Få styr på persondataforordningens fire hjørnesten og undgå millionbøder

Det har altid været en virksomheds pligt at opbevare personfølsomme data trygt og sikkert, men de nye regler og krav i persondataforordningen (GDPR), der trådte i kraft den 25. maj 2018, kommer for alvor til at ændre måden, hvorpå virksomheder fremover indsamler, gemmer og bruger kundedata på. 

Mange af forordningens regler, begreber og principper er kendt fra den nuværende persondatalov. 

Alligevel er det blevet nødvendigt at skærpe forordningen med nye tilføjelser og forpligtelser for at styrke beskyttelsen af personoplysninger, og den enkeltes rettigheder over for de virksomheder, myndigheder og foreninger, som behandler personoplysninger om vedkommende.

Få overblik over fire hjørnesten i persondataforordningen 

Her får du et overblik over de fire vigtigste hjørnesten, så du kan gardere dig mod de millionbøder, du risikerer at få fra Datatilsynet, hvis du overtræder forordningen. 

1. Databehandleraftalen 

Databehandleraftalen har længe ligget klar i Danløn. Den udgør et klart aftalegrundlag mellem os og dig som virksomhed. 

Hvis du administrerer løn for andre gennem Danløn, betyder det også, at du med databehandleraftalen kan sikre dig et korrekt aftalegrundlag med dine kunder. 

Aftalen bliver løbende opdateret, og vi sørger for, at du får besked om det hver gang, der er en ny aftale. 

2. Pligten til at logge handlinger 

Alle handlinger i et system, som indeholder personfølsomme data, skal logges. En såkaldt log er registrering af handlinger, der er foretaget i et system. 

Det kan eksempelvis være dine handlinger i Danløn, en ændring i en database, opdateringer af software eller nedbrud og fejl i it-systemer. 

Danløn sørger for at logge alle handlinger, du foretager dig, når du er logget ind i Danløn. Så har du altid overblik over, hvem der gør hvad i systemet. 

3. Retten til at blive glemt  

Den registrerede, som i dit tilfælde er dine medarbejdere, har ret til at få sine oplysninger slettet, når vedkommendes persondata ikke længere er relevant for det formål, de oprindeligt blev indsamlet til. 

Det kan eksempelvis være, hvis dine medarbejdere ikke længere er tilknyttet din virksomhed. Som virksomhed skal du senest fem år efter fratrædelsen slette deres persondata. 

Hvis der tikker en sletteanmodning ind, eller et samtykke til indsamling af data bliver tilbagekaldt, skal du også slette oplysningerne. 

GPS tracking-data skal du slette senest efter 30 dage, mens sager om arbejdsmiljø skal være slettet senest efter 20 år. 

4. Retten til dataportabilitet 

Dataportabilitet betyder, at den registrerede har ret til at få udleveret alle persondata, som din virksomhed har om vedkommende. 

Den registrerede har også krav på at få flyttet sin persondata fra en virksomhed, organisation, myndighed eller leverandør til en anden, eksempelvis ved jobskifte. 

Det er din opgave som virksomhed at sørge for, at personoplysninger bliver sendt til dine medarbejdere i et anvendt og maskinlæsbart format. 

Læs mere om dine medarbejderes ret til dataportabilitet. 

Forsømmer du dine forpligtelser, kan det blive en dyr fornøjelse 

Det kan komme til at koste dig kassen med udsigt til en millionbøde, hvis du ikke efterlever persondataforordningens regler og krav. 

Datatilsynet har fastsat to bødeniveauer, hvor den laveste bøde svarer til 2 % af virksomhedens globale omsætning eller 10 millioner Euro. Den højeste bøde svarer til 4 % af virksomhedens globale omsætning eller 20 millioner Euro. 

Danløn understøtter alle fire ovennævnte forordningsregler. Det vil sige, at Danløn både registerer, hvem der gør hvad i systemet, men giver dig også mulighed for at slette og eksportere tidligere medarbejderes persondata. 

Få helt styr på disse fire hjørnesten, inden den nye persondataforordning går i luften, og helgarder din virksomhed mod de syvcifrede bøder.