Databeskyttelsesforordningen, også kendt som GDPR, er sat i verden for at sikre, at borgernes personlige oplysninger bliver behandlet korrekt efter gældende lovgivning.

For startups samt små og mellemstore virksomheder, kan det virke uoverskueligt, hvor og hvad man skal starte med. Som med al anden lovgivning er det dog vigtigt, at jeres virksomhed overholder lovgivningen – også på dette område. Både for at undgå de økonomiske bøder, der kan medfølge samt det dårlige image og kundeomtale det kan give.

Samtidig samarbejder en lang række tech- og SaaS-virksomheder med hinanden. Her kan personoplysninger indgå som en del af dette samarbejde.

Lad os derfor slå fast, hvad reglerne er for videregivelse af personoplysninger ved integrerbare systemer.

GDPR er ikke kun lovgivning – det er ligeledes tryghed og tillid

For at overholde GDPR-forordningen skal I som virksomhed kunne dokumentere, hvilke data I behandler, hvordan I lagre denne data samt, hvor den “deles” eller bevæger sig hen.

Men databeskyttelsesforordningen er ikke bare et spørgsmål om, at overholde reglerne. I et større billede handler det for jer som virksomhed om at være med til at sikre tillid og tryghed. Dokumentationen er én ting, men endnu vigtigere er den tryghed og tillid, som jeres virksomhed er med til at skabe omkring jeres samt andre digitale services. 

Danskerne har generelt et højt tillidsniveau til offentlige myndigheders behandling af personlige oplysninger. Dette kan læses i den seneste publikation om it-anvendelsen i befolkningen i 2020, der kan downloades via linket. Her er et uddrag fra undersøgelsen: 

“Til spørgsmålet ‘I hvor høj grad har du tillid til, at de offentlige myndigheder passer godt på dine personlige oplysninger?’ svarer de fleste ’i høj’ eller ’i nogen grad’ (henholdsvis 33 og 48 pct.). 14 pct. angiver ’i mindre grad’ mens yderligere 5 pct. mener, at de ’slet ingen tillid’ har til, at det offentlige passer godt på deres personlige oplysninger.”

Dette understreger altså meget godt, hvorfor det også er vigtigt for jer som privat virksomhed at værne om denne tillid.  

Behandling af personoplysninger med tredjepart

Lad os lige først få fastslået, hvad “behandling af personoplysninger” dækker over. Dansk Industri har i samarbejde med advokatfirmaet Bruun & Hjejle beskrevet det således: 

“Begrebet omfatter groft sagt enhver håndtering af en personoplysning, f.eks. indsamling af oplysninger, samkøring, videregivelse, opbevaring, ændring og sletning. Databeskyttelsesforordningen omfatter enhver automatisk (digital) behandling, men også manuel behandling er omfattet af Databeskyttelsesforordningen, hvis personoplysningerne er eller vil blive indeholdt i et register.”

Mange SaaS-virksomheder arbejder typisk sammen med andre samarbejdspartnere, for at kunne automatisere administrativt arbejde. Kort sagt: Gøre kundeoplevelsen og mulighederne med servicen bedre.

Men hvad er reglerne på området?

Regler for videregivelse af personoplysninger

Lad os tage et konkret eksempel. SaaS virksomheden Relion, der er et online vagtplanlægningssystem har lavet en integration til Salary (lønsystem), der gør lønudbetalingen nemmere for Relions kunder.

Hvis personoplysninger her bliver videregivet til en anden virksomhed, Salary, der dermed selv bliver dataansvarlig for oplysningerne skal de, Relion, også have et behandlingsgrundlag for at kunne foretage denne videregivelse.

Og hvad er en personoplysning så helt konkret? Hvis en oplysning kan knytes til en konkret person er der tale om en personoplysning. Helt konkret kunne en oplysning være: Navn, e-mail adresse, CPR-nr., kundenummer, fingeraftryk eller et portrætfoto.

Så skal du som dataansvarlig videreføre data til en anden dataansvarlig, skal der være et såkaldt “legitimt formål med overførslen”. Denne skal fremgå af artikel 6 eller artikel 9 i Databeskyttelsesforordningen.

Samme proces ville ligeledes gælde i dette tilfælde, hvor Relion har indgået et samarbejde med jobportalen SimplyJob. Det afgørende er dog, hvorvidt der videregives og behandles personoplysninger.

Brug for yderligere information og vejledning?

Nu er du klædt lidt bedre på i forhold til at sikre, at jeres virksomhed overholder gældende regler. Du kan læse mere mere om GDPR, regler og hyppigt stillet spørgsmål på Datatilsynet. 

Datatilsynet er den instans, der behandler og gennemfører tilsyn med myndigheder og virksomheder.