Persondataforordningen
Persondataforordningen trådte i kraft den 25. maj 2018 og erstatter Persondataloven.
Med persondataforordningen bliver reglerne for behandling af persondata skærpet, og virksomheder, der ikke overholder reglerne, risikerer store bødestraffe for overtrædelse. Bødeniveauet for overtrædelser er helt op til 20 mio. euro eller 4 % af den samlede globale koncernomsætning, hvis det beløb er højere. Datatilsynet kan dog også give påbud.
Endvidere kan dyrlægevirksomheden blive pålagt at skulle betale erstatning til skadelidte (fx kunden eller medarbejderen), der finder, at have lidt tab på, at dyrlægevirksomheden har overtrådt persondataforordningen. Dyrlægevirksomheder vil nok ikke vil blive straffet med så store bøder.
Idet dyrlægevirksomheder som udgangspunkt hovedsageligt beskæftiger sig med personoplysninger, vil der være sagsgange i hverdagen, der skal ændres.
Personoplysninger benævnes af nogle som den nye "valuta". Hverdagen bliver til stadighed mere og mere digitaliseret, og flere og flere personoplysninger flyder frit rundt på nettet. Det er muligt at tjene store summer på at kende forbrugernes personoplysninger, købemønstre og vaner. Dette er grunden til, at EU har fundet det nødvendigt at skærpe beskyttelsen af persondata og har udstedt Persondataforordningen.
Persondataforordningen gælder for behandling af oplysninger om personer, dvs. fysiske personer, som foretages af fx dyrlægevirksomheder.
Begrebet "fysiske personer" omfatter ikke kun et menneskeligt individ, men også enkeltmandsvirksomheder. Oplysninger om andre typer af virksomheder, fx. et A/S eller et ApS (kapitalselskaber), er til gengæld ikke beskyttet af persondataforordningen. Det samme gælder oplysninger om myndigheder.
Trin for trin-vejledning
Nedenfor kan du trin for trin se den arbejdsgang, som Dyrlægevirksomhedernes Arbejdsgiverforening har udarbejdet. Den er en hjælp til dig og din virksomhed med at få overblik over, hvilke personoplysninger I har, samt hvilke forholdsregler I som minimum skal være opmærksomme på og tage jer af.
Af Datatilsynets udmeldinger kan udledes, at det første, der er vigtigt som virksomhed at have styr på, er virksomhedens databehandleraftaler "Trin 6". Dernæst de øvrige trin.
Bemærk, at du skal bruge login i nogle tilfælde for at se dokumenter.
-
Trin 1: Hvad er personoplysninger?
Som det første er det vigtigt, at du orienterer dig om, hvornår Persondataforordningen gælder.
Persondataforordningen omhandler og beskytter kun behandling af personoplysninger.
Hvad er personoplysninger?
Personoplysninger er alle oplysninger, der kan være med til at identificere en fysisk person. Men personoplysninger fortolkes meget bedt, og dermed er personoplysninger ikke kun fx kundens eller medarbejderens navn, adresse, e-mail og tlf.nr., CPR-nr., men også dyrets chipnummer og øremærke, idet det er oplysninger, der kan henføres til en fysisk person (se trekanten nedenfor).Du skal skelne mellem følsomme og almindelige personoplysninger. Jo højere oppe på listen over Følsomme personoplysninger (se nedenfor) personoplysningen er, desto strengere betingelser er der for at behandle personoplysningen.
Som dyrlægevirksomhed vil du som udgangspunkt behandle personoplysninger om:
- Kunder
- Personale
Hvad er følsomme personoplysninger?
Du skal være opmærksom på behandling af følsomme personoplysninger. Du vil i følgende nævnte tilfælde behandle følsomme personoplysninger:- Helbredsoplysninger, seksuel orientering samt lovovertrædelser på medarbejdere.
- Helbredsoplysninger på kunder.
CPR-numre
CPR-numre er ikke en "følsom oplysning", men derimod en "kritisk oplysning", hvormed oplysningen skal behandles varsomt. Følsomme oplysninger
- Race
- Etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Genetiske data
- Biometriske data mhp. entydig identifikation
- Helbredsoplysninger
- Seksuelle forhold eller orientering.Kun de ovenfor nævnte, anses for følsomme
oplysninger i forordningen. I DK desuden CPR-nr.Straffedomme og lovovertrædelser
Hvis det ud fra oplysningen kan udledes, at en person har begået noget strafbart. Det kan være en oplysning om, at en person har begået en bestemt lovovertrædelse. Det kan fx også være en oplysning om, at en person har adresse i et fængsel.Almindelige personoplysninger
Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, referat fra MUS samtaler, arbejdstelefonnummer, navn, adresse, fødselsdato, e-mail, tlf.nr., IP-adresse, fingeraftryk, persons billede, dyrs chip.nr. og øremærke.De personoplysninger, der ikke falder ind under kategorien "følsomme oplysninger" er som udgangspunkt "almindelige personoplysninger".
-
Trin 2: Behandling af personoplysninger
Kun nødvendige personoplysninger må behandles. En dyrlægevirksomhed skal dermed have et sagligt og legitimt formål med at behandle personoplysningerne og må ikke have personoplysninger liggende, fordi de er "rare" at have. Unødvendige oplysninger skal slettes.
Behandling af personoplysninger er måden, personoplysninger håndteres på, det kan fx være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning.
Når en dyrlægevirksomhed indsamler og behandler personoplysninger, skal den være opmærksom på, om den pågældende personoplysning kræver et samtykke fra kunden eller medarbejderen, eller om der er en anden lovparagraf, der giver dyrlægevirksomheden ret til at foretage behandlingen af personoplysningen.
Også et manuelt register kan være omfattet.Behandling af følsomme personoplysninger
Behandling af følsomme personoplysninger må kun ske på baggrund af et samtykke fra kunden eller medarbejderen. Samtykket skal kunne dokumenteres, hvorfor samtykket anbefales at være skriftligt.Det anbefales kun at registrere følsomme oplysninger, når dette er absolut nødvendigt, og oplysningen må kun opbevares af dyrlægevirksomheden, så længe der er en saglig og legitim grund hertil. Følsomme oplysninger er fx helbredsoplysninger, seksuel orientering samt lovovertrædelser på medarbejdere og kunder, der er registreret, altså fx skrevet i dyrets journal eller i en personalemappe.
Behandling af CPR-numre
CPR-numre er ikke en "følsom oplysning", men derimod en "kritisk oplysning", hvormed oplysningen skal behandles varsomt. I modsætning til "følsomme oplysninger" kan virksomheden i visse tilfælde behandle CPR-numre uden samtykke.Det anbefales dog, inden en dyrlægevirksomhed registrerer CPR-nummer på en kunde, at kundens eller medarbejderens samtykke til registreringen af CPR-nummer indhentes skriftligt. I samtykket skal kunden skriftligt informeres om, til hvilket formål kundens CPR-nummer er registreret, og at dette slettes, når formålet med registreringen er opfyldt. Er CPR-nr. fx registreret i forbindelse med oprettelse af en kreditaftale, skal CPR-nr. slettes, når kreditaftalen er opfyldt/udløbet, idet formålet med at have kundens CPR-nr. registreret, da ikke længere eksisterer.
-
Trin 3: Oplysningspligt til kunder
Første gang en dyrlægevirksomhed behandler en kundes personoplysninger, er dyrlægevirksomheden forpligtet til skriftligt at oplyse kunden om formålet med behandlingen og kundens rettigheder. Når kunden oprettes i kundekartoteket, og der oprettes en journal på dyret, foretager dyrlægevirksomheden en behandling af kundens personoplysninger, hvormed kunden skal have udleveret oplysningsskrivelsen, der kan downloades ude til højre.
Kundens rettigheder er blandet andet følgende:
- Retten til at tilbagekalde et samtykke
- Retten til indsigt i, hvilke personoplysninger virksomheden har registreret på kunden
- Retten til at få berigtiget og slettet personoplysninger "retten til at blive glemt".
Dyrlægevirksomhedernes Arbejdsgiverforening har udarbejdet udkast til en oplysningsskrivelse til kunder, hvori kunden bl.a. oplyses om formålet med behandling i dyrlægevirksomheden samt kundens rettigheder i den henseende: Behandling af personoplysninger hos xxx Dyrehospital – til kunder (kræver login). Skrivelsen downloades som en word-fil, idet den pågældende dyrlægevirksomhed skal tilrette skrivelsen, så den passer til den pågældende dyrlægevirksomhed.
Oplysningsskrivelsen anbefales også udleveret/sendt til eksisterende kunder.
Dyrlægevirksomheden skal huske at gemme dokumentation på at have udleveret oplysningsskrivelsen til kunden, så dyrlægevirksomheden kan dokumentere at have levet op til oplysningsforpligtigelsen i persondataforordningen. Dette kan bl.a. ske ved at gemme den afsendte mail til kunden, hvor oplysningsskrivelsen var vedhæftet.
I tilfælde, hvor du udsender nyhedsbreve, videregiver oplysninger til forsikringsselskab eller indhenter klientens cpr. nr., skal du indhente klientens samtykke. Det kan du gøre vha. disse dokumenter:
- Samtykke - klienter - nyhedsbreve og remindere på dyrlægebehandlinger mv
- Samtykke - klienter - oplysninger til forsikringsselskab mv
-
Trin 4: Oplysningspligt til medarbejdere
Som arbejdsgiver er det nødvendigt i et ansættelsesforhold at behandle personoplysninger på medarbejdere. Som udgangspunkt kan man som arbejdsgiver behandle personoplysninger på medarbejderen uden samtykke hertil, så længe der består et ansættelsesforhold, idet dette er nødvendigt for, at man som arbejdsgiver kan opfylde sine forpligtigelser som fx udbetaling af løn.
Det kræver dog samtykke fra medarbejderen, såfremt dyrlægevirksomheden/arbejdsgiver ønsker at anvende billeder og videomateriale med medarbejderen på virksomhedens hjemmeside og i eksternt informationsmateriale, herunder såvel i trykte og digitale medier. Udkast til skriftlig samtykkeerklæring (kræver login).
Dyrlægevirksomhedens medarbejdere skal orienteres om, hvorledes I som arbejdsgiver behandler medarbejderens personoplysninger. Dyrlægevirksomhedernes Arbejdsgiverforening har udarbejdet udkast til orienteringsskrivelse til medarbejderen (kræver login). Du skal tilrette orienteringsskrivelsen, så den passer på jeres virksomhed. Det anbefales, at orienteringsskrivelen udleveres til såvel nuværende som kommende medarbejdere.
Du skal som arbejdsgiver være opmærksomme på, at du på medarbejdere ikke blot behandler ”almindelige personoplysninger” som navn, adresse, tlf.nr. og e-mail. I behandler også medarbejderens CPR-nummer, der ikke er en ”følsom oplysning” men derimod en ”kritisk oplysning”, hvormed oplysningen skal behandles varsomt.
Endvidere vil du kunne behandle ”følsomme oplysninger” på medarbejderen i kraft af helbredsoplysninger.
Medarbejderens rettigheder er blandet andet følgende:
- Retten til at tilbagekalde et afgivet samtykke om bl.a. anvendelse af billedmateriale.
- Retten til indsigt i, hvilke personoplysninger. virksomheden har registreret på medarbejderen.
- Retten til at få berigtiget og slettet personoplysninger.
Persondataforordningen indeholder ikke specifikke regler om, hvornår personoplysninger skal slettes i personaleadministrativ sammenhæng. Dette skal afgøres af arbejdsgiveren som værende dataansvarlig i den enkelte situation. Ved vurderingen heraf skal der navnlig lægges vægt på, om en fortsat opbevaring tjener et sagligt formål.
Hensynet til at kunne opbevare dokumentation for historikken i en personalesag, herunder at dyrlægevirksomheden/arbejdsgiver har mulighed for at se, hvilke skridt der tidligere er foretaget i personalesagen, anses i praksis for et sagligt formål i personaleadministrativ sammenhæng. De data, dyrlægevirksomheden bruger til at administrere medarbejderens ansættelsesforhold, vil derfor som udgangspunkt først blive slettet 5 år efter medarbejderen er fratrådt, regnet fra fratrædelsesdato.
-
Trin 5: Opbevaring af data
Dyrlægevirksomheden vil som udgangspunkt være den dataansvarlige i forhold til de personoplysninger, som dyrlægevirksomheden har registreret på kunden, kæledyret samt besætningen. Desuden er dyrlægevirksomheden dataansvarlig for de personoplysninger, de har registreret på dyrlægevirksomhedens medarbejdere.
