Stort set alle virksomheder behandler i et vist omfang persondata. Har du kunder i virksomheden eller medarbejdere ansat, vil du også skulle behandle persondata om dem. Persondata er oplysninger, information og data, der kan føres tilbage til bestemte personer, og hvor det er muligt at identificere fysiske personer ud fra.
Som virksomhed er det dig, der er den dataansvarlige, hvilket betyder, at det er dit ansvar at sørge for, at databehandling af dine kunders oplysninger foregår korrekt og efter reglerne i henhold til persondataforordningen. Her giver vi dig gode råd til, hvordan du sikrer dig en korrekt og ansvarlig databehandling af dine kunders persondata.
Indsamling, opbevaring af behandling af kundedata
De fleste virksomheder indsamler kundedata online gennem diverse webformularer. Her er det vigtigt, at I altid sørger for at få kundens samtykke til indsamling, opbevaring og behandling af kundens persondata. I må ikke behandle oplysninger om vedkommende, medmindre I har fået specifikt samtykke til dette af kunden selv.
Opbevaring af kundedata sker typisk i forskellige IT-systemer. Når I opbevarer kundedata i virksomheden, er det vigtigt, at I udelukkende opbevarer og behandler de data, der er nødvendige. Det betyder dermed, at I ikke må opbevare flere personoplysninger, end hvad der er nødvendigt for databehandlingen. Hvis virksomheden for eksempel skal sende en ordre til en kunde, kan I have brug for at opbevare og behandle navn, e-mailadresse og leveringsadresse, fordi disse oplysninger er nødvendige for udførelsen af arbejdet og forsendelsen af ordren.
Som virksomhed må I opbevare jeres kunders persondata i hele det tidsrum det er nødvendigt at opbevare dem for at kunne udføre det arbejde, som dataene skal bruges til. Dog må I ikke opbevare kundernes persondata til senere brug, hvis I ikke skal bruge dem lige nu, men har en forventning om, at I måske kan bruge dem senere.
Når I er færdige med at bruge kundeoplysningerne, og I har udført det arbejde, som kundedataene skulle bruges til, er de ikke længere nødvendige. Personoplysningerne skal derfor efterfølgende slettes eller gøres anonyme, så de er uigenkaldelige, og det ikke længere er muligt at identificere de fysiske personer på baggrund af oplysningerne.
Dokumentation af og information om databehandling
Udover at sørge for, at indsamling, opbevaring og behandling af persondata sker efter de gældende regler, skal I som virksomhed også sørge for at kunne dokumentere dette. Det er dermed vigtigt, at I har en klar plan for databehandlingen i virksomheden og kan vise dokumentation for, hvordan I indsamler, opbevarer og behandler personoplysninger samt hvilke IT-systemer I gør brug af til databehandlingen, da Datatilsynet kan kræve at se dokumentation for dette. Derudover bør I lave en risikovurdering af forskellige scenarier, hvor persondata bliver brugt, og klarlægge, hvordan I vil håndtere sådanne situationer.
I virksomheden skal I desuden sørge for, at de kunder, der opgiver deres personoplysninger til jer, er informeret omkring, hvordan deres oplysninger bliver behandlet, samt hvor længe de bliver opbevaret. Alle jeres kunder har ret til at vide, præcis hvilke oplysninger I opbevarer om dem, samt hvad formålet med opbevaringen og behandlingen af deres personoplysninger er. Samtidig har de ret til at få deres oplysninger rettet eller slettet eller til at tilbagetrække deres samtykke til behandling af deres oplysninger, hvis de ønsker det. I skal derfor også sørge for, at jeres kunder er informeret om disse rettigheder.
På jeres hjemmeside kan I med fordel beskrive, hvordan I opbevarer og behandler persondata, samt hvem der har adgang til disse data I jeres persondatapolitik. Husk dog altid at informere jeres kunder om, at de kan læse om jeres databehandling I jeres persondatapolitik og vedlægge et link til denne på mail eller i jeres webformularer. På den måde sikrer I jer, er jeres kunder er informerede omkring jeres databehandling og kundens egne rettigheder til at få ændret eller slettet oplysninger, uanset hvilken kanal deres oplysninger bliver indsamlet igennem.