Hvem er bange for Datatilsynet?
Hvilke myter i forhold til databeskyttelsesforordningen støder Datatilsynet oftest på? Og hvad er fakta? I forbindelse med k-dagen ”GDPR-status for K-folket” 19. februar besøgte jeg Amanda Lærke Vad fra Datatilsynet for at spørge ind til, hvor de fleste går helt galt i byen. Artiklen er et opslagsværk for dig, der er i tvivl om specifikke GDPR-spørgsmål.
Datatilsynet levede indtil 2018 en tilbagetrukket tilværelse. Ukendt af langt de fleste danskere – og ofte ignoreret af organisationer.
Men det blev ændret i løbet af 2018, hvor databeskyttelsesforordningen blev det nye sort. Bogstaveligt talt, for det var mange, som gik i sort, når de – hvad end de ville det eller ej – skulle forholde sig til noget, som de færreste egentlig fattede. Og egentlig gad beskæftige sig med.
Dermed kom der som aldrig før spotlight på Datatilsynet, som nogle begyndte at frygte.
Jeg har som GDPR-rådgiver således ofte oplevet kursister og kunder, som med frygt i øjnene har spurgt, hvad de dog skulle stille op, når selveste D-a-t-a-t-i-l-s-y-n-e-t sparkede døren ind. Som var det selve den spanske inkvisition. Og der var nogle, som havde fået det indtryk, at Datatilsynet 25. maj 2018 ville fare land og rige rundt i julemandstempo, og som en anden drage spy en bøde-ildregn ud over det ganske land.
YouSee stod midt i en GDPR-skandale i november 2018, da de ved en fejl sendte en masse mails ud til gamle kunder. Foto: Martin Frøland/Ritzau Scanpix
På den baggrund kan det måske være en overraskelse for nogle, når jeg nu afslører, at da døren gik op kl. 10.29, er det et venligt og imødekommende ... menneske, som byder velkommen. Ingen spansk inkvisitor – ej heller en ildsprudlende drage. Men derimod Amanda Lærke Vad, som er specialkonsulent i Datatilsynet, som jeg hilser på for første gang.
.png)
Amanda Lærke Vad. Hverken spansk inkvisitør eller drage.
Vi går forbi Datatilsynets tidligere reception, som i dag er inddraget til kontorplads. Et vidnesbyrd om Datatilsynets vækst fra cirka 35 ansatte i 2017 til nu over 50, primært jurister og it-specialister. En enkelt kommunikationskonsulent er det minsandten også blevet til. Derudover består arbejdsopgaverne bl.a. i at føre tilsyn og lave afgørelser vedrørende persondatabehandling i Danmark – og Grønland. Lidt inkvisitor er man vel altid.
Inden vores aftale har Amanda konfereret med kollegaer om de myter, som tilsynet også bliver konfronteret med, fx i telefonrådgivningen. Og hvor det er, folk går mest galt i skoven. Dem præsenterer Amanda mig for i en ikkeprioriteret rækkefølge.
Bemærk også, at nedenstående er skrevet som små afsluttede afsnit, så du kan bare scrolle ned og læse om det, som er relevant for netop dig.
Amanda lægger hårdt ud:
Kommuner uden samtykke
Amanda: ”Vi får mange spørgsmål vedrørende samtykke. Dels borgere, som undrer sig over, at en virksomhed eller fx en kommune må behandle deres personoplysninger uden samtykke. Det må de i langt de fleste tilfælde gerne. For der findes i lovgivningen en række gyldige grunde, dvs. behandlingshjemler, til at behandle personoplysninger. Samtykke er kun én af behandlingshjemlerne, og måske ikke i alle tilfælde den bedste, da den registrerede jo har ret til at trække samtykket tilbage. Så det er en god ide at overveje de andre hjemler også.
Flere virksomheder spørger også ind til fx udformningen af et samtykke. I den forbindelse spørger vi dem tit, om de overhovedet har overvejet en af de andre behandlingshjemler. Det har de ofte ikke, og så kan vi guide dem frem til, om et andet behandlingsgrundlag måske er bedre egnet.”
Kort sagt: Det er en myte, hvis man tror, at samtykke er det eneste lovlige grundlag for at behandle personoplysninger – man bør altså overveje, om en af de andre grunde er bedre egnet.
