GDPR

Gælder loven også for min virksomhed?


Dens rigtige navn er databeskyttelsesforordningen, men den kendes i folkemunde som GDPR (efter dets engelske oprindelsesnavn: General Data Protection Regulation) eller bare som persondataforordningen.

Uanset navnet, så er forordningen med til at stille skarpt på de udfordringer både private og offentlige virksomheder i mange år har underprioriteret, men som nu står på dagsordenen hos alle organisationer i forhold til beskyttelse af informationer og data. Konkret i forhold til håndteringen af IT-udstyr, som udfases af driften, er der relevante spørgsmål, som skal besvares.

- Hvordan håndterer vi vores data, når vi tager IT-udstyr og databærende medier ud af drift?

- Er der specielle krav hertil indenfor lovgivningen?

- Er der reelt tale om et forhold mellem os som dataansvarlig og en databehandler, hvis behandleren assisterer os med at slette data?


Selv om det ikke tager meget spalteplads i forordningen, så gælder loven i alle ovenstående situationer, såfremt det er personoplysninger på de medier der udfases sammen med udstyret. Vores erfaring siger os, at det er der stort set altid.

Via vores Managed Services assisterer Ping IT allerede i dag virksomheder med at opnå compliance i forhold til Databeskyttelsesforordningen på netop de spørgsmål - uden at der gåes på kompromis med politikker eller processer for udskiftning og udfasning. Det kan vi blandt andet, fordi vi ved hvad vi taler om, når det gælder Persondataforordningen, og de krav den stiller til samarbejdet og formen kommende herfra.
 
Det kan du læse mere om nedenfor.

Sletning eller destruktion er også databehandling

Som en direkte konsekvens af Databeskyttelsesforordningen er virksomheder pålagt at sikre, at de databehandlere som virksomheden samarbejder med, efterlever de krav som forordningen foreskriver. Hvad der er nyt for mange er, at begrebet ”behandling” også dækker over sletning og tilintetgørelse af data jf. forordningens artikel 4 stk. 2.:
  
2) »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
 
Endvidere står der i artikel 4 stk. 7 og 8 anført:
 
7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
   
8) »databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne
  
Konklusionen er derfor, at reglerne i forordningen omkring dataansvarlig og databehandler også gælder i det forhold, hvor der er personoplysningsdata på de databærende medier, som slettes eller destrueres af en 3. part.

Hvem håndterer dine data i dag? Vær ekstra opmærksom!

Der sondres i forordningen ikke konkret mellem metoden, som anvendes til sletning eller destruktion. Det betyder, at reglerne både gælder for en højt specialiseret virksomhed som Ping IT, når den sletter data for sine kunder, men den er ligeledes gældende for øvrige aktører i markedet, som kan assistere jer. Det gælder aktører som tidligere har eller gerne vil assistere, herunder:

  • Genvindings- og skrotvirksomheder, som afhenter skrot, affald og i konkrete tilfælde datamedier
  • IT-leverandører, som ved installation af nyt udstyr tilbyder at tage det gamle med retur
  • Hosting- og outsourcingvirksomheder, når jeres systemer og data flyttes fra jeres eget hardware, som ligger in-house, til hardware som er drevet direkte eller indirekte af hosting eller outsourcing partneren.
  • IT-brokere, som kan købe noget af jeres udstyr med henblik på videresalg, men hvor kompetencerne til at kunne slette data troværdigt og effektivt ikke er tilstede


Ikke alle ovenstående aktører har tidligere været fokuseret på sådanne krav. Har I en aftale med en sådan aktør, eller er I allerede nu i konflikt med reglerne når I udfaser eller nedtager jeres IT-udstyr, så kontakt gerne os for en dialog om en løsning på den udfordring fremadrettet.

Datatilsynet har som hjælp til de private virksomheder, offentlige myndigheder, fysiske personer, institutioner og andre organer, som skal vurdere, om de handler som dataansvarlig eller databehandler, når de behandler oplysninger om andre personer, lavet en vejledning om forholdet, da det ikke altid er så ligetil, som det er tilfældet for ovenstående. Her kan der også læses uddybende om behovet for tilstedeværelse af en klar instruks mellem den dataansvarlige og databehandleren.
Vejledningen kan hentes her.
 
Søger du mere en lidt lettere gennemgang, så kan vi anbefale IT-branchens rådgivning herom. Den kan findes her.

Databehandleraftalen er også et lovkrav

Med forholdet mellem dataansvarlig og databehandler klarlagt, da gælder der yderligere krav fra Databeskyttelsesforordningen. Således kræves der følgende i artikel 28, stk. 3:
 
3. En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument (…) der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder(…)
 
Der skal med andre ord indgås en Databehandleraftale.
 
Det er jeres pligt som dataansvarlig at sikre, at de som håndterer jeres dekommissionerede IT-udstyr, hvorpå der er databærende medier med personoplysninger, underlægges en databehandleraftale, som er så fyldestgørende, at den efterlever kravene hertil i Databeskyttelsesforordningen.
 
Dog er stiller forordningen også krav til behandlerens reelle evner til at kunne garantere sin indsats. Det fremgår af artikel 28, stk. 1, at en dataansvarlig kun må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i forordningen og sikrer beskyttelse af de registreredes rettigheder.
 
En sådan garanti kan sikres ved kun at samarbejde med virksomheder, som kan fremvise et certificeringsdokument fra et akkrediteret certificeringsorgan. Det kan være sig en ISO 27001:2013 certificering eller en ISAE 3000 eller 3402-erklæring.
 
Ping IT opnåede i 2018 en ISO 27001:2013 certificering. Læs mere om hvad det reelt betyder for jer her.

Vi står til rådighed for en uforpligtende dialog om jeres udfordringer


Vi indgår allerede i dag i en lang række kontrakter med nogle af Danmarks største virksomheder i både den private og den offentlige sektor.

Alle kunder har vi datebehandleraftaler med, som i nogle tilfælde kan være baseret på en brancheskabelon. Det gælder eksempelvis KOMB:IT’s opdaterede version 2.0 af deres skabelon for databehandleraftale, som danske kommuner anbefales at anvende.


Uanset hvor langt du er, så står vi til rådighed til en uforpligtende snak om emnet, og stiller meget gerne vores kompetencer til rådighed til udarbejdelse af en sådan databehandleraftale mellem os.

Tag fat i Business Unit Manager Thomas Kock direkte på  (+45) 9815 4777 eller på e-mail thomas@pingit.dk for yderligere dialog om indgåelse af databehandleraftaler.

© Ping IT A/S 2018