slut? Svaret er nej. Der er kun formkrav til større virksomheder med over 250 ansatte. Men ”form-friheden” skaber faktisk større usikkerhed for de mindre virksomheder; for hvad er så godt nok? Både Datatilsynet og Erhvervsstyrelsen har efter min mening helt efterladt de mindre virksomheder i ingenmandsland og har mildt sagt kun givet mangelfuld og ustruktureret vejledning indtil videre” siger Mark Leerdrup.

”Hvis jeg skal give mit bud på noget, der kunne ligne en skabelon, så har Erhvervsstyrelsen trods alt givet et kortfattet input til en struktur på personaleområdet. Jeg har frit omarbejdet den til en oversigt, der kan bruges for en mindre privat virksomhed, og du kan downloade den her(link). Efter min mening, skal der i de fleste mindre virksomheder laves minimum to oversigter: en for personaleadministration og en for kunder. Og de kunne jo være indholdsfortegnelsen for virksomhedens persondata-dokumentation” fortæller Mark Leerdrup.   

2. Nu skal vi i gang med et eksempel

”Jeg anbefaler, at I starter med at skabe et overblik over, hvilke persondata I har – helt ned i detaljen. Det er både i forhold til en ansættelsesproces, hvor virksomheden modtager ansøgninger og CV, som jo er spækket med persondata. Men også oplysninger om de ansatte, for eksempel ansættelseskontrakt, lønoplysninger og fravær. De fleste virksomheder opbevarer også oplysninger om deres kunder, og der kan være persondata. Hvis din virksomhed er B2C, altså dine kunder er privatpersoner og ikke virksomheder, skal du have ekstra fokus på, hvilke oplysninger du har på dine kunder, også via dit website”.

”Men lad os starte med at kigge på eksemplet med ”Personaleadministration”, hvor virksomheden er dataansvarlig. Når du har downloadet oversigten, kan du udfylde de indledende afsnit med stamoplysninger. I afsnit 3a. har vi de typiske ”personkategorier”, som virksomhederne ofte har persondata på – slet eller tilføj de kategorier, som I har data på” uddyber Mark Leerdrup.  

2. Nu skal vi i detaljen

”I afsnit 3b fremgår de helt overordnede typer af persondata på personaleområdet, men som du ser, har jeg tilføjet en henvisning til bilag 1. Det er nemlig efter min mening ikke tilstrækkeligt blot at angive hovedtyperne, og du kan her (link) downloade et eksempel på bilag 1, hvor de fleste typiske persondata på personalesiden fremgår. Du kan svare ja/nej i kolonnen hertil og måske selv finde på andre data, som I har – det er vigtigt at få alle med.”

”Når I svarer ja/nej eller tilføjer andre data til bilag 1, skal I også anføre, hvem der har data. Er det bogholder, regnskabschef, HR, direktør eller….? Husk at e-mails ofte sendes frit omkring i virksomheden, så flere kan have adgang til data” uddyber Mark Leerdrup.

3. Er det rimeligt?

Mark Leerdrup fortæller, at virksomhederne kun må have persondata, der er ”need-to-have”. Omfanget af persondata skal minimeres og alle ”nice-to-have” informationer skal undgås. Det betyder desuden, at persondata skal slettes, når de ikke har eller mister deres relevans for virksomheden. Sletning er en kompleks størrelse og det kommer vi tilbage til senere i serien ”5 gode råd”.

”I næste kolonne i bilag 1 skal du svare på: er det rimeligt og er der et reelt formål med at have de enkelte persondata? Vær helt ærlig om det er absolut nødvendigt, hvis det kun er ”måske”, er der nok ikke tilstrækkelig grund til at have informationen, og det skal der laves om på. Start på en ”to-do-liste” for, hvad der skal ændres.

”Hvis I har følsomme persondata, skal I seriøst overveje, om det er absolut rimeligt og nødvendigt. Det bør tænde nogle advarselslamper hos jer fordi, der er skærpede krav til behandlingen af følsomme persondata.”

4. Videregiver vi?

Mark Leerdrup fortæller, at der som udgangspunkt, skal bygges en fuldt beskyttende ”ringmur” rundt om de persondata, som virksomheden modtager og derfor skal passe ordentligt på. Men I nogle tilfælde videregiver virksomheden persondata ud af ”ringmuren”. Når en virksomhed videregiver persondata, er det ofte iht. lov (f.eks. lønoplysninger til SKAT), eller fordi der er en fælles interesse med medarbejderen (f.eks. løn til bankkonto: begge parter vil gerne kunne gennemføre en lønudbetaling) eller er i virksomhedens rimelige interesse (f.eks. videregivelse faktura med persondata til et inkassobureau). Hvis ikke der er et af disse ”rimelige” formål, skal der oftest indhentes et skriftligt samtykke fra personen forinden videregivelse.

”Det er vigtigt at have styr på videregivelser og i næste kolonne i bilag 1 kan du skrive, om I videregiver persondata til andre og hvis ja: til hvem?”

5. Nu er du igennem 1. gode råd

Mark Leerdrup fortæller, at du nu burde være klar på, hvilke data I har, hvem der har dem, om de har et ”need-to-have” formål, og om I videregiver dem og til hvem. Du kan nu afkrydse pkt. 3.b og udfylde pkt. 4 og 5 i oversigten. Som nævnt bør du lave en tilsvarende oversigt/bilag 1 på de persondata, som I har på jeres kunder.

”Det er dog meget vigtigt at understrege, at selvom du nu har overblik over virksomhedens persondata, så er der ingen garanti for, at I behandler dem lovligt. Den vurdering kræver helt klart en indsigt i reglerne og lad mig bare som eksempel nævne, at betænkningen til persondataforordningen er på 1.200 sider. Så det er indlysende, at mine 5 gode råd naturligvis ikke er en facitliste for, hvordan I kommer helt i mål. Men du kommer et godt stykke af vejen med god struktur og mit allerbedste råd er, at du igennem hele forløbet tænker på, hvad du selv synes ville være en rimelig behandling af dine egne persondata, lytter til din mavefornemmelse og kontakter din Redmark rådgiver, når du kommer i tvivl” afslutter Mark Leerdrup.

Næste gode råd vil handle om systemer og være i forlængelse af bilag 1, som du forhåbentligvis nu har lavet. Hvor ligger de data systemmæssigt, som du nu har fundet frem til at I har? Hvordan er jeres datasikkerhed? Er du selv databehandler? Hvor skal I have databehandleraftaler? Dette er nogle af de spørgsmål, som Mark Leerdrup, Redmarks ekspert i persondata vil give sine bud på i det 2. gode råd, der kommer snart.

Har I brug for personlig rådgivning om persondataforordningen? Redmark er altid klar til at hjælpe jer. På vores hjemmeside www.redmark.dk/Specialistomraader/Persondata kan I læse mere, om den rådgivning vi tilbyder og kontaktpersoner på vores kontorer i Aalborg, Aarhus og København. I er også velkommen til at kontakte Mark Leerdrup direkte på telefon 41 96 58 79 for en uforpligtende snak, om, hvordan Redmark kan hjælpe jer.

DOWNLOAD HER:
Oversigt dataansvarlig personaleadministration.docx
Bilag 1.xlsx

Tilmeld dig vores nyhedsbrev

og modtag de seneste branchenyheder

Tak for din tilmelding

Du er nu tilmeldt vores nyhedsbrev, og du vil løbende modtage relevante nyheder om regnskab,revision, skat, moms, afgifter og økonomi generelt. Herudover vil du modtage løbende nyheder om Redmark.

Læs mere om Redmark på vores hjemmeside, og husk på, at du altid er velkommen til at kontakte os.

icon-close