Herning Kommune udleverede personlige oplysninger om Bo Lyngvig uden hans samtykke. Det var i strid med persondataloven. Foto: ASTRID DALUM/Ritzau Scanpix
Personfølsomme oplysninger
Amanda: ”Begrebet ’personfølsomme oplysninger’ kan vi ikke lide. Det giver en masse misforståelser.
Grunden til, at det giver en masse misforståelser, er, at man aldrig ved, om den, der anvender begrebet, faktisk mener ”personoplysninger”, ”følsomme personoplysninger” mv.
Der er fx virksomheder, som ringer ind for at spørge, om de skal overholde vores lovgivning, og i den forbindelse fortæller, at de altså ikke indsamler personfølsomme oplysninger som personnummer og lign.
Her er misforståelserne flere. For at tage det helt fra starten må vi så oplyse, at vores regler gælder for alle, der behandler personoplysninger – og at personoplysninger er en samlebetegnelse for alle de oplysninger, som kan knyttes til en fysisk person.
Der findes så forskellige kategorier af personoplysninger, herunder almindelige personoplysninger (både fortrolige og ikke-fortrolige) og følsomme personoplysninger. Kategorien af personoplysninger kan have en betydning for, hvordan du skal behandle oplysningerne, men vores regler gælder for behandlingen uanset kategori. Desuden kan jeg oplyse, at et personnummer er en fortrolig personoplysning, men ikke en følsom oplysning."
Oplysningspligt
Amanda: "Rigtig mange fokuserer på behandlingshjemlen, men glemmer oplysningspligten. Man glemmer at give en række oplysninger om behandlingen til den person, man registrerer oplysninger om. Det kan også være, at man faktisk gør oplysningerne tilgængelige, men ikke aktivt giver disse til den registrerede. Fx er det ikke nok, at oplysningerne bare indgår i en persondatapolitik, som ligger et sted på virksomhedens hjemmeside.
I forbindelse med en registrering, fx tilmelding til et nyhedsbrev, så skal virksomheden aktivt give den registrerede de pågældende oplysninger, fx ved at skrive, at der i forbindelse med tilmeldingen behandles oplysninger om personen, og linke direkte til det sted i privatlivspolitikken eller et andet sted på hjemmesiden, hvor de nødvendige oplysninger om behandlingen er beskrevet."
Konklusion: Husk, at du aktivt skal fortælle den registrerede, hvordan du/din organisation håndterer vedkommendes personoplysninger i forbindelse med, at du indsamler oplysningerne.
Særlig godkendt af Datatilsynet
Amanda: ”Vi har nogle gange oplevet på diverse hjemmesider, at der står noget i retning af: ”Vi er godkendt af Datatilsynet til behandling af personfølsomme oplysninger” eller ”Vores servere er overvågede af Datatilsynet”. Det er lidt noget vrøvl – man kan ikke på den måde blive generelt godkendt af Datatilsynet til at behandle personoplysninger. Og vi overvåger heller ikke servere.
Alle virksomheder, myndigheder mv., som behandler personoplysninger er underlagt databeskyttelsesreglerne og derved også Datatilsynets kontrol. Det betyder altså ikke, at man er særlig godkendt af tilsynet.”
Kort sagt: Brug din kritiske sans, hvis nogen på den måde gnubber sig op af Datatilsynet.
Det er meningsløs snak at påstå, at man er godkendt af Datatilsynet til at opbevare og behandle relevante personoplysninger.
Du kan altid få slettet eller rettet dine personoplysninger
Amanda: ”Mange tror fejlagtigt, at man altid med databeskyttelsesforordningen i hånden kan få slettet personoplysninger. Det er dog langtfra altid tilfældet. Hvis fx en offentlig myndighed har lavet en faglig vurdering af ens forældreevne, som man er uenig i, kan man af gode grunde ikke altid få oplysningerne rettet, selvom man selv opfatter oplysningerne som urigtige.
Som virksomhed skal man også være opmærksom på, at der kan være en del situationer, hvor man ikke må slette fx kunders oplysninger, fordi det følger af en anden lovgivning, at man skal gemme dem i et bestemt tidsrum. Fx siger bogføringsloven, at en faktura skal gemmes i fem år. Så dur det ikke, at en virksomhed vælger – efter anmodning – at slette fakturaer med personens navn."
Kort sagt: Klap hesten – personoplysninger skal ikke altid slettes, fordi en person forlanger det. Omvendt skal man jo altid huske selv at slette oplysningerne, når man ikke længere har en saglig grund til at opbevare dem (princippet om opbevaringsbegrænsning).
