Pri­vat­livspo­li­tik under dansk lov­giv­ning

Be­skyt­tel­se af pri­vat­li­vets fred er en grund­læg­gen­de ret­tig­hed, der er ind­lej­ret i både EU's og Dan­marks lov­giv­ning. Virk­som­he­der, der ope­re­rer i Dan­mark, skal over­hol­de stren­ge regler for be­hand­ling af per­son­da­ta, som fast­lagt i Da­ta­be­skyt­tel­ses­for­ord­nin­gen (GDPR) og da­ta­be­skyt­tel­ses­lo­ven, der sup­ple­rer GDPR på na­tio­nalt niveau. Denne ar­ti­kel giver dig et over­blik over de vig­tig­ste krav til pri­vat­livspo­li­tik­ker for danske virk­som­he­der.

De­fi­ni­tion af pri­vat­livspo­li­tik

En pri­vat­livspo­li­tik er en er­klæ­ring, der in­for­me­rer bru­ge­re om, hvor­dan en virk­som­hed be­hand­ler per­son­lig data. Den fun­ge­rer som en del af virk­som­he­dens com­pli­an­ce-stra­te­gi og skal være gen­nem­sig­tig, let­for­stå­e­lig og til­gæn­ge­lig for den en­kel­te bruger.

Pri­vat­livspo­li­tik­ken skal bl.a. oplyse om:

• Hvilke typer per­so­nop­lys­nin­ger, der ind­sam­les.
• Da­ta­ansvar­li­ges iden­ti­tet og kon­tak­top­lys­nin­ger.
• For­må­let med ind­sam­lin­gen.
• Rets­grund­la­get for be­hand­lin­gen (f.eks. samtyk­ke eller kon­trakt).
• Hvor længe op­lys­nin­ger­ne gemmes.
• Bru­ge­rens ret­tig­he­der, her­un­der retten til ind­sigt, be­rig­ti­gel­se, til­ba­ge­træk­ning af samtyk­ke og slet­ning. Der­u­d­over kan det være på­kræ­vet at in­for­me­re om retten til at klage over be­hand­lin­gen til en til­syns­myn­dig­hed, ek­sem­pel­vis til Da­ta­til­sy­net.
• Even­tu­el­le tred­je­part­sover­førs­ler, her­un­der til lande uden for EU/EØS.

Krav om pri­vat­livspo­li­tik

Der gælder intet krav om, at virk­som­he­der eller or­ga­ni­sa­tio­ner har en pri­vat­livspo­li­tik. Per­son­da­ta­loven på­læg­ger dog virk­som­he­der og or­ga­ni­sa­tio­ner en op­lys­nings­pligt, hvil­ket in­de­bæ­rer, at virk­som­he­den skal oplyse om ind­sam­lin­gen af data. Derfor kan en pri­vat­livspo­li­tik være en god måde for virk­som­he­der og or­ga­ni­sa­tio­ner at op­fyl­de de krav, der frem­går i GDPR.

Op­lys­nings­plig­ten

Virk­som­he­der og or­ga­ni­sa­tio­ner har en pligt til at oplyse kunder og an­sat­te om, hvor­dan per­son­da­ta be­hand­les. Op­lys­nings­plig­ten kræver, at der gives in­for­ma­tion til den, der ind­sam­les per­son­da­ta om på en kort­fat­tet, gen­nem­sig­tig og let­for­stå­e­lig måde.

Juri­di­ske krav til pri­vat­livspo­li­tik­ker i Dan­mark

Da der ikke gælder noget krav om en pri­vat­lovspo­li­tik, gælder der li­ge­le­des ikke nogle for­mel­le regler om ind­hol­det i en pri­vat­livspo­li­tik. Men så­fremt pri­vat­livspo­li­tik­ken skal be­nyt­tes som værk­tøj til at op­fyl­de kra­ve­ne om per­son­da­ta­be­hand­ling, vil der være visse po­in­ter, der ville være gode at med­ta­ge.