Når dyrlægevirksomheden har fået overblik over, hvilke persondata den ligger inde med, skal den dernæst finde ud af, hvor dens data er placeret. Er virksomhedens persondata placeret på en intern eller ekstern server, individuelle drev eller fællesdrev i virksomheden, i mails, i papirform mv. Dette er vigtigt for, at virksomheden kan finde ud af, hvordan dens persondata skal håndteres i forhold til sikkerhed.
Er dyrlægevirksomhedens data placeret hos 3. mand (virksomhed), vil dyrlægevirksomheden som dataansvarlig skulle lave en databehandleraftale med virksomheden, der har dyrlægevirksomhedens persondata opbevaret. Læs mere herom under "Trin 6".
Kun de personer, der har en saglig og legitim interesse i de pågældende persondataoplysninger, må have adgang til disse, og det er kun nødvendige personoplysninger, der må opbevares på såvel kunder som medarbejdere.
Det kan dermed blive nødvendigt at strukturere virksomhedens IT-system anderledes og indføre adgangsbegrænsninger i forhold til fx personoplysninger på medarbejdere, idet kun de relevante personer som nævnt må have adgang til disse. Dermed må personoplysninger på medarbejdere fx ikke ligge på et fællesdrev, som samtlige medarbejdere har adgang til. Som udgangspunkt vil samtlige medarbejdere i virksomheden have en saglig og legitim interesse i at have adgang til kundekartoteket samt klientjournaler.
Personoplysninger på medarbejdere i papirform, dvs. ansættelseskontrakter, lønsedler mv. skal som udgangspunkt opbevares i aflåste arkivskabe, og kun relevante personer har adgang til nøglerne.
Sletning af personoplysninger, "retten til at blive glemt", behandles under trin 7. -
Trin 6: Databehandleraftaler
Dyrlægevirksomheden skal som det første skelne mellem opbevaring og udlevering af dens personoplysninger til 3. mand (virksomhed).
Ved opbevaring bistår 3. mand dyrlægevirksomheden med at behandle dens personoplysningerne på dyrlægevirksomhedens vegne.
Ved udlevering oversendes dyrlægevirksomhedens persondata til 3. mand, der beholder den udleverede personoplysning (fx klientjournal), for fx at behandle det henviste dyr eller grundet skift af dyrlæge.
Opbevaring af personoplysninger hos 3. mand
Dyrlægevirksomheden skal skelne mellem udarbejdelse af databehandleraftaler og indgåelse af databehandleraftaler.
Dyrlægevirksomheden udarbejder databehandleraftaler med de virksomheder, der behandler/opbevarer dens persondata fx IT-leverandører, lønbureauer, bogføringsvirksomheder, rekrutteringsvirksomheder, inkassovirksomheder mv. Læs mere herom under punktet ved at klikke på dette ude til venstre.Dyrlægevirksomheden indgår databehandleraftaler med de virksomheder, der sender personoplysninger til dyrlægevirksomheden, og dyrlægevirksomheden opbevarer de fremsendte personoplysninger på vegne af den anden virksomhed. Læs mere herom under punktet ved at klikke på dette ude til venstre.
Videregivelse af personoplysninger til 3. mand
I forbindelse med bl.a. refusion fra forsikringsselskaber, refusion fra kommuner og videregivelse af journalmateriale, herunder røntgenbilleder og prøvesvar til anden dyrlæge i forbindelse med henvisning til bl.a. specialist eller kundens ønske om skift til anden dyrlæge, videregives epikriser eller kundens journal, jf. Den Danske Dyrlægeforenings Etiske kodeks til relevante offentlige myndigheder og private virksomheder (herunder anden dyrlægevirksomhed). Materialet der udleveres/modtages vil indeholde personoplysninger om kunden samt identifikationsoplysninger om kundens dyr. Kunden er informeret om denne behandling (videregivelse) i den oplysningsskrivelse, du som dyrlægevirksomhed har udleveret til kunden, når denne registreres som kunde i dyrlægevirksomheden. Skrivelsen ”Behandling af personoplysninger hos xxx Dyrehospital – til kunder” findes til download under ”Trin 3”.Dermed har kunden samtykket til ovennævnte behandling/udlevering, såfremt kunden har fået den under ”Trin 3” bilagte orienteringsskrivelse udleveret og ikke har gjort indsigelse mod ovennævnte udlevering af den nævnte persondata.
