Ledig stilling: Studentermedhjælper, Jurastuderende

Er du jurastuderende og har du indsigt i og viden om GDPR? Kunne det være interessant for dig at være studentermedhjælper i en opstartsvirksomhed med vind i sejlene? Så er det måske dig, vi leder efter.

Hos Lejendpo arbejder vi med GDPR for små og mellemstore virksomheder. Vi hjælper kunderne med deres compliance arbejde ud fra vores eget udviklede software ”ControlGDPR”.

Vi søger en studentermedhjælper, som skal kunne:

  • Forstå Persondataforordningen indgående, og kunne formidle den til udenforstående – primært via skriftlige beskrivelser
  • Være med til praktisk og konkret implementering hos kunder
  • Lave dokumentation
  • Hjælpe til med at komme med ideer til let forståelige hjælpeværktøjer
  • Lave FAQs om persondatalovgivningen

Din profil
Du trives med at arbejde selvstændigt, og du har en analytisk tilgang til opgaverne. Du er løsningsorienteret og tænder på højt tempo og alsidige opgaver i en dynamisk og ung virksomhed, der er præget af god stemning, humor, internationalt udsyn og udvikling. Du kan lide at være i kontakt med kunder, og er et rart og troværdigt menneske.

Vi tilbyder
En 10-20 timers stilling og vi er fleksible i forhold til spidsbelastninger i din uddannelse. Lejendpo sidder sammen med en række andre virksomheder, så der sker altid noget på kontoret.
Fast god timeløn + attraktiv bonusordning. Frokostordning.

Gode lyse kontorfaciliteter 1 minuts gang fra Nørreport station.

Er du studentermedhjælperen, vi leder efter? Så send din ansøgning og CV til Direktør Michael Nielsen på info@lejendpo.dk Du er også velkommen til at ringe på 51861616 med spørgsmål til stillingen.

Skal vi have en databeskyttelsesrådgiver (DPO)?

Vi får ofte spørgsmålet fra vores kunder: ”Skal vi ansætte en DPO?” I langt de fleste tilfælde er svaret nej. Her er dog en gennemgang af reglerne, hvis du ikke er helt sikker. Gennemgangen dækker kun private virksomheder.

Private virksomheder skal opfylde tre betingelser for at være tvunget til at ansætte en DPO.

  1. De skal behandle personoplysninger som en kerneaktivitet
  2. Personoplysningerne skal behandles i stort omfang
  3. De skal regelmæssigt og systematisk overvåge personer eller behandle personfølsomme oplysninger eller oplysninger om strafbare forhold.

Der skal med andre ord rigtigt meget til, før du lander i den kategori.

Kerneaktivitet
Når persondataforordningen taler om, at virksomheden skal have behandling af personoplysninger som sin kerneaktivitet, menes der ikke de almindelige aktiviteter, mange virksomheder foretager. Det er altså ikke behandling af medarbejderoplysninger i HR eller kundeoplysninger i salg, der hentydes til. Selve behandlingen skal være kerneydelsen. Det kan eksempelvis være rekrutteringsvirksomheder, der lever af at behandle oplysninger om ansøgere.

De færreste virksomheder behandler personoplysninger som en kerneaktivitet.

Stort omfang
Hvis man behandler store mængder af persondata, oplysninger om mange personer, i lang tid og over store geografiske afstande, så skal man overveje, om man behandler persondata i stort omfang. Men der skal virkelig være tale om et stort omfang. Større forsikringsselskaber, privathospitaler og teleudbydere vil være omfattet, men det skal være i det omfang.

Vores råd
De færreste danske virksomheder skal have en DPO. Hvis du er i tvivl, er du meget velkommen til at kontakte os for en uforpligtende vurdering.

Hvad gør du, hvis en kunde tilbagekalder sit samtykke?

Forestil dig den her situation: Du har haft en kunde i et par år. Oprindeligt har han givet sit samtykke til, at du behandler en masse oplysninger om ham, så du kan levere din service. Nu kalder han samtykket tilbage.

