GDPR – Persondataforordningen

Den 25. maj 2018 træder EU’s nye persondataforordning og databeskyttelseslov i kraft (også kaldet GDPR). Derfor er vi i TelefonMøder i fuld gang med at gøre systemer og processer klar, så vi og vores kunder også fremover kan leve op til lovgivningen.

Vi håndterer data for alle vores kunder i større eller mindre omfang. Vi har ikke registreret CPR-numre, men eksempelvis jeres medarbejderes telefonnumre og navne. Når I som virksomhed lader TelefonMøder håndtere denne type personoplysninger, er det fra den 25. maj et lovkrav, at der er indgået en databehandleraftale.

Databehandleraftalen

Databehandleraftalen beskriver blandt andet:

  • hvilke typer af personoplysninger, vi behandler,
  • hvilke behandlinger, vi foretager,
  • hvad formålet med behandlingen er,
  • hvad varigheden af behandlingen er,
  • hvordan vi opfylder kravene til sikker databehandling, og
  • hvordan vi lever op til den registreredes rettigheder.

Databehandleraftalen bliver et bilag til vores almindelige forretningsbetingelser, og vi tager udgangspunkt i en skabelon, der er udarbejdet af Datatilsynet.

I kan finde databehandleraftalen her, og I kan finde en vejledning til dataansvarlige og databehandlere hos bl.a. Datatilsynet.

Hvad skal dit firma gøre?

I behøver ikke at gøre noget

I behøver ikke gøre noget, men I er naturligvis velkomne til at stille spørgsmål til os. For enkelte af vores kunder gælder der særlige forhold for vores databehandling, og derfor tager vi i løbet af april direkte kontakt til disse kunder.

Værd at vide om TelefonMøders behandling af persondatareglerne

Vi indsamler og behandler personoplysninger om f.eks. medarbejdere og aktiviteter for at kunne levere de ydelser og services, som vores kunder efterspørger, og for at leve op til lovkravene for dataansvarlige.

I kan læse mere om, hvordan vi håndterer ansvaret i databehandleraftalen i tillægget til samarbejdsaftalen her, og hvordan vi behandler personoplysninger i quickguiden nedenfor. Endelig finder du en FAQ nederst på siden.

Alle spørgsmål vedrørende databehandleraftalen, den nye persondataforordning og overholdelse af de nye regler kan stiles til dpo@dstny.dk.

Quickguide til GDPR – Persondataforordningen

1. Behandling af personoplysninger

Typer af oplysninger og formål

Hvilke personoplysninger, vi indsamler, afhænger af jeres kontrakt med TelefonMøder, og hvilke ydelser, I bestiller til jeres virksomhed eller til jeres kunder.

Ved mobil-, fastnet- og ip-telefoni samt fax indsamler vi f.eks. følgende oplysninger:

  • Slutkundens/brugerens nummer/IP-adresse og kaldt nummer/IP-adresse
  • Forbrugsoplysninger i data til afregning
  • Størrelsen af overførte datamængder
  • Eventuelle personoplysninger i telefonsamtaler mv.

Disse oplysninger behandler TelefonMøder med det formål, at I kan kommunikere med jeres slutkunder, at vi kan fakturere jer, og for at TelefonMøder kan leve op til de gældende krav i lovgivningen.

Vi indsamler desuden oplysninger om de kontaktpersoner hos jer, som vi har vores daglige samarbejde med, i form af navn, e-mail, stilling og telefonnumre. Formålet med behandlingen af disse oplysninger er, at vi løbende kan levere og informere om de ydelser, som I har bestilt hos os.

Videregivelse af personoplysninger

Personoplysningerne vil som udgangspunkt alene blive behandlet af TelefonMøder. Dog kan disse også blive videregivet til TelefonMøders underleverandører. Der kan f.eks. være behov for at give en underleverandør oplysninger om en slutkundes navn og adresse, hvis der skal udføres service eller leverance. Derudover kan personoplysninger blive videregivet til offentlige myndigheder, hvis det er krævet af lovgivningen.