-
Trin 6a: Indgåelse af databehandleraftaler
Dyrlægevirksomhedernes Arbejdsgiverforening har udarbejdet en tjekliste til indgåelse af databehandleraftaler (kræver login). Det anbefales, at du nærlæser denne, før en databehandleraftale underskrives. Tjeklisten ligger til download nedenfor i pdf-format.
Dyrlægevirksomheden vil blandt andet skulle være opmærksom på følgende:- Om databehandleren i databehandleraftalen lægger op til, at dyrlægevirksomheden skal dække omkostningerne ved, at dyrlægevirksomheden i aftaleperioden, som værende dataansvarlig, skal have mulighed for at tjekke (auditere), at databehandleren lever op til de stillede krav i bl.a. databehandleraftalen. Vær opmærksom på, om databehandleraftalen regulerer, hvem der skal betale omkostningerne ved et sådant tjek.
- Om omkostningsfordelinger er meget byrdefulde for den dataansvarlige (dyrlægevirksomheden), fx fordi databehandleren stilles krav om betaling for det arbejde, der er forbundet med løbende auditering hos databehandleren (inspektioner eller revision, som enten foretages af den dataansvarlige selv, eller af en revisor). Som dataansvarlig kan man yderligere overveje, om der i databehandleraftalen skal indføjes en bestemmelse om, at databehandleren i tillæg til kravene i databehandleraftalen yderligere skal aflægge halvårlige statusrapporter til den dataansvarlige – dette vil nok altid være en god ide.
- Om du som dataansvarlig skal dække omkostningerne (evt. den forbrugte tid) ved, at databehandleren skal hjælpe med at opfylde den dataansvarliges forpligtelser i forhold til oplysningspligten over for den registrerede (kunden/medarbejderen) samt den registreredes ret til indsigt, berigtigelse, sletning, begrænsning af behandling, dataportabilitet og indsigelse.
- Om databehandleraftalen indeholder bestemmelser om fordeling af erstatningsansvar og bødeansvar. Her bør du forholde dig kritisk til, hvis der lægges op til, at databehandlerens erstatningsansvar beløbsmaksimeres, eller hvis databehandleren har ret til at søge regres hos den dataansvarlige, hvis databehandleren pålægges et erstatningsansvar. Særligt bør du være opmærksom på den indbyrdes fordeling af det økonomiske ansvar, hvis fejlen ligger hos databehandleren.
Ovennævnte er blot nogle af de ting, du skal være opmærksom på, når du underskriver en databehandleraftale. Som nævnt anbefaler Dyrlægevirksomhedernes Arbejdsgiverforening, at du nærlæser "Tjekliste til databehandleraftaler", før du underskriver en databehandleraftale.
-
Trin 6b: Udarbejdelse af databehandleraftaler
Når en dyrlægevirksomhed overlader personoplysninger til andre, for at disse "andre" kan behandle/opbevare personoplysninger på dyrlægevirksomhedens vegne, skal dyrlægevirksomheden som dataansvarlig indgå en databehandleraftale med virksomheden, der opbevarer dens personoplysninger på dennes vegne.
Som nævnt under "Trin 2" er behandling af personoplysninger, måden personoplysninger håndteres på, det kan fx være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning.
Personoplysninger kan være oplysninger om kunder, medarbejdere eller andre (fx enkeltmandsvirksomheder).
Typiske eksempler på relationer, hvor der vil være behov for databehandleraftaler er i forhold til virksomhedens:- IT-leverandører, der opbevarer den dataansvarliges (dyrlægevirksomhedens) data, da IT-leverandøren har serveren stående og dermed lagrer data for en dyrlægevirksomhed.
- Lønbureauer, idet de opbevarer den dataansvarliges (dyrlægevirksomhedens) data, da lønbureauet laver løn til den dataansvarliges (dyrlægevirksomhedens) medarbejdere. Her udleverer dyrlægevirksomheden personoplysninger på medarbejderne til 3. mand (lønbureauet).
- Bogføringsvirksomheder, primært såfremt virksomheden er en enkeltmandsvirksomhed/Interessentskab, idet kapitalselskaber A/S og ApS ikke er omfattet af persondataforordningen.
- Rekrutteringsvirksomheder, primært såfremt virksomheden er en enkeltmandsvirksomhed/Interessentskab, idet kapitalselskaber A/S og ApS ikke er omfattet af persondataforordningen.
- Inkassovirksomheder, idet de får overdraget persondata på den/de pågældende kunder.
Den dyrlægevirksomhed, i hvis interesse oplysningerne behandles, vil være dataansvarlig. Den, der bistår med at behandle oplysningerne på den dataansvarliges vegne, vil være databehandler.
Dyrlægevirksomheden skal som dataansvarlig sikre sig, at der indgås databehandleraftaler med alle de samarbejdspartnere, hvor det er relevant.
Når dyrlægevirksomheden som dataansvarlig skal udarbejde en databehandleraftale, kan den anvende den af Datatilsynet udarbejdede skabelon Standard-databehandleraftale. Endvidere har Datatilsynet udarbejdet en forklaring til databehandleraftalen Forklaring til databehandleraftale.
Dyrlægevirksomheden vil opleve, at de fleste samarbejdspartnere, der reelt er databehandler for dyrlægevirksomheden, der er dataansvarlig, som fx IT-leverandører, vil sende dyrlægevirksomheden en databehandleraftale til underskrift. Grunden hertil er, at virksomheden typisk foretrækker én og samme databehandleraftale, da de ikke kan administrere, at fx 300 dyrlægevirksomheder sender 300 forskellige databehandleraftaler til indgåelse.Dyrlægevirksomhedernes Arbejdsgiverforening anbefaler dens medlemsvirksomheder at nærlæste "tjekliste til databehandleraftaler", der findes under Trin 6a: Indgåelse af databehandleraftale, før en databehandleraftale underskrives.
-
Trin 7: Den registreredes rettigheder
Kunden/medarbejderen (den registrerede) har en række rettigheder over for dyrlægevirksomheden, som behandler personoplysninger om pågældende.
De vigtigste rettigheder er følgende:
- Ret til løbende at få indsigt i, hvordan ens persondata behandles hos den dataansvarlige (opfyldt ved, at dyrlægevirksomheden til kunden udleverer orienteringsskrivelsen, der findes under "Trin 3").
- Ret til at få berigtiget urigtige persondata.
- Ret til at få begrænset behandlingen af persondata.
- Ret til at få slettet persondata - "Retten til at blive glemt" – læs "Trin 8".
- Ret til at gøre indsigelse over, at ens persondata behandles og videregives til fx markedsføringsformål.
- Ret til at kunne få udleveret sine persondata, så de kan overføres til fx anden dyrlæge (dataportabilitet). Udlevering af journaler følger reglerne i DDDs Etiske kodeks. Hvis kunden beder om det, skal der gives en udskrift eller kopi af personoplysningerne på kunden selv (navn, adresse, tlf.nr., e-mail mv.).
- Ret til at tilbagekalde et afgivet samtykke.
- Ret til at klage til Datatilsynet.
Dyrlægevirksomheden har som dataansvarlig en svarfrist til den registrerede (kunden/medarbejderen) på ovennævnte på maksimalt én måned regnet fra modtagelse af anmodningen.
Dyrlægevirksomheden må tage et gebyr for udlevering af personoplysninger.
-
Trin 8: Sletning af personoplysninger - "Retten til at blive glemt"
Persondataforordningen indeholder ikke specifikke regler om, hvornår personoplysninger skal slettes. Dette skal afgøres af dyrlægevirksomheden som dataansvarlig i den enkelte situation. I vurderingen skal der navnlig lægges vægt på, om en fortsat opbevaring tjener et sagligt formål.
Kundeforhold
Hensynet til at kunne opbevare dokumentation for historikken i en kundesag/kundejournal, herunder at dyrlægevirksomheden har mulighed for at se, hvilke skridt der tidligere er foretaget i kundesagen/kunde-journalen, anses i praksis for et sagligt formål.De data, dyrlægevirksomheden bruger til at administrere det pågældende kundeforhold, vil derfor som udgangspunkt først blive slettet, tidligst 5 år efter kundeforholdet er ophørt. Det er lovpligtigt, at recepter opbevares i 5 år.
