Persondataforordningen

I nedenstående ofte forekommende spørgsmål og svar kan du læse, hvordan EWII behandler og beskytter dine data, når den nye persondataforordning træder i kraft den 25. maj 2018.

Ofte stillede spørgsmål

Den nye persondataforordning træder i kraft den 25. maj 2018, og er en forordning som skal ensarte reglerne om persondatabeskyttelse på det europæiske marked. Danmark har allerede en relativt høj beskyttelse som følge af den gældende Persondatalov, men forordningen vil medføre yderligere stramninger. 
En personoplysning er et overordnet begreb, der omfatter alle oplysninger, som kan henføres til en bestemt fysisk person, såsom navn og alder, men også personfølsomme oplysninger såsom helbredsoplysninger. Det gælder også oplysninger, som først i kombination med andre oplysninger kan henføres til en bestemt fysisk person. Enkeltmandsvirksomheder omfattes også af begrebet, idet de oplysninger kan henføres til en ejer.
Behandling af personoplysninger skal ske på et lovligt grundlag. For EWIIs vedkommende betyder dette, at behandling typisk vil ske enten som et nødvendigt led i at opfylde vores aftale med dig, på baggrund af et udtrykkeligt samtykke eller på baggrund af en retlig forpligtelse, som EWII er underlagt.

EWII registrerer, opbevarer og behandler derfor alene de persondata, som du enten har givet dit udtrykkelige samtykke til, eller persondata som har relevans for den service, du modtager fra os.

Som udgangspunkt skal et samtykke altid indhentes forud for behandlingen af data. Samtykket skal være udtrykkeligt (dvs. ikke stiltiende eller underforstået), frivilligt og specificeret dvs. at formålet med behandlingen skal være beskrevet klart og tydeligt.

I praksis kan det f.eks. betyde, at du i vores selvbetjeningsløsning bliver bedt om at afkrydse et felt, der er ledsaget af en beskrivelse af behandlingen og de persondata, der indsamles.

Du kan til enhver tid trække dit samtykke tilbage for den behandling af personoplysninger, der er baseret på dit samtykke.

Du kan som kunde kræve, at dine persondata slettes såfremt, at disse ikke længere har relevans for den service, du køber hos os.
EWII anmelder brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse og om muligt inden for 72 timer. Anmeldelse kan dog undlades, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for den registreredes rettigheder eller frihedsrettigheder. Et sådant brud kunne f.eks. være, hvis persondata bliver tilgængelig for andre end de medarbejdere, EWII har givet lov til at bearbejde de pågældende persondata.

I tilfælde, hvor et brud resulterer i en høj risiko for indgreb i den registreredes rettigheder og frihed, skal EWII underrette den registrerede person herom, uden unødigt ophold.

For så vidt angår EWIIs rolle som udbyder af offentlige elektroniske kommunikationstjenester (internettjenester), så skal EWII som udgangspunkt anmelde brud på persondatasikkerheden til Erhvervsstyrelsen senest 24 timer efter at bruddet er påvist. 
Dine data er placeret i EWIIs egne systemer såvel som hos vores eksterne samarbejdspartnere i og udenfor Danmark. EWII har databehandleraftaler med alle samarbejdspartnere, der behandler persondata på EWIIs vegne, med henblik på at sikre en høj beskyttelse af dine persondata. 

I forordningen er det anført, at virksomheder må overføre data til lande uden for EU og EØS (tredjelande), når modtagerlandet sikrer et tilstrækkeligt beskyttelsesniveau. Herudover kan data overføres til tredjelande, når overførslen er nødvendig for den dataansvarliges legitime formål, og dennes interesse ikke overstiger den registrerede persons interesse.
Persondataforordningen indeholder en række regler om registreredes rettigheder. Den registreredes rettigheder omfatter bl.a. ret til indsigt i de oplysninger, der behandles om den registrerede selv, ret til at gøre indsigelse mod, at behandling finder sted, og ret til at få korrigeret eller slettet oplysninger, der er urigtige eller vildledende.

EWII er som udgangspunkt forpligtet til at besvare en evt. henvendelse inden for 1 måned.

Med persondataforordningen er der som noget nyt indført en såkaldt ret til dataportabilitet. 

Dataportabilitet betyder, at du har ret til at kræve de persondata, som virksomheden behandler, udleveret i et struktureret, almindeligt anvendt og maskinlæsbart format. Hvis det er teknisk muligt, kan EWII overføre personoplysningerne direkte til en anden dataansvarlig. Dataportabilitet kan kræves, hvor behandlingen af persondata beror på et samtykke eller nødvendigheden for gennemførelse af en kontrakt, og når behandlingen foregår med automatiske midler.

EWII sikrer, at data slettes når de er overført til anden tjenesteudbyder, hvis det ikke længere er nødvendigt at opbevare data til et bestemt formål.

Hvis en datamængde rummer muligheder for at benytte data til et andet formål end det, de blev indsamlet til, vil EWII være opmærksom på, om der er en sammenhæng mellem det oprindelige og det nye formål. 

Et andet formål er ikke uforeneligt med det oprindelige, blot fordi det er forskelligt fra det formål, persondataene i første omgang blev indhentet til. Men det kræver en vurdering i hvert enkelt tilfælde af sammenhængen mellem data og formål. Det har fx betydning for vurderingen, om de kilder og det tidspunkt, hvor data oprindeligt blev indsamlet, er kompatibel med anvendelse til det nye formål.

I den forbindelse skal EWII vurdere, hvilke konsekvenser den nye anvendelse har for de personer, den berører, og især være opmærksom på, om de data, der ønskes anvendt til det nye formål er følsomme persondata. Det afgørende er, om den planlagte nye anvendelse har konsekvenser for kunden, dvs. den faktiske databeskyttelse, samt om det er udtryk for en fair anvendelse, dvs. at det ligger inden for kundens rimelige forventning om, hvad hans eller hendes persondata vil kunne anvendes til.

Hvis en konkret vurdering viser, at det nye formål ikke er foreneligt med det oprindelige, vil EWII indhente fornyet samtykke fra kunden om brug af persondata til det nye formål.

Som dataansvarlig har EWII vedtaget interne regler om sikring af kvaliteten af de persondata, som EWII behandler. Det er fastlagt, hvem der er ansvarlig for at kontrollere, at data er korrekte og opdaterede. Endvidere er alle medarbejdere, der behandler persondata instrueret om, hvornår og efter hvilke procedurer, data kontrolleres og opdateres.
Når EWII behandler persondata, sker det på baggrund af fastlagte procedurer for tildeling af rettigheder til relevante medarbejdere, herunder kontrol med deres brug af den tildelte adgang via logning og tilsyn. 

EWII vil udpege en databeskyttelsesrådgiver (DPO) med særlig indsigt i persondatabeskyttelse. DPO’en er udpeget til at informere og rådgive om forpligtelser i lovgivningen om databeskyttelse. DPO’en vil i medfør af persondataforordningen være underlagt en række forpligtelser, herunder oplysning og uddannelse af medarbejdere, der er involveret i databehandling, ligesom DPO’en vil bistå med intern revision af processerne for behandlingen.

 

Til top