Persondata

Der er i 2016 vedtaget nye regler for behandling af personoplysninger i form af persondataforordningen, som trådte i kraft den 25. maj 2018, hvilket betyder at persondataforordningen afløste vores dagældende persondatalov den 25. maj 2018. 

Af samme årsag har folketinget den 17. maj 2018 vedtaget en ny persondatalov kun indeholdende supplerende bestemmelser til persondataforordningen, som ligeledes er trådt i kraft den 25. maj 2018. 

Frem til den 25. maj 2018 blev behandling af persondata reguleret af den dagældende persondatalov, der havde implementeret et EU-direktiv om persondata i 2000. Persondataforordningen viderefører mange af de regler, der allerede fremgik af persondatadirektivet. Mange af reglerne er derfor ikke nye. 

Persondataforordningen regulerer behandling af personoplysninger, samt automatisk databehandling eller behandling i et register.

 

Datatilsynet har udarbejdet diverse vejledninger om persondataforordningen, som kan læses på denne hjemmeside:

https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/

 

Grundlæggende viden

Læs vores korte artikel med almindelig viden om persondata

 

Hvordan kan jeg forberede ejerforeningen på persondataforordningen?

Alle virksomheder, der behandler persondata, skal overholde persondataforordningen - uanset størrelsen på virksomheden.

Mange af de informationer, vi ønsker at behandle i forbindelse med administration af ejendomme, betragtes som personoplysninger, således at de er omfattet af persondataforordningen. 

Det er ikke muligt at lave en samlet løsning for hvad der skal til for at alle medlemmer af Ejendomsforeningen Danmark overholder persondataforordningen, idet dette afgøres individuelt for hver enkelt virksomhed, og dette kan være meget forskelligt fra virksomhed til virksomhed. 

For at finde ud af, hvad der er behov for at gøre I jeres virksomhed er det derfor nødvendigt at finde ud af, hvilke persondata I behandler og hvorfor I behandler dem, ligesom der skal skrives nogle interne regler for hvordan I behandler persondataene og hvordan I sikrer "den registreredes" rettigheder. 

  1. Nedsæt en projektgruppe

Start med at nedsætte en projektgruppe.

Projektgruppen bør danne sig et overblik over, hvilke regler som skal efterleves for at I overholder persondataforordningen, ligesom projektgruppen sammen med ledelsen bør være ansvarlig for at virksomheden overholder persondataforordningen. 

  1. Få et overblik over, hvilke persondata I har i virksomheden

For at finde ud af hvad der skal til for at overholde persondataforordningen er det nødvendigt at vide, hvilke persondata, der behandles i jeres virksomhed. Derfor er man nødt til at klarlægge, hvilke personoplysninger man som virksomhed behandler i de forskellige afdelinger, og med hvilket formål man behandler disse oplysninger.

  1. Find ud af om I overholder persondataforordningens regler

Når I har fået klarlagt jeres data, så er det tid til at overveje

     a) Hvad er formålet med indsamlingen af dataene? 

Formålet har betydning for om I må behandle dataene. Derfor skal I forholde jer til hvad formålet med indsamlingen af persondata er. Hvis I behandler dataene som følge af lovregler eller til opfyldelse af kontrakt, så er det et lovligt formål, og så må man gerne behandle dataene. 

I langt de fleste tilfælde er formålet med indsamlingen af persondataene, at vi skal bruge disse data til at opfylde administrationsaftalen, og dermed varetage administrationen af kundens ejendom, herunder foretage huslejeopkrævninger m.v.

Hvis I ikke har lovregler eller kontrakt som hjemmelsgrundlag kan lovlig behandling af persondata ske på baggrund af et samtykke. Her skal det så vurderes hvad kravene er til et gyldigt samtykke. Det kommer an på hvilke data I behandler.

     b) Vurder om den indsamlede mængde af persondata er nødvendig i forhold til jeres formål om at administrere kundens ejendom

Det er ikke tilladt at indhente flere persondata end nødvendigt. Hvis I har indhentet flere persondata end det er nødvendigt til opfyldelse af administrationsaftalen, så er der fare for, at I ikke overholder persondataforordningens regler.

     c) Ryd op i oplysninger, som er forældede, irrelevante eller ikke længere tjener et formål

Her skal I forholde jer til om det er nødvendigt at gemme alle de personoplysninger, som I gemmer i jeres system. Det er det ofte, men det skal der sættes ord på, så I kan dokumentere, hvorfor det er I gemmer disse oplysninger. 

