5 TRIN til reglerne om persondata

Den 25. maj 2018 træder persondataforordningen i kraft. Formålet er at beskytte mod misbrug og unødvendig registrering af persondata.

Vi har udarbejdet en pixibog med 5 trin, der hjælper dig til nemt og effektivt at implementere reglerne om persondata i din virksomhed. Pixibogen indeholder også skabeloner til både intern og ekstern persondatapolitik, som kan anvendes på medarbejdere, kunder og samarbejdspartnere.

TRIN 1 - Få overblik over, hvilke persondata din landbrugsvirksomhed behandler

Alle virksomheder behandler persondata, typisk om medarbejdere, kunder og samarbejdspartnere. Første skridt er, at du danner dig et præcist overblik over de persondata, som din virksomhed er i besiddelse af.

Persondata er samtlige oplysninger, som enten direkte eller indirekte identificere en person.

Behandling af persondata omfatter alt, hvad du foretager dig med dataene. Det vil fx sige indsamling, registrering, organisering og opbevaring - både fysisk og elektronisk - og korrespondance i mails, sms'er og breve.

For medarbejdere drejer det sig bl.a. om oplysninger som navn, adresse, CPR-nummer og kontaktdata samt oplysninger om løn, pensionsforhold, fravær, skatteoplysninger, kønkontonummer og familiære forhold.

For samarbejdspartnere eller kunder kan det være telefonnummer eller mailadresse på en enkeltmandsvirksomhed eller et I/S, som di virksomhed asamarbejder med fx i forhold til drift, forpagtningsaftaler eller køb og salg af foder. Oplysninger om et selskab, fx et A/S eller ApS er ikke persondata men korrespondacne med ansatte i selskaber er omfattet af reglerne.

Langt de fleste persondata karakteriseres som almindelige oplysninger. Som arbejdsgiver vil du dog typis også behandle helbredsmæssige oplysninger i forbindelse med medarbejderens sygefravær og oplysninger om medarbejderes fagforening i forbindelse med udbetaling af g-dage. Disse oplysninger er følsomme oplysninger, og her er skærpede krav til behandlingen.

TRIN 2 - God dataskik

Når du har dannet dig et overblik over, hvilke persondata, du behandler, skal du tage stilling til, hvor disse data er placeret, og hvordan din virksomhed skal behandle disse informationer.

Opbevaring i papirform
Vi anbefaler, at du strukturerer din opbevaring af persondata i fx kartoteker, ringbind eller mapper. Vær opmærksom på, at Datatilsynet oplyser, at alle medarbejdreoplysninger skal opbevaers aflåst, når de ikke er i brug hvad enten der er tale om almindelig eller følsomme oplysninger.

Elektronisk opbevaring
Mange virksomheder opbevarer persondata elektronisk på pc. Hust, at der skal værea dgangskode på en pc eller andet elektronisk udstyr, som fx tablets, mobiltelefoner der indeholder persondata. Adgangskoder bør være personlige og bør udskiftes minimum hvert halve år. Pc med internetadgang bør have opdateret firewall og effektiv virusbeskyttelse.

Adgang til persondata
Kun personer med et sagligt behov skal have adgang til persondata. Det kan være en bogholder eller en driftsleder, som skal bruge dataene for at kunne udføre sit arbejde. Andre kan også have et sagligt behov - det afgørende er, at virksomheden kan redegøre for, hvorfor vedkommende har behov for adgang. Medarbejdere, der behandler personaleoplysninger skl have instruktion i, hvordan oplysningerne behandles og beskyttes.

TRIN 3 - Behandlingsgrundlag

Al behandling af persondata kræver en lovlig grund. Som arbejdsgiver har du ofte en lovlig grund til at behandel medarbejderoplysninger - både almindelige og følsomme. Men der er et skærpet krav til at behandle følsomme personoplysninger.

En lovlig grund til at behandle ALMINDELIGE OPLYSNINGER er ofte, at det er nødvendigt for at kunne opfylde en ansættelseskontrakt og udbetale løn. Det er også lovligt at behandle almindelige persondata, hvis du er forpligtet til det af loven, eller hvis personen har givet samtykke til behandlingen.

Det er lovligt at behandle medarbejderes FØLSOMME OPLYSNINGER som helbredsoplysninger og fagforeningsmæssige tilknytningsforhold, hvis det er nødvendigt for at kunne overholde forpligtelser i lovgivningen, fx ved sygedagpenge og g-dage. Det er også lovligt at behandle følsomme persondata, hvis personen har givet samtykke til behandlingen.

Som landmand vil du sjældent behandle følsomme persondata om kunder og samarbejdspartnere.

