Er du klar til den nye EU-persondataforordning?
Tiden er knap, og om lidt træder den nye EU persondataforordning i kraft. Fra d. 25. maj 2018 bliver den nye persondataforordning også gældende i dansk ret. Du har helt sikkert styr på, at der, med de skærpede krav til behandling af personoplysninger, også medhører temmelig høje bødeniveauer ved overtrædelse af reglerne. Vi kan som revisorer hjælpe dig på vej med korte opsummeringer og links til relevante nyheder, så du er bedst muligt forberedt.
Hvilke regler gælder om persondata?
At du overholder reglerne er fuldstændigt dit eget ansvar. Det gælder både, hvis du er dataansvarlig og databehandler. Det kan derfor være en fordel at udvikle en persondatapolitik for at sikre overholdelse af reglerne.
Se eksemplerne på en række vigtige regler herunder:
- Retten til at modtage oplysning om indsamling af persondata
- Retten til at få indsigt i persondata, når det er data, som personen ikke selv har afgivet
- Retten til at få urigtige persondata berigtiget
- Retten til at få persondata slettet
- Retten til fortrolig behandling af persondata
- Retten til at få udleveret persondata (dataportabilitet) i et digitalt læsbart format
- Retten til at tilbagekalde samtykke til behandling af persondata
Hvad er systemsikkerhed om persondata?
Erhvervsstyrelsen har lavet et IT-sikkerhedstjek, hvor du kan sikre fortroligheden af den persondata, som din virksomhed ligger inde med. Det er simpelthen en sikring af god IT-sikkerhed og god IT-skik.
- Foretag en risikovurdering af dine persondata
- Iværksæt organisatoriske foranstaltninger. Det kan eksempelvis være kontrol af passwords, adgangssystemer og fysiske medier
- Iværksæt tekniske foranstaltninger – eksempelvis firewalls, kryptering og sikring mod virus
Privacy-kompasset – et godt værktøj til at komme på plads med reglerne om persondata
Privacy-kompasset er et online spørgeskema/værktøj, der er udarbejdet af Erhvervsstyrelsen til at hjælpe virksomheder med at efterleve kravene i persondatalovgivningen – samt guide virksomheder i deres håndtering og brug af persondata. Igennem privacy-kompasset foretages en evaluering, og der er mulighed for efterfølgende at få udarbejdet en privatlivspolitik.
Revision Limfjords rolle
Revision Limfjord kan være både databehandler og dataansvarlige i relation til vores kunder. Når vi laver en erklæringsopgave, eksempelvis revision af regnskabet eller lignende, er vi dataansvarlige. Det betyder, at vi har ansvar for de data, vi indsamler, og vi har dermed også ansvar for at opbevare oplysningerne sikkert. I det tilfælde skal du ikke have en databehandleraftale med Revision Limfjord.
Hvis vi derimod assisterer med indberetningen af løn eller med bogføring, ansøgning om sygedagpenge med videre, hvor vi behandler nogle oplysninger ud fra jeres instrukser, så er vi databehandlere – og så du skal have en databehandleraftale med Revision Limfjord.
Et eksempel: Hvis I giver os besked om, at medarbejder A har haft X timer, og medarbejder B har haft Y timer, så indtaster vi de timer, I oplyser til os, i lønsystemet – altså vi behandler oplysningen ud fra jeres instruktion, og vi er dermed databehandler.
Hvis vi derimod, som et led i vores revision, indhenter lønsedler på nogle medarbejdere, så er det os, der bestemmer, hvordan vi behandler oplysningen, da det er til brug for vores revision – og så er vi dataansvarlige, og du skal ikke have en databehandleraftale med os.
Link til EU’s persondataforordning
Link til dansk lovforslag om supplerende bestemmelser til forordningen