Jeg følger også lige med for jeg sad i dag og tænkte over det samme problem. Hvis du gemmer navne, adresser, IP adresser eller lignende er det relevant, og der skal være en data ansvarlig - formentlig dig selv. Der er også faktisk et krav om at du skal have en databehandleraftale med hosting selskabet. Der tror jeg det halter lidt i praksis - Dinero feks stiller en generel databehandleraftale til rådighed for deres kunder. Det lyder som en lavpraktisk løsning, men ved ikke hvor mange hosting firmaer der er med på den vogn.
Nu er der forsat noget tid til reglerne træder i kraft, så der er nok en masse virksomheder der får udarbejdet den slags databehandleraftaler inden deadlinen.
Helt lavpraktisk, så vil det være et brud på
persondataforordningen, hvis man ikke får en databehandleraftale med sin hosting udbyder, så hvis man er
hosted et sted, som ikke vil udarbejde en databehandler aftale, så vil man skulle vælge en anden udbyder for selv at overholde reglerne. Når det er sagt, så er jeg ret sikker på, at de fleste udbydere vil tage hånd om det af sig selv.
Det er ikke kun begrænset til hosting udbydere. Man skal have en databehandler aftale med alle der behandler data for virksomheden. Dvs. teleoperatør, lønbureau,
bogholder, eksterne udviklere m.m.
Som der tidligere her i tråden er refereret til, så findes der tjeklister. Det kan dog være svært at lave en generere tjeklist, som er fyldestgørende. Hvis en
webshops for eksempel sælger sko, så behandler virksomheden persondata i form af skonummeret. Det handler i høj grad om at få dannet sig et overblik over, hvilke persondata man har, hvor man har det, hvorfor man har det og hvordan man har det. De fire spørgsmål skal besvares i et dokument som kan fremvises ved stikprøvekontrol fra datatilsynet. Man skal samtidig have en politik for, hvordan data slettes, så man ikke opbevare data, som ikke længere er nødvendig. En kunde har retten til at blive glemt. Hvis kunden ønsker at gøre brug af den ret, har virksomheden 30 dage til at få de data slettet, som ikke er nødvendige af hensyn til lovgivningen (eks. regnskabsloven). Her skal man være opmærksom på, at hvis skidtet bryder ned og man er nødt til at restore fra en backup, så skal man også have en procedure for, hvordan disse data slettes igen, som sikre, at det sker.
Det er naturligvis vigtigt, at man kender forskellen på persondata og personfølsom data. Persondata er (ikke begrænset til) navn, adresse, skonummer, CPR-nr., IP adresse med tidsstempel, nationalitet - kort sagt en hver form for information, som kan bruges til at identificere en fysisk person. Personfølsomme data er helbredsoplysninger, religion, seksualitet.
Alle data man behandler skal kunne henføres til lov, samtykke eller nødvendighed.
Med venlig hilsen
Kristian Kristensen
Bliv gratis medlem
Opret bruger