TRIN 4 - Dokumentations- og oplysningspligt

Persondataforordningen stiller væsentlig højere krav til, at en virksomhed kan påvise, at forordningen overholdes. Dette kaldes DOKUMENTATIONSPLIGT.

Når en virksomhed behandler en persons oplysninger, uanset om det er en medarbejder, kune, samarbejdspartner eller andre, så har personen krav på at blive informeret om formålet med behandlingen og vedkommendes rettigheder. Det kaldes OPLYSNINGSPLIGT.

Dokumentations- og oplysningspligten er meget vanskelig at overholde, hvis ikke virksomheden på forhånd har udarbejdet en skriftlig politik for behandlingen af persondata. Derfor opfordrer vi dig til at udarbejde en intern og en ekstern persondatapolitik, som beskriver, hvordan din virksomhed har tænkt sig at leve op til reglerne i forordningen.

I en persondatapolitik beskriver du bl.a.:

• Hvilke persondata virksomheden behandler og til hvilket formål
• Hvad behandlingsgrundlaget er
• Om virksomheden videregiver oplysninger til tredjemand
• Hvordan virksomheden opbevarer persondata, og hvor længe de opbevares
• Hvilke rettigheder personerne, som du behandler data om, har

SKABELON til intern persondatapolitik, som kan anvendes på medarbejdere

Det er vigtigt, at virksomheden kan dokumentere, at medarbejderen er gjort opmærksom på persondatapolitikken. Det kan du fx gøre ved at henvise til virsomhedens persondatapolitik i ansættelseskontrakten eller du kan lave et tillæg til ansættelseskontrakten, som medarbejderen underskriver.

SKABELON til ekstern persondatapolitik, som kan anvendes på kunder og samarbejdspartnere

For at overholde dokumentations- og oplysningspligten kan du sende et eksemplar af persondatapolitikken til en kunde eller samarbejdspartner første gang, du indgår en kontrakt og ellers sende et eksemplar til eksisterende kunder og samarbejdspartnere. Hvis din virksomhed har en hjemmeside, kan du lægge persondatapolitikken her, og henvise til den i mails eller breve.

TRIN 5 - Videregivelse af persondata

Du er som arbejdsgiver DATAANSVARLIG for de persondata, du opbevarer og behandler. Det samme gør sig gældende for de persondata, du behandler om dine kunder og samarbejdspartnere.

Når du videregiver persondata til en anden virksomhed for at de kan udføre en bestemt opgave, er denne virksomhed enten dataansvarlig eller DATABEHANDLER. Dette afhænger at en konkret - og til tider vanskelig - vurdering af instruksen, og hvor selvstændigt opgaven udføres. Hvis du er den dataansvarlige, og den anden virksomhed er databehandler, skal du sørge for at indgå en skriftlig aftale med databehandleren om opgaven. dette kaldes en DATABEHANDLERAFTALE.

En databehandleraftale skal bl.a. beskrive, hvilke typer af data som videregives, formålet med videregivelsen og hvor længe persondata videregives.

Du har som dataansvarlig ansvaret for, at databehandleren behandler de overdragne persondata korrekt.

Når du overgiver oplysninger til en myndighed, som i lovgivningen er forpligtet til at behandle dem fx ved en skatteansættelse, behandling af pesticid- eller gødskningsregnskaber eller refusions- og støtteansøgninger, så er myndigheden dataansvarlig. I disse situationer skal du IKKE udarbejde en databehandleraftale, fordi det er den dataansvarliges eget ansvar, at data behandles korrekt.

Når du videregiver persondata til e ekstern serviceudbyder fx en DLBR-virksomhed, et lønbureau eller en revisionsvirksomhed, vil det ofte være nødvendigt med en databehandleraftale, men det afhænger af en konkret vurdering i situationen.

Eksempler på situationer, hvor det ofte er nødvendigt at indgå en databehandleraftale med en serviceudbyder:

• Udbud og hosting af softwareløsninger
• Bogføringsservice
• Budget og opfølgning
• Betalinger
• Lønservice

Eksempler på situationer, hvor det ikke altid er nødvendigt at indgå en databehandleraftale:

• Udarbejdelse af regnskab
• Påtegning og revisionsdokumentation ifm. revision
• Selvangivelser ifm. revision
• Sagsbehandling, fx juridisk rådgivning

Da der kan være tale om grænsetilfælde, bør du for en sikkerheds skyld drøfte rollerne med din serviceudbyder, og er du i tvivl om rollerne, anbefaler vi, at I udarbejder en databehandleraftale for en sikkerheds skyld. Serviceudbyderen vil i langt de fleste tilfælde kunne hjælpe dig med det.