Grunden til at I gemmer personoplysningerne kan fx være for at sikre udfaldet i en retstvist.

     d) Dokumenter at I overholder de grundlæggende principper i persondataforordningen

Det er jer der skal dokumentere, at I overholder persondataforordningen. Derfor bør I skrive jeres interne retningslinjer ned for hvordan I indsamler og behandler persondata hos jer.

     e) Kortlæg hvilke sikkerhedsforanstaltninger I har til beskyttelse af persondata

I bestemmer som udgangspunkt selv, hvilke sikkerhedstiltag I vil anvende for at for at beskytte dataene, men det skal være passende i forhold til jeres virksomhed og den risiko der kan være forbundet for "den registrerede", hvis der sker et læg af dataene.

Sikkerhedsforanstaltninger kan fx være en begrænset adgang for personalet, passwords, firewall, kryptering af oplysninger, pseudonymisering af oplysninger osv. 

Sørg for at skrive ned, hvilke sikkerhedsforanstaltninger I har taget, så I kan redegøre for, om det er passende i både teknisk og organisatorisk forstand.  

Datatilsynet har udarbejdet standardvilkår til behandling af følsomme oplysninger som led i personaleadministration, ligesom der gælder særlige krav til anvendelse af cloud-baserede-løsninger.

     f) Udarbejd retningslinjer for hvordan I håndterer "de registreredes" rettigheder

Gennemgå jeres eksisterende procedurer for, hvordan I håndterer henvendelser fra "de registrerede" med indsigtsbegæringer, diverse henvendelser om sletning og berigtigelse af data, samt jeres opfyldelse af oplysningspligten. Sammenhold jeres eksisterende procedurer med persondataforordningens regler, og lav tilpasninger, hvis det er nødvendigt. Hvis procedurerne ikke allerede er skrevet ned, så bør I sørge for at det sker, så I kan dokumentere jeres procedurer, hvis tilsynet kommer på besøg.

     g) Få et overblik over hvilke underdatabehandlere I har

Det er et krav, at I har indgået en databehandleraftale, såfremt I behandler data på vegne af andre. Alle ejendomsadministratorer behandler data på vegne af kunden, men nogle opgaver har vi udliciteret til en tredjepart, fx en forsyningsvirksomhed der udarbejder forbrugsregnskab for os. I disse tilfælde vil der være tale om, at vi bruger underdatabehandlere, og dem skal vi sørge for at der er indgået en databehandleraftale med. 

Ejendomsforeningen Danmark er ved at udarbejde en databehandleraftale, der er tilpasset branchen. Denne databehandleraftale vil være tilgængelig primo 2018.

     h) Overvej om I overfører data til udlandet

Nogle administratorer har kunder i udlandet, andre har bestyrelsesmedlemmer i udlandet, og andre igen har medarbejdere der "arbejder hjemmefra" mens de er på ferie i udlandet. 

Overførsel af persondata til EU-lande kræver ikke særlige forholdsregler. Men overfører i data til lande uden for EU, så skal der være et tilstrækkeligt beskyttelsesniveau for overførslen.

I bør tage stilling til om I overfører persondata til lande uden for EU. Hvis I gør det, så skal I også tage stilling til på hvilket grundlag I gør det, og det anbefales at søge ekstern rådgivning for at få afdækket om jeres sikkerhedsforanstaltninger er tilstrækkelige.  

     i) Udarbejd en rapport

På baggrund af jeres overvejelser i punkt a-h kan I lave en opsamlende rapport, hvor I får kortlagt, hvordan I behandler persondata i jeres virksomhed. Denne rapport kan også bruges som dokumentation for, at I behandler persondata forsvarligt.  

Hvis I ønsker input til udarbejdelse af jeres rapport, så har Kammeradvokaten, Erhvervsstyrelsen og Datatilsynet alle lavet et elektronisk spørgeskema, der kan hjælpe med afklaringen af, hvad I skal fokusere på I jeres arbejde med at overholde persondataforordningen. 

  1. Handlingsplan

Når I har forholdt jer til om I overholder persondataforordningen, så skal I overveje på hvilke punkter, der er behov for handling i forhold til at overholde persondataforordningen. Det kan fx være at der skal udarbejdes processer og kontroller til at sikre overholdelse af slettefrister. Eller fx at I skal sikre jer, at der er indgået databehandleraftaler med jeres underdatabehandlere.

I første omgang handler det ikke om at tage stilling til, hvem og hvordan handlingspunkterne skal opfyldes, men blot om at få et samlet overblik over, hvad der skal gøres. 

Som et led i overvejelserne om, hvilke forhold, der kræver handling, kan I med fordel foretage en risikovurdering af, hvor alvorligt det vil være for "den registrerede", hvis I ikke overholder persondatareglerne. I den forbindelse skal I være opmærksomme på, at hvis der er forhold, som I ud fra en risikobetragtning ikke mener, at det er nødvendigt at gøre noget ved, så skal I sørge for at skrive jeres risikovurdering ned, så I kan dokumentere, at I har overvejet forholdet, og fundet at risikoen for den registrerede var lav. 

