Find medarbejder
Find medarbejder

Den nye Persondataforordning er på vej

Persondata.jpg
Persondataforordningen træder i kraft 25. maj 2018, men sørg for allerede nu at blive klar.
04-05-2016

Den 4. maj 2016 blev den vedtagne Persondataforordning (EU) 2016/679 offentliggjort i EU tidende.

Reglerne træder i kraft 20 dage efter offentliggørelsen, og senest den 25. maj 2018 skal virksomheder og offentlige myndigheder opfylde alle forordningens krav.

Som det fremgår nedenfor, så stiller den nye Persondataforordning store krav, da den medfører, at der skal ske adfærdsændringer, processer skal ændres, og at virksomhederne desuden skal kunne dokumentere, at de overholder Persondataforordningen. To år er derfor kort tid, og Advokatfirmaet Vingaardshus anbefaler, at der allerede nu iværksættes tiltag for implementering af ændringer – særligt i lyset af det nye høje bødeniveau, jf. nedenfor.

Den nye Persondataforordning

Den nye Persondataforordning stiller store krav til virksomhederne og den måde, hvorpå persondata bliver indsamlet og opbevaret.

Alle danske virksomheder og offentlige myndigheder bliver i et vist omfang berørt af den nye Persondataforordning. Det er derfor vigtigt, at din virksomhed er klar til at behandle persondata på en sikker og forsvarlig måde, der lever op til de nye krav, Persondataforordningen stiller. Blandt ændringerne er der tale om en væsentlig forhøjelse af bødeniveauet, der kan betyde, at en overtrædelse af Persondataforordningen kan koste et betydeligt beløb.

Persondataforordningen har ikke alene betydning for store selskaber, eller selskaber, der behandler store mængder persondata. Bestemmelserne i Persondataforordningen skal efterleves, hvis din virksomhed indsamler eller behandler persondata.

Dokumentationskravene, som beskrevet nedenfor, betyder, at det ikke alene er den forkerte håndtering af persondata, der kan give bøder, men nu også manglende dokumentation på efterlevelse af Persondataforordningen. Det betyder i praksis, at virksomheder, der behandler persondata korrekt, alligevel kan ifalde ansvar, hvis virksomheden ikke kan dokumentere, at Persondataforordningen efterleves.

Væsentlige ændringer og nyskabende elementer i Persondataforordningen

Persondataforordningen indebærer væsentlige ændringer inden for persondatabeskyttelsesområdet i forhold til det nugældende direktiv. Med ændringerne ønsker EU at øge personers kontrol med egne data. Reglerne skal i større omfang være ens i hele EU, hvilket vil medføre lettelser for virksomhederne, når de på tværs af grænserne behandler persondata.

Væsentlige konsekvenser af den nye Persondataforordning:

  • Dokumentationskrav: Virksomheder og offentlige myndigheder skal kunne dokumentere, at de overholder samtlige regler i Persondataforordningen.
  • Bøder: Bødeniveauet bliver op til fire procent af virksomhedernes globale årlige koncernomsætning.
  • Underretning: Ved brud på datasikkerheden skal der gives underretning til tilsynsmyndighederne uden unødig forsinkelse og senest 72 timer efter der er opstået kendskab til brudet. I visse tilfælde skal der ligeledes ske underretning til de berørte personer.
  • Ret til at blive glemt: Persondataforordningen udvider retten til at få personlig data slettet hos f.eks. virksomheder.
  • Mindreårige: Der skal gives samtykke til behandling af egne persondata. Persondataforordningen ændrer på reglerne for, hvor gamle børn skal være, før de kan give dette samtykke. Medlemslandene kan selv vælge mellem en aldersgrænse på mellem 13 og 16 år. Behandler din virksomhed persondata med aktiviteter over landegrænser, er det vigtig, at der er styr på aldersgrænsen i de enkelte lande, hvor indsamlingen og opbevaringen finder sted.
  • Dataportabilitet: Personer skal have lettere ved at overføre deres personoplysninger fra en virksomhed til en anden. Personer kan også i visse tilfælde have ret til at få oplysningerne udleveret til sig selv eller til en tredjemand.. I praksis vil det betyde, at personer vil have lettere ved at få oplysninger ud af f.eks. sociale medier, som Facebook, Linkedin og Twitter.
  • Personers rettigheder: Persondataforordningen styrker personers rettigheder angående persondata, som virksomheden eller myndigheden behandler. På begæring fra personer skal virksomheden eller myndigheden oplyse personen, uden ugrundet ophold og senest inden for en måned, om hvilke personoplysninger de behandler eller opbevarer om personen. Denne information skal gives uden omkostninger.
  • Koncern med selskaber i flere EU-lande: Koncerner med selskaber i flere EU-lande, kan med den nye Persondataforordning i mange tilfælde, nøjes med alene at have kontakt til én tilsynsmyndighed. Det vil sige, at selskaber inden for samme koncern ikke længere skal have kontakt med den enkelte nationale tilsynsmyndighed, som det er tilfældet i dag. Virksomhederne skal dog være opmærksomme på, at der i nogle tilfælde kan være krav om kontakt til flere tilsynsmyndigheder.
  • Data Protection Officer: Virksomheder eller myndigheder, hvor en væsentlig del af aktiviteten er at behandle persondata, eller som behandler personfølsomme oplysninger i et større omfang, skal udpege en Data Protection Officer. Personen, der udpeges som Data Protection Officer, skal have tilstrækkelig viden, og er ansvarlig for, at Persondataforordningen overholdes i den daglige drift.
  • Mest restriktive indstilling af persondatabeskyttelse: Når der udvikles et produkt eller service, skal de mest restriktive privatlivsbeskyttende indstillinger automatisk være forhåndsindstillet, når produktet eller ydelsen sælges til en person.
  • Samtykke: Personoplysninger, virksomheder ønsker at bruge til markedsføring, må alene indsamles, hvis personen ved købet har givet et samtykke, der er frivilligt, specifikt, informeret og udtrykkeligt.

Hvilke handlinger bør en virksomhed iværksætte på baggrund af den nye Persondataforordning

  • Virksomheden bør få et overblik over hvilke ændringer, der har betydning for virksomheden. I samme omgang bør virksomheden danne sig et overblik over virksomhedens samlede indsats på persondataområdet.
  • Virksomheden skal fastlægge hvilke personoplysninger de behandler, og hvordan datastrømmene er. Det er vigtigt, at der er fuldt overblik over de personoplysninger, som virksomheden behandler og indsamler, da en forglemmelse kan medføre store bøder.
  • Det skal fastlægges, hvem der er virksomhedens leverandører af Personoplysninger eller behandler af disse. Efter den nye Persondataforordning hæfter den dataansvarlige og databehandleren solidarisk. Derfor er det vigtigt, at virksomheden har et fuldt overblik over dataleverandører og/eller behandlere. Virksomheden skal derfor sikre, at dennes leverandører overholder Persondataforordningen.
  • Kravene i Persondataforordningen er kun efterlevet, hvis virksomheden kan dokumentere det. Princippet om ansvarlighed indebærer således, at den enkelte dataansvarlige selv skal kunne indestå for og dokumentere reglernes efterlevelse, hvorfor virksomheden bør udarbejde dokumenter, som illustrerer dennes compliance med Persondataforordningen.

Den offentliggjorte forordning kan læses i sin helhed her>>>

Advokatfirmaet Vingaardshus anbefaler, at virksomheder, der indsamler, behandler eller på anden måde har en datastrøm med personoplