+45 46 92 92 00

Send sikker mail

Find medarbejder
Find medarbejder

Persondata i forsyningsselskaber

ABB.jpg
af advokat Ann Bruun Birk
23-09-2016

Persondata er blevet et meget omtalt emne siden den nye persondataforordning blev vedtaget.

Persondataforordningen træder i kraft i maj 2018, og forinden denne dato skal lovgiver have ændret et stort antal love, herunder særligt persondataloven.

Det er imidlertid ikke kun lovgiver, der får travlt, for private virksomheder, offentlige institutioner m.v. skal også forinden denne dato have indrettet deres persondatabehandling, således reglerne i den nye forordning efterleves.

Persondataforordningen medfører en række ændringer, hvoraf en af de meget omdiskuterede er risikoen for bøder på op til 20.000.000 EURO eller op til 4 % af den samlede globale omsætning, såfremt dette beløb er højere.

En anden af de mange ændringer, er at dataansvarlige, herunder selvfølgelig også forskningsvirksomheder, skal udarbejde en række skriftlige dokumenter, samt kunne dokumentere at de overholder persondataforordningen.

Der skal blandt andet udarbejdes en fortegnelse over jeres behandling af personoplysninger.

Denne skal fx indeholde kategori af personoplysninger, formål med behandling, hvilken hjemmel I har til behandlingen, hvornår oplysningerne vil blive slettet, sikkerhedsforanstaltninger, om oplysningerne vil blive videregivet m.v.

En behandling i persondataretligforstand er både indhentelse, opbevaring samt videregivelse af personoplysninger.

Der skal altid hjemmel til en behandling af personoplysninger, ligesom behandlingen skal være i overensstemmelse med god databehandlingsskik.

God databehandlingsskik er blandt andet, at behandlingen skal være rimelig og lovlig, behandling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, der må kun behandles relevante og nødvendige oplysninger, oplysningerne skal ajourføres og der skal føres kontrol, og oplysningerne skal slettes, såfremt de ikke længere er nødvendige.

Forsyningsselskaber behandler en række forskellige personoplysninger. Her kan særligt nævnes medarbejderoplysninger samt oplysninger om forsyningsselskabets kunder.

Personaleadministration

Medarbejderoplysninger behandles båd før, under og efter ansættelsesforholdet. Dette kan fx være i forbindelse med rekrutteringen af medarbejderen, personlighedstest, ansættelseskontrakten, advarsel, opsigelse, bortvisning, registrering af sygefravær, kontrol af medarbejdere, interne mails i organisationen, eksterne mails, afgivelse af reference til andre arbejdsgivere m.v.

I den nuværende persondatalov er det et krav, at personaleadministrationen skal anmeldes til Datatilsynet, hvis der behandles følsomme oplysninger. Følsomme oplysninger kan blandt andet være en bortvisning eller eksempelvis en medarbejders konkrete sygdom.

Der er med persondataforordningen lagt op til, at anmelderordningerne skal afskaffes, hvorfor det forventes, at der pr. maj 2018 ikke kræves anmeldelse af
personaleadministration.

Persondataforordningen indeholder hjemmel til, at der inden for ansættelsesforhold kan indsættes særskilte nationale regler. Det forventes derfor, at der kommer særskilte bestemmelser for behandling af medarbejderoplysninger.

Persondata skal blandt andet indtænkes i jeres politikker om hjemmearbejdspladser, arbejdsmæssig brug af smartphone, kontrol af e-mails, logning af internetbesøg, behandling af fratrådte medarbejders e-mails konti, samt jeres offentliggørelse af billeder og oplysninger om medarbejdere på internettet fx
jeres hjemmeside.

I forbindelse med klarlæggelse af jeres behandling af medarbejderoplysninger, kan I hente hjælp i Datatilsynets 12 minimumskrav til personaleadministration:

  1. Beskrivelse af hvordan personaleoplysninger beskyttes i personaleadministration og hvorledes man i praksis har implementeret nedenstående punkter. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne.
  2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.
  3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.
  4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort m.v.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.
  5. Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
  6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
  7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier.
  8. PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret.
  9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.
  10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.
  11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.
  12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale m.v. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.

Kundeoplysninger

Forsyningsselskaber behandler selvsagt også oplysninger om deres kunder, herunder private kunder. Denne behandling skal ligesom ved medarbejderoplysninger have hjemmel i persondataloven.

Ved behandlingen af kundeoplysninger skal forsyningsvirksomheder således som ved medarbejderoplysninger blandt andet klarlægge, hvilke former for oplysninger der behandles, hvorfor de behandles, er der hjemmel til denne behandling, bliver oplysningerne videregivet til andre selskaber eller kommunale myndigheder m.v.

Derudover skal forsyningsvirksomhederne klarlægge, hvorvidt de opfylder betingelserne for oplysningspligt til de registrerede, samt at der ikke behandles og opbevares forkerte oplysninger, eller oplysninger som ikke længere er nødvendige og derfor i følges persondataloven skal slettes.

Derudover er det vigtigt at være opmærksom på, at når forsyningsselskaber videregiver personoplysninger til eksempelvis koncernforbundne selskaber, sker der en behandling i persondatalovens forstand. Dette medfører, at selve videregivelsen skal have hjemmel i persondataloven, ligesom oplysningspligten over for den registrerede skal iagttages.

Der skal ligeledes indgås databehandleraftaler med de virksomheder eller offentlige institutioner, som behandler data for forsyningsselskabet, ligesom forsyningsselskabet skal føre kontrol med at databehandleren opfylder kraverne i persondataloven.

Er der eksempelvis et koncernforbundet selskab, der varetager forsyningsselskabets medarbejderadministration eller eksempelvis inddriver fordringer, skal forsyningsselskabet indgå databehandleraftaler med disse selskaber.

Hvad skal der gøres?

Som forsyningsselskab og dataansvarlig skal I allerede nu begynde at klarlægge jeres behandling af personoplysninger, herunder både medarbejderoplysninger og kundeoplysninger.

I kan eksempelvis begynde med at få klarlagt, hvilke oplysninger I behandler, hvor og hvordan de behandles, til hvilket formål behandles de, hvilken hjemmel har I til behandlingen, overveje hvorvidt der skal indhentes samtykke fra medarbejderne eller kunderne til behandling, om I overholder jeres oplysningspligt til medarbejderne, hvor længe kan I opbevare oplysningerne osv.

Derudover er det vigtigt at få instrueret jeres medarbejdere i, hvorledes personoplysninger skal behandles på arbejdspladsen, herunder begrænse adgangen til personoplysninger til de få medarbejdere, som har behov for at tilgå disse.

Desuden skal visse forsyningsselskaber overholde reglerne i offentlighedsloven fx om aktindsigt, hvilket også har betydning i forhold til blandt andet videregivelse af personoplysninger.

Vi hjælper jer gerne med at danne dette overblik over jeres persondatastrømme og få jeres virksomhed compliant
med persondataloven og den nye persondataforordning.

Brug for mere information om persondata i forsyningsselskaber?

Har du spørgsmål til persondata, er du velkommen til at kontakte vores team for persondata her>>>

Er du gået glip af vores øvrige nyheder? Fortvivl ej, du finder dem allesammen her>>>