Det er et mareridtsscenarie for rigtigt mange virksomheder.

Hvad gør du nu?
Ifølge den nye persondataforordning, som træder i kraft til maj, kan en person på ethvert tidspunkt kalde sit samtykke om, at du kan behandle hans oplysninger, tilbage. Konsekvensen er, at du skal slette alle personoplysninger om ham.

Du skal altså rundt i alle dine systemer, dokumenterne på dit fildrev, mails på din mailserver – og slette alle oplysningerne. Med mindre…

Du skal slette alle oplysningerne, med mindre du har en anden hjemmel end samtykket til at beholde oplysningerne. Vi har tidligere skrevet om de mulige hjemler her [LINK].

Vores råd
Det her er rigtigt svært, og vi holder alle sammen spændt vejret for at se, om den her rettighed vil blive flittigt brugt. Det er under alle omstændigheder en god ide allerede nu at overveje en procedure for, hvordan du vil håndtere det. I langt de fleste virksomheder vil det blive lidt af et hestearbejde, men det bliver lettere, hvis du gør det systematisk.

Sådan kommer du i gang med databehandleraftaler

Hvis du har nogen, der behandler persondata på vegne af dig, skal du – når den nye persondataforordning træder i kraft – indgå en skriftlig aftale om behandlingen. Kravene til aftalen er omfattende. Her er de:

Aftalen skal indeholde:

  • Hvad det er, der behandles og typen af oplysninger,
  • Varigheden,
  • Hvilken form for behandling, der er tale om,
  • Kategorier af registrerede,
  • Instruksen til databehandleren,
  • At databehandlerens ansatte er underlagt fortrolighed,
  • At databehandleren skal sørge for passende sikkerhed,
  • At databehandleren skal leve op til persondataforordningens krav og hjælpe dig med at overholde forpligtelserne,
  • At databehandleren skal slette og returnere oplysninger, når du beder om det, og
  • At databehandleren kan dokumentere behandlingen

Vore råd

Databehandleraftalen er et af de steder, hvor det ofte giver mening at få rådgivning – især hvis databehandleren bor i et ikke-EU-land. Hvis du gerne vil prøve selv, har Datatilsynet udarbejdet en skabelon, som du kan finde lige her.

Er du dataansvarlig – eller er du databehandler? 7 spørgsmål, du kan stille dig selv

Engang imellem bliver vores kunder i tvivl om, hvorvidt de er dataansvarlige eller databehandler. Det er afgørende at finde ud af, fordi kravene til de to er helt forskellige. Her er 7 spørgsmål, som kan hjælpe dig.

Helt overordnet er den dataansvarlige den, der afgør til hvilket formål og med hvilke hjælpemidler, behandlingen foretages.

Databehandleren behandler personoplysningerne på den dataansvarliges vegne.

Det er altså afgørende, hvem der bestemmer formålet og hjælpemidlerne.

Du kan stille dig selv disse spørgsmål:

  1. Behandles oplysningerne til mine formål? Hvis ja, så er du dataansvarlig.
  2. Behandler den anden udelukkende oplysninger for mig? Hvis ja, så er du dataansvarlig, og den anden er databehandler.
  3. Jeg behandler disse oplysninger, fordi loven siger, at jeg skal? Hvis ja, så er du dataansvarlig.
  4. Jeg har instrueret den anden i, hvad der skal gøres med personoplysningerne? Hvis ja, så er du dataansvarlig, og den anden er databehandler.
  5. Jeg godkender det altid, når den anden skal behandle data? Hvis ja, så er du dataansvarlig, og den anden er databehandler
  6. Jeg kontrollerer, om den anden gør, som jeg siger. Hvis ja, så er du dataansvarlig.

De personer, der afgiver oplysninger, har en forventning om, at det er mig, der behandler oplysningerne? Hvis ja, så er du dataansvarlig.

Skal jeg lave et register over alle mine data?