Breaking: Databeskyttelsesforordningen trådte IKKE i kraft 25. maj 2018
Amanda: ”Det er måske ikke det allervigtigste, men sagen er den, at databeskyttelsesforordningen trådte i kraft 24. maj 2016. Det fremgår så af forordningens allersidste artikel, at den først finder anvendelse to år efter, altså 25. maj 2018. Pointen er, at når virksomheder ringer ind til os og giver udtryk for, at forordningen jo først lige er trådt i kraft, og de derfor skal have tid til at få den implementeret, så må vi jo forklare, at de faktisk har haft to år til at få styr på sagerne.”
Mig: Hvorfor kan det så være, at nogle vejledninger ikke lå klar 25. maj 2018?
Amanda: ”Det er rigtigt, at nogle vejledninger kom senere, end man kunne ønske, men Datatilsynet har brugt meget tid og energi på at udarbejde vejledningsmateriale i de to år op til, at forordningen skulle finde anvendelse. Tilsynet har udover vejledningerne fx været med til at udarbejde betænkningen om forordningen og lanceret en ny hjemmeside med opdaterede vejledningstekster.
Herudover hænger det sammen med en anden myte på det her område – nemlig, at databeskyttelsesforordningen består af helt nye – og uforståelige – regler, som man ikke kan begynde at efterleve, før alle tilsynets vejledninger er offentliggjort."
Databeskyttelsesforordningen trådte faktisk ikke i kraft den 25. maj 2018. Det gjorde den to år tidligere, 24. maj 2016. Foto: Getty Images.
Databeskyttelsesforordningen – en genbrugsting!
Amanda: ”Langt det meste i databeskyttelsesforordningen er slet og ret genbrug af persondataloven, som levede sit stille liv i perioden 2000-2018. De grundlæggende principper om, hvordan man skal behandle personoplysninger, er stort set de samme. Det er heller ikke noget nyt, at man skal slette oplysninger, som man ikke længere har et sagligt formål med at behandle.
Hvis man alligevel skal nævne nogle af de nye ting, kan man fx pege på: dokumentationskravet; at man skal lave fortegnelser over behandlingsaktiviteter, jf. forordningens artikel 30; at bøderammen er blevet markant udvidet; at visse organisationer, herunder alle offentlige institutioner, skal have en databeskyttelsesrådgiver [også kaldet en DPO, red.], og øgede krav i forbindelse med håndtering af brud på persondatasikkerheden."
Kort sagt: Hvis du synes, at alt omkring håndtering af personoplysninger er nyt, så er det, fordi du har snorksovet indtil GDPR-gonggongen fik dig vækket. Godmorgen!
Personoplysninger, hvad? Hvis GDPR var første gang, du har hørt om at håndtere persondata, så har du sovet i timen. Foto: Getty Images.
Risikovurderinger for kunden - ikke kun for virksomheden
Amanda: ”Mange virksomheder ved, at de skal lave en risikovurdering. Men det vi ofte oplever, er, at det er risikoen for virksomheden, som de har i fokus. Det vil sige risikoen for, at virksomheden mister kunder, får en bøde, bliver hængt ud i medier og lignende. Det er helt o.k. og fornuftigt, at virksomheder gør sig sådanne overvejelser.
De skal bare være opmærksomme på, at den databeskyttelsesretlige risikovurdering – der er et krav om at udarbejde efter forordningens artikel 32 – skal fokusere på risikoen for de registrerede, fx risikoen ved at oplysningerne kommer til uvedkommendes kendskab. Man skal så gennemføre det sikkerhedsniveau, der er passende i forhold til disse risici."
Kort sagt: Det er de registrerede, som er omdrejningspunktet i en databeskyttelsesretlig risikovurdering.
Databehandleraftaler
Amanda: ”Vi får en del henvendelser vedrørende databehandleraftaler – og hvornår de skal indgås. Det er måske ikke en myte eller misforståelse vedrørende databeskyttelsesforordningen, men det er noget, som mange har svært ved at vurdere – og det er også svært.
I forbindelse med vores vejledning om databehandlere og dataansvarlige har vi forsøgt at gøre det klart, at der ikke nødvendigvis skal indgås en databehandleraftale hver gang, der sker en udveksling af personoplysninger mellem to parter. En databehandleraftale er egentlig kun relevant, hvis hele eller en del af ydelsen/aftalen mellem de to parter i sig selv er behandling af personoplysninger.