Under GDPR og da­ta­be­skyt­tel­ses­lo­ven skal enhver virk­som­hed, der ind­sam­ler og be­hand­ler per­son­da­ta, op­fyl­de føl­gen­de krav:

a) Gen­nem­sig­tig­hed og in­for­ma­tions­pligt

Virk­som­he­der er for­plig­tet til at give klare og præ­ci­se op­lys­nin­ger til de re­gi­stre­re­de. Efter GDPR kræves, at in­for­ma­tio­nen le­ve­res på en "kort­fat­tet, gen­nem­sig­tig, for­stå­e­lig og let til­gæn­ge­lig måde". Dette be­ty­der, at juri­disk jargon bør undgås, og po­li­tik­ken bør være til­pas­set må­l­grup­pen. Der­u­d­over skal in­for­ma­tio­nen være let til­gæn­ge­lig, ek­sem­pel­vis gennem en pop-up med­del­el­se.

b) Lov­lig­hed, ri­me­lig­hed og da­ta­mini­me­ring

Pri­vat­livspo­li­tik­ker skal be­skri­ve, hvor­dan data be­hand­les i over­ens­stem­mel­se med prin­cip­per­ne om lov­lig­hed, ri­me­lig­hed og nød­ven­dig­hed. Kun data, der er nød­ven­di­ge for det an­giv­ne formål, kan lov­ligt ind­sam­les.

c) Do­ku­men­ta­tion og kon­trol

Virk­som­he­der skal do­ku­men­te­re deres da­ta­hånd­te­rings­pro­ce­du­rer og være i stand til at de­mon­stre­re com­pli­an­ce. Da­ta­til­sy­net i Dan­mark kan udføre tilsyn og på­læg­ge bøder og sank­tio­ner ved mang­len­de over­hol­del­se.

Bru­ger­ret­tig­he­der og kla­ge­mu­lig­he­der

En væ­sent­lig del af enhver pri­vat­livspo­li­tik er at in­for­me­re bru­ger­ne om deres ret­tig­he­der, som om­fat­ter:

• Retten til ind­sigt: Bru­ge­re kan anmode om at få adgang til de data, virk­som­he­den har om dem.
• Retten til be­rig­ti­gel­se og slet­ning: Bru­ge­re har ret til at få rettet fejl­ag­ti­ge op­lys­nin­ger eller få dem slet­tet, hvis der ikke læn­ge­re er et le­gi­timt formål.
• Retten til at trække samtyk­ke til­ba­ge: Hvis da­ta­ind­sam­lin­gen er ba­se­ret på samtyk­ke, kan dette til enhver tid træk­kes til­ba­ge.
• Retten til at klage: Hvis bru­ge­re mener, deres ret­tig­he­der er blevet kræn­ket, kan de klage til Da­ta­til­sy­net.

Prak­ti­ske an­be­fa­lin­ger til virk­som­he­der

For at sikre en ef­fek­tiv pri­vat­livspo­li­tik bør virk­som­he­der:

1. Fo­re­ta­ge en så­kaldt da­t­af­low­a­na­ly­se for at kort­læg­ge, hvor­dan data ind­sam­les, be­hand­les og op­be­va­res.
2. Udpege en da­ta­be­skyt­tel­ses­rå­d­gi­ver (DPO), hvis det er lov­plig­tigt, eller hvis virk­som­he­den hånd­te­rer store mæng­der per­son­lig data.
3. Re­gel­mæs­sigt op­da­te­re pri­vat­livspo­li­tik­ken i over­ens­stem­mel­se med lov­giv­nings­æn­drin­ger og nye for­ret­nings­me­to­der.
4. Im­ple­men­te­re tek­ni­ske og or­ga­ni­sa­to­ri­ske for­an­stalt­nin­ger for at be­skyt­te data mod uau­to­ri­se­ret adgang.

Sank­tio­ner for mang­len­de over­hol­del­se

Hvis en virk­som­hed eller en or­ga­ni­sa­tion ikke lever op til kra­ve­ne i GDPR og da­ta­be­skyt­tel­ses­lo­ven, ri­si­ke­rer virk­som­he­den eller or­ga­ni­sa­tio­nen bøder, af va­ri­e­ren­de stør­rel­se, eller di­ver­se sank­tio­ner. Der­u­d­over kan mang­len­de over­hol­del­se skade om­døm­me og føre til tab af kun­de­til­lid.

Har du brug for hjælp til at ud­ar­bej­de en pri­vat­livspo­li­tik, kan du kon­tak­te en juri­disk rå­d­gi­ver eller besøge Da­ta­til­sy­nets hjem­mesi­de for yder­li­ge­re vej­led­ning.

‼️ Med Aatos får du en juri­disk ser­vi­ce, der passer dit netop dit behov. Du undgår ven­te­ti­den og har altid en juri­disk kun­de­be­tje­ning til rå­dig­hed. Prøv Aatos al­le­re­de i dag!