En undtagelse i persondataforordningen har fået mange små virksomheder til at ånde lettet op. Virksomheder med under 250 ansatte skal nemlig ikke lave et register over deres behandling af persondata. Men der er ingen grund til optimisme. Reglen er så snæver, at langt de fleste ligeså godt kan komme i gang med at oprette en fortegnelse. Bliv klogere på reglen her.

Hvis du allerede ved, at du skal udarbejde en fortegnelse, så kan du her læse mere om, hvilke informationer der skal indgå i fortegnelsen.

Selvom persondataforordningen undtager virksomheder med mindre end 250 ansatte for kravet om fortegnelse, vil de fleste opleve, at undtagelsen ikke har den store betydning.

Behandlingen er ikke lejlighedsvis
Det skyldes især, at man stadig skal føre en fortegnelse, hvis behandlingen af personoplysninger ikke sker lejlighedsvis.

Det betyder eksempelvis at almindelige behandlinger af personoplysninger i HR-afdelingen stadig skal registreres i en fortegnelse. Det betyder også, at hvis du opkræver et abonnement fra dine kunder en gang årligt – så skal det også registreres. I det hele taget skal du registrere alle de processer, som du løbende gentager.

Derudover skal man lave en fortegnelse, hvis behandlingen medfører risiko for den registreredes rettigheder, eller hvis der er tale om personfølsomme oplysninger eller oplysninger om lovovertrædelser.

Vores råd
De fleste virksomheder, der behandler personoplysninger, gør det som et led i deres forretning. Det betyder også, at de behandler oplysninger med jævne mellemrum – eller lejlighedsvis, som det hedder i forordningen. Derudover betyder undtagelsen ikke, at du kan glemme at tage stilling til, om din behandling af data er i overensstemmelse med forordningen.

Vores råd er derfor, at man opretter en fuldstændig fortegnelse og ikke bruger tid på denne undtagelse. Hvis du bruger vores IT-system, ControlGDPR, får du helt automatisk en fortegnelse.

Efter den 25. maj skal du have en fortegnelse over dine data. Her er, hvad den skal indeholde

Når den nye persondataforordning træder i kraft, skal du kunne dokumentere, at du overholder reglerne. Derfor indfører den et krav om, at du opretter en fortegnelse over alle de behandlinger af persondata, som du udfører.

Her er en gennemgang af, hvad den fortegnelse skal indeholde:

Navn og kontaktoplysninger
Først og fremmest skal den indeholde navnet på din virksomheder og dine kontaktoplysninger. Du skal dog lægge mærke til, at fortegnelsen er et internt dokument. Det skal altså ikke sendes til Datatilsynet, med mindre de beder om det.

Formål
Du må ikke behandle persondata, med mindre det har et klart formål. Det eller de formål skal angives i fortegnelsen.

Kategorier af registrerede
Du skal kategorisere de registrerede. Det kan eksempelvis være:

  • Børn og unge under 18
  • Ansatte
  • Tidligere ansatte
  • Kunder
  • Leverandører

Kategorier af personoplysninger
Du skal som minimum kategorisere personoplysningerne i:

  • Almindelige oplysninger
  • Personfølsomme oplysninger
  • Oplysninger om strafbare forhold

Hvis du har personfølsomme oplysninger, skal du være opmærksom på, at du skal angive den specifikke kategori af personfølsomme oplysninger.

Kategorier af modtagere
Hvis du videresender oplysninger (eksempelvis dine HR-oplysninger til et pensionsselskab), skal du angive modtagerne. Her skal du især være opmærksom på, om du videresender oplysningerne til ikke-EU-lande.

Slettefrister
Du skal også angive, hvornår du sletter oplysningerne igen.

Tekniske og organisatoriske foranstaltninger
Hvis du har begrænset adgangen af data til nogle bestemte medarbejdere, eller du gennemfører træning af medarbejdere for at gøre dem opmærksomme på problemstillinger i forbindelse med behandlingen, skal dette også registreres.

Hvis du bruger vores IT-system, ControlGDPR, får du helt automatisk en fortegnelse.