I bør være realistiske i jeres overvejelser om, hvilke områder I vil prioritere, så I sikrer, at I når i mål med handlingsplanen. Her kan risikovurderingen også hjælpe i forhold til, hvilke opgaver der skal prioriteres først.  

Hvis I allerede har nedskrevet nogen processer for ejendomsadministration, hvidvaskdokumentation e.l. så sørg for at disse processer også bruges, når I overvejer persondatareglerne, så det fortsat kun er ét regelsæt, der skal følges og ikke flere sideløbende regelsæt. 

  1. Implementering

På baggrund af handlingsplanen skal I udarbejde de fornødne interne regler og uddanne jeres personale, så de kender og overholder jeres regelsæt for behandling af persondata.  

Hvis I ikke har en nedskrevet intern forretningsproces, så anbefaler Ejendomsforeningen Danmark, at I udarbejder følgende: 

  • En allonge til jeres administrationsaftale, hvor I aftaler nærmere, hvad der skal være aftalen om behandling af persondata med jeres kunde
  • En privatlivspolitik, hvor I orienterer jeres kunders kunder om alt, hvad der er relevant at vide I forhold til, hvordan I behandler persondata i jeres virksomhed. Det anbefales, at der særskilt laves en privatlivspolitik henvendt til lejere, en privatlivspolitik henvendt til andelshavere, og en privatlivspolitik til ejere, da det er her vi opfylder vores orienteringsforpligtelse (Paradigma på en privatlivspolitik kan findes  i shoppen på Ejendomsforeningen Danmarks hjemmeside). 
  • En intern instruks, hvor I redegør for, hvordan man i jeres virksomhed skal agere på de forskellige situationer, der reguleres af persondataforordningen, fx
    • Hvad er god digital adfærd hos jer (Paradigma med inspiration til god digital adfærd kan findes i shoppen på Ejendomsforeningen Danmarks hjemmeside.)
    • Hvordan behandler I rettighedsanmodninger
    • Hvad er jeres beredskabsplan i tilfælde af læk af persondata (Husk fristen er 72 timer i forhold til at orientere Datatilsynet)
    • Slette instruks for hvornår persondata skal slettes
    • Hvornår man som medarbejder skal overveje om der skal udarbejdes en konsekvensanalyse (og hvem man evt. skal kontakte i den forbindelse)
    • Hvornår man som medarbejder skal overveje om der skal udarbejdes en art. 30-fortegnelse (og hvem man evt. skal kontakte i den forbindelse)
    • Diverse persondataretlige overvejelser, der skal kunne dokumenteres, hvis Datatilsynet kommer på besøg. Fx hvorfor I ikke har en DPO, og hvordan I fører tilsyn med jeres (under-) databehandlere. (Disse overvejelser kan man også skrive i et selvstændigt dokument, hvor I kun har ledelsesmæssige overvejelser, der ikke er relevante for jeres medarbejdere)

 

Det er afgørende, at I gør jeres medarbejdere opmærksomme på persondata i virksomheden, og formidler nye procedurer og sikkerhedstiltag på en sådan måde, at alle kan forholde sig til det. 

  1. Løbende kontrol og uddannelse af medarbejdere

Når I har gennemført jeres undersøgelse af om I overholder persondataforordningens regler, og har iværksat interne regler, der sikrer overholdelse af persondataforordningen fremadrettet, er det vigtigt, at I løbende kontrollerer, at I stadigvæk overholder persondatareglerne. 

Hvis I ikke overholdt persondataforordningens regler, da I nedsatte jeres projektgruppe, så er der blevet ændret i jeres interne forretningsgang. I bør derfor kontrollere, at de nye retningslinjer fungerer efter hensigten, og at jeres medarbejdere rent faktisk følger jeres retningslinjer. 

I den forbindelse vil lettilgængelige og forståelige guidelines samt løbende undervisning af medarbejderne hjælpe med til at retningslinjerne bliver overholdt. 

 

 

 

Juridisk Rådgivning

Tlf. 33 12 25 34

Kl. 12.30 - 15.30
Der er tale om telefonisk
rådgivning. Juristerne
besvarer således hverken
på mail eller brev.

Husk at oplyse 

medlemsnummer 

og telefonnummer.

Firmaguide

Juridisk vejledning

Firmaguiden er din indgang

til en liste af firmaer,

der har målrettet deres

ydelser til ejerforeninger

Søg i firmaguiden her

Kurser

Juridisk vejledning

EJL udbyder kurser i jura, drift og

administration omkring ejerforeninger

og emner der kan medvirke til

værdiforøgelse af foreningens ejendom,

såvel som den enkelte lejlighed.

Læs mere her

Juridisk Hotline

Den juridiske rådgivning

hjælper telefonisk vores

medlemmer med at afklare

små og store spørgsmål

Kontakt os