Som dataansvarlig kan man derfor spørge sig selv, om den aftale, man har med en ekstern part, helt eller delvist drejer sig om, at parten skal behandle personoplysninger efter ens instruks og til ens egne formål.
Det kræver fx ikke en databehandleraftale, hvis en virksomhed vil sende en buket blomster til en medarbejders hjemmeadresse og derfor videregiver oplysninger om navn og adresse på medarbejderen til blomsterforretningen. I den forbindelse er forretningen selv ansvarlig for behandlingen af navnet og adressen, fordi det er dem, der har bestemt, at de skal bruge de pågældende oplysninger for at kunne levere deres ydelse – at levere blomster.”
Kort sagt: Slap nu af med alle de databehandleraftaler – og læs denne vejledning grundigt, så du undgår at spille din og andres tid.
Slettefrister og facitliste
Amanda ”Noget andet, som giver anledning til spørgsmål, er slettefrister. Der er nogle, som tror, at databeskyttelsesforordningen har en facitliste i forhold til, hvornår personoplysninger skal slettes. Det er imidlertid ikke korrekt. Det afhænger altid af en konkret vurdering. Medmindre der i en anden lovgivning, fx forvaltningsloven, bogføringsloven eller lignende, er angivet nogle konkrete årstal på, hvor lang tid en bestemt type oplysning skal gemmes eller evt. slettes.”
Mig: ”O.k. – hvad gør man så?”
Amanda: ”Man må vurdere, hvor længe oplysningerne er relevante i forhold til det/de formål, de er indsamlet til. Det er altså ikke nok at tænke: ’Det kunne da være meget rart at have personoplysning x liggende i 10 år, just in case’. Der skal en god/saglig grund til – set med den registreredes briller – at beholde oplysningerne.”
Kort sagt: Sæt nu bare pris på, at der ikke er rigide slettefrister, du SKAL overholde. Du og din organisation kan fastsætte slettefrister, som giver mening – især for den registrerede.
Det er en konkret vurdering hver gang, du skal finde ud af, om du skal slette oplysninger. Foto: Getty Images
Forbudsforordningen
Amanda: ”En af de måske største myter om databeskyttelsesforordningen er, at det er en forbudsforordning. Det er altså ikke tilfældet, ligesom forordningen heller ikke er lavet af EU for at lukke europæiske virksomheder på stribe. Det er derimod en forordning, som tvinger organisationer til at tænke sig om og tage ansvar for, at de behandler oplysninger om fysiske personer, som har krav på, at oplysningerne behandles på en lovlig, retfærdig og gennemsigtig måde.
Forordningen skal altså få organisationerne til at stille spørgsmål til deres egen behandling af personoplysninger, fx ved at spørge: Hvilken gyldig grund, også kaldt en behandlingshjemmel, kan vi bruge for at behandle disse oplysninger?
I øvrigt er der ikke ting, som er blevet forbudt på grund af forordningen, hvilke ikke også var forbudte med den gamle persondatalov. Som fx at offentliggøre andres helbredsoplysninger uden en gyldig grund.”
Tiden går hurtigt i godt selskab, og pludselig er der gået den time, som var afsat. Jeg spørger, om hun har en bagkant, da jeg også oplever forskellige misforståelser og myter vedrørende persondatabeskyttelse. Vi fortsætter således yderligere en halv time.
Sikkerhedsbrud i forbindelse med forkert sendt e-mail
Mig: ”Jeg har hørt, at I kræver, at såfremt en e-mail bliver sendt til en forkert modtager, så er der reelt tale om et sikkerhedsbrud, som skal anmeldes til jer i Datatilsynet – fup eller fakta?”
Amanda: ”I den givne situation skal den dataansvarlige vurdere, om det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Hvis der ikke vurderes at være nogen risiko, kan man undlade at anmelde bruddet til Datatilsynet. Hvis du fx forud for dette interview ville sende mig en e-mail, som blot bekræftede vores aftale, men du ved en fejl kom til at sende e-mailen til en anden person – så tænker jeg ikke, at du skal involvere Datatilsynet.