Derudover nødvendiggør Den Danske Dyrlægeforenings Etiske kodeks, at originale journaler, røntgenbilleder og scanningsbilleder mv. tilhørende den dyrlæge, som har foretaget optegnelserne/fotograferingerne, bør bevares i minimum 5 år.
Kunden kan ikke anmode om at få slettet hele eller en del af sit dyrs journal
Ønsker kunden at blive slettet som kunde, da skal dyrlægevirksomheden arkivere sagen, idet der vil kunne opstå situationer, hvor det kan blive nødvendigt at gå år tilbage for at finde relevante kunder.En vaccine kunne fx vise sig at indeholde noget, der gør, at alle dyr, der har modtaget den, nu skal tilses hurtigt.
Endvidere er der lovgivning som nævnt ovenfor, der angiver opbevaring i minimum 5 år. Kundekartoteket anbefales gennemgået hvert halve år, og "ikke aktive" kunder arkiveres.
Det er vigtigt, at "arkiverede kunder" ikke fremsøges med "aktive kunder" - altså at der er tale om forskellige systemer.
Personoplysninger, der ikke er nødvendige at opbevare for at administrere et kundeforhold, skal slettes på det tidspunkt, hvor der ikke længere er noget sagligt behov for fortsat opbevaring. Et eksempel herpå kunne være, at det under kunden er registreret, at denne er gangbesværet, men da kunden nu er "ikke aktiv", er denne oplysning ikke længere nødvendig at have registreret/opbevaret.
Medarbejdere
Personalemappen på en fratrådt medarbejder anbefales opbevaret i 5 år regnet fra fratrædelse, idet bl.a. forældelsesloven hjemler en 5-årig forældelsesfrist på lønkrav.Dyrlægevirksomheden skal dog slette alle ansøgere til en ledig stilling, når ansøgningsfristen er udløbet, eftersom formålet med at have personoplysninger opbevaret ikke længere er der.
Ønsker dyrlægevirksomheden at "gemme" ansøgningerne til senere brug, skal hver enkelt ansøger samtykke hertil skriftligt.
-
Trin 9: Virksomhedspolitik
Tekst og materiale er under udarbejdelse.
-
Trin 10: Data Protection Officer (DPO)
Kun de private virksomheder, hvis kerneaktivitet (hovedparten af arbejdstiden) består af en omfattende behandling af "følsomme personoplysninger" skal have/udpege en person til at være virksomhedens Data protection Officer (DPO).
Dyrlægevirksomheder behandler "almindelige personoplysninger" i hovedparten af arbejdstiden, derfor skal dyrlægevirksomheder IKKE udpege en DPO.
Anbefaling – benævn ikke den dataansvarlige i dyrlægevirksomheden som DPO'er. Kald i stedet blot denne for fx virksomhedens IT-ansvarlige.
-
Trin 11: Håndtering af databrud/sikkerhed
Dyrlægevirksomheden skal sikre sig imod hackerangreb og phishing (et internetfænomen, hvor svindlere forsøger at franarre godtroende internetbrugere deres brugernavn, adgangskode, kreditkort eller netbankoplysninger) ved at have opdateret it-sikkerhed med firewall, antivirusprogrammer osv.
Husk som nævnt under "Trin 6" at indgå databehandleraftaler med de virksomheder, som opbevarer dyrlægevirksomhedens persondata.
Som nævnt under "Trin 5" kan det være nødvendigt at opsætte nye regler for, hvordan man håndterer personoplysninger, og hvor man må gemme personoplysninger samt begrænse adgangen til visse personoplysninger. Sidstnævnte kan eksempelvis ske ved at låse fysiske dokumenter inde og ved koder i it-systemet sikre, at kun relevante personer har adgang til de pågældende personoplysninger.
Skulle der ske et databrud, hvor dyrlægevirksomheden mister data til uvedkommende, er det vigtigt, at der er beskrevet en procedure i virksomhedspolitikken "Trin 9", så der er styr på, hvem der skal gøre hvad og hvornår.
Ved databrud skal Datatilsynet informeres indenfor 72 timer.
Kontakt
Tina Helena Dahlmann Jordt
Forhandlingskonsulent
Arbejdsgivere og Selvstændige
- 3913 1054
- tj@ddd.dk