Overførsel af personoplysninger til modtagere uden for EU/EØS

TelefonMøder benytter normalt ikke underleverandører i lande uden for EU/EØS. Men hvis det skulle ske, følger vi EU-kommissionens standardaftaler for overførsel af personoplysninger til ikke-sikre lande uden for EU/EØS. Grundlaget for overførslen kan dog også været et andet, f.eks. EU-U.S. Privacy Shield, hvis der skal overføres oplysninger til underleverandører i USA.

Det juridiske grundlag

Det juridiske grundlag for indsamling og behandling af personoplysningerne er jeres kontrakter med TelefonMøder og den gældende lovgivning.

Sikkerhed

TelefonMøder har fastsat en række sikkerhedskrav til behandling af personoplysninger. Kravene indebærer bl.a., at medarbejdere hos TelefonMøder skal behandle personoplysninger fortroligt, og at it-systemer skal leve op til en række krav, der løbende bliver skærpet i takt med den tekniske udvikling.

Opbevaringsperiode

TelefonMøder opbevarer kun personoplysningerne, så længe det er nødvendigt for at kunne opfylde de ovenfor anførte formål, herunder formål fastsat i anden lovgivning.

FAQ om GDPR – persondataforordningen

Hvad er GDPR?

GDPR er EU’s nye persondataforordning. DPR udspringer af EU’s strategi kaldet Digital Single Market. Hele ideen er at harmonisere medlemslandenes individuelle digitale markeder til et fælles marked.

Personbeskyttelse

Kernen i forordningen handler om at beskytte personlige oplysninger, og om hvordan man undgår, at de oplysninger, man som virksomhed har om sine kunder, klienter eller medarbejdere, ikke falder i de forkerte hænder. Ideen med GDPR er, at man skal sikre, at persondata kun bliver indsamlet, behandlet og lagret under strenge betingelser og for lovlige formål. Organisationer som indsamler og behandler dine personlige informationer skal altså beskytte dem mod misbrug samt respektere særlige betingelser.

Beskyttede vi ikke data før 25. maj 2018?

Jo, det gjorde vi i høj grad. Faktisk er langt de fleste regler på selve databeskyttelses siden ikke ændret. Den store ændring for os er at vi nu skal dokumentere hvordan vi gør det, og gennem information og opfølgning sikrer vi til dagligt efterlever dette. Samtidig er bødestørrelsen ændret markant.

Er vi databehandler eller dataansvarlig?

Vi er begge dele. Vi er dataansvarlig over for medarbejdere og vi er databehandler over for vores kunder.

Dataansvarlig versus databehandler

Efter databeskyttelsesforordningens artikel 4 nr. 7 er en dataansvarlig: “en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”

Efter databeskyttelsesforordningens artikel 4 nr. 8 er en databehandler: “en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.”

Som databehandler skal vi: ”stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i forordning en og sikrer beskyttelse af den registreredes rettigheder.”

Dette krav opfylder vi ved at lave en databehandler aftale med vores kunder.

Hvorfor er vi databehandler?

Vi sælger ydelser til en virksomhed ikke til privatpersoner. Det er virksomheden der i den forbindelse vælger at give os persondata på deres medarbejdere. Data er virksomhedens ansvar og vi laver derfor en databehandler aftale med vores kunder, som fortæller dem hvilke forpligtigelser vi har over for dem og deres data.

Hvornår er databehandler-aftalen klar?
Databehandler-aftalen er klar nu, og du finder den her.
Får vores kunder en aftale automatisk?

Vi udformer Databehandler-aftalen som et bilag til din samhandelsaftale med os, og vi gør den tilgængelig på hjemmesiden så kunderne altid kan downloade en version til deres arkiv.

Hvad med GDPR og Dracar integration?

Dracar er en databehandler, som vi også er det over for kunden. Dracar skal derfor lave en databehandleraftale med os som underleverandør. Så længe Dracar har kontrol og styr på deres data, så vil det medføre, at vi også lever op til vores forpligtelser over for kunden. (Det er nemlig Dracar, der vælger den data, vi har liggende).