Hvis du i stedet kom til at sende en almindelig e-mail med fortrolige eller følsomme personoplysninger til en forkerte modtager, så er det klart noget andet. Her vil der endda være tale om et dobbelt sikkerhedsbrud, fordi 1) oplysningerne er sendt til den forkerte modtager, og 2) oplysningerne skulle have været sendt via en sikker forbindelse.”
Kort sagt: Skynd dig langsomt, når du sender e-mails – hellere kontrollere en ekstra gang, inden du sender.
Fødselsdagslister på arbejdspladsen
Mig: ”Jeg har hørt, at nogle virksomheder har været meget grundige i deres arbejde med at rydde op i persondata. Og de fx har forbudt, at der sættes fødselsdagsoversigter op og/eller hvem-tager-boller-med-på-fredag-skemaer. Hvad tænker du om det?”
Amanda: ”Det er ikke noget, jeg er stødt på, men i den situation kan man jo lave en interesseafvejning mellem virksomhedens interesse i at sætte fx en fødselsdagsoversigt op på et område, som, lad os sige i udgangspunktet, er forbeholdt de ansatte, kontra den interesse, som medarbejderne kan have i, at listen ikke deles med de andre kollegaer.
Jeg tænker, at det i langt de fleste tilfælde vil være helt o.k. med sådanne lister, medmindre nogle særlige forhold gør sig gældende. Hvis en bestemt person har gjort opmærksom på, at vedkommende ikke ønsker fx sin fødselsdato delt med de andre, så må man lave en fornyet vurdering i forhold til delingen af denne persons oplysninger. Jeg tror faktisk, at vi selv har en liste med fødselsdatoer liggende på vores intranet.”
Kort sagt: Slap nu lige lidt af, og brug den sunde fornuft.
Er det slut med at vide, hvornår Berit fra regnskab har fødselsdag? Måske ikke. Foto: Getty Images
Må uopfordrede ansøgninger sendes pr. e-mail
Mig: ”Der har i medierne været skriverier om, at man ikke længere må sende uopfordrede ansøgninger pr. e-mail. Og jeg ved, at en del, hvis ikke mange virksomheder, er begyndt at nægte modtagelse af uopfordrede ansøgninger sendt pr. mail. Er forbuddet en myte?”
Amanda: ”Både ja og nej. Problemstillingen hænger sammen med vores udmelding om, at fortrolige og følsomme personoplysninger som udgangspunkt skal sendes via en sikker (krypteret) forbindelse. Hvis en virksomhed så opfordrer til, at potentielle ansøgere skal medsende deres eksamensbevis (med karakterer og ofte også personnummer) eller andre fortrolige eller følsomme oplysninger, så går det ikke, at de samtidig opfordrer til, at ansøgningen indsendes via en usikker forbindelse.
De bør i stedet give mulighed for, at ansøgeren kan indsende oplysningerne på en sikker måde. Hvis ansøgeren alligevel vælger at indsende en jobansøgning med fortrolige eller følsomme oplysninger på en usikker måde, så er virksomheden ikke ansvarlig for denne handling.
Virksomheden er dog stadig ansvarlig for den måde, de opbevarer ansøgningen på, når den er kommet frem. Hvis fx et supermarked søger ungarbejdere til butikken, og der i stillingsopslaget ikke opfordres til, at en ansøgning skal indeholde oplysninger af fortrolig eller følsom karakter, så mener jeg omvendt godt, at man kan opfordre til, at ansøgningen sendes til virksomhedens almindelige e-mailadresse."
En undersøgelse fra Beskræftigelsesministeriet viser, at 54 procent af dem, der var i personlig kontakt med en virksomhed, fik job. Men er det overhovedet muligt efter GDPR? Foto: Getty Images
Er det slut med deltagerlister i forbindelse med kurser?
Mig: ”Når Kforum afholder deres kursus om GDPR for k-folk i februar, så vil der være en deltagerliste til hver af deltagerne. Der er dog nogle, som mener, man ikke længere må uddele sådanne lister til deltagerne – hvad tænker du?
Amanda: ”Jeg tænker, at det som udgangspunkt er helt o.k., medmindre der er særlige forhold, som gør sig gældende. Dog skal man huske oplysningspligten. Her skal man jo oplyse om, hvordan man håndterer de oplysninger, man behandler, fx at en kursustilmelding kommer på en deltagerliste og bliver distribueret til de andre kursister.
Hvis en kursist har et problem med det, så har vedkommende jo mulighed for inden kurset at bede om ikke at komme på deltagerlisten. Det er også et godt eksempel på gennemsigtighed.”
Kort sagt: Husk den sunde fornuft – og oplysningspligten.
Bøder
Mig: ”Du har ikke nævnt bøderne, men jeg oplever, at de har fået måske lidt for stor fokus. Og der er nogle ,som i deres tilgang tror, at bare de laver den mindste fejl, så vanker der en bøde, som kommer til at tage livet af virksomheden.”
Amanda: ”Det er rigtigt, at mange går meget op i det med bøderne, men vi har faktisk en bred vifte af sanktionsmuligheder. Udover politianmeldelse (med henblik på bøde) kan vi fx udtale kritik og udstede henholdsvis påbud og forbud. Og så er der naturligvis også den mulighed, at vi fx på et tilsyn konstaterer nogle forhold, som formelt set ikke er i overensstemmelse med forordningen, men hvor vi vurderer, at der er tale om bagateller, og vi derfor finder det mere formålstjenligt at yde rådgivning og vejledning.
Man skal dog heller ikke tage fejl af, at politianmeldelse med henblik på (også store) bøder er en reel risiko, hvis man begår grove overtrædelser. Det er dog domstolene, som i sidste ende afgør skyldsspørgsmålet og bødeniveauet.”
Kort sagt: Du skal nok ikke forvente en bøde i milliardstørrelsen, hvis du kører 51 km. i byzone, for nu at bruge den analogi. Men kører du virkelig råddent og fx kører nogen ned, så kan du risikere grimme konsekvenser.
Datatilsynet kommer aldrig forbi
Mig: ”Selvom I har måtte droppe receptionen, fordi I er blevet en del flere ansatte, så er chancen vel minimal for, at I kommer på tilsyn lige præcis hos vedkommende, som læser denne artikel netop nu?”
Amanda: ”I stedet for at fokusere så meget på, om vi kommer på tilsynsbesøg eller ej, bør man måske bare fokusere på at overholde reglerne for at sikre de registreredes privatliv bedst muligt. Lidt i stil med din trafikmetafor: I stedet for at kigge efter fartkontroller og politibiler, så fokusér på at respektere færdselsloven.
Vi har faktisk med forordningen fået udvidet vores tilsynskompetence, så vi nu også kan komme på besøg hos alle i den private sektor, som behandler personoplysninger. Det man imidlertid også skal huske, er, at vi ikke kun kan anvende vores sanktioner i forbindelse med planlagte tilsynsbesøg. Vi behandler jo også klagesager fra registrerede og tager sager op ad hoc, fx i forbindelse med brud på persondatasikkerheden eller på baggrund af relevante henvendelser fra borgere, medier eller lignende.”
Mig: ”O.k., men hvis I så kommer ud, kommer I så bare uanmeldt og sparker døren ind til en sagesløs organisation?
Amanda: ”Nej, det er typisk ikke sådan, det foregår. Det kan fx ske sådan, at vi sender et brev, hvor vi beder organisationen om at sende os deres fortegnelser, og samtidig meddeler, at vi har besluttet at føre tilsyn med organisationens efterlevelse af fx kravet om at føre fortegnelser over behandlingsaktiviteter. I brevet varsler vi så samtidig, at de vil få besøg af os måske 3-4 uger ude i fremtiden. De dokumenter, som vi efterspørger forud for selve tilsynsbesøget, skal dog ofte sendes til os inden for en kort frist. Man skal derfor have de nødvendige dokumenter liggende færdige, så de kan udleveres til tilsynet efter vores anmodning."
Er det sandt, at Amanda ikke er en drage?
Hvis du ved selvsyn vil se, at Datatilsynet i skikkelse af Amanda Lærke Vad rent faktisk ikke er en ildsprudlende drage, så kan du møde hende – og stille spørgsmål, når Kforum 19. februar 2019 afholder kurset ”GDPR-status for k-folket”. Hvis du ikke kan den dag, eller du ikke arbejder med kommunikation til daglig og derfor ikke er specielt interesseret i sociale medier, håndtering af billeder, web mm. i relation til GDPR, så husk, at du altid kan besøge Datatilsynets hjemmeside.
Her er en række vejledninger og tekster, som forklarer mere om håndtering af persondata. Husk også, at du kan ringe – både som borger og virksomhed – og stille spørgsmål direkte til tilsynets kyndige medarbejdere. God fornøjelse – uanset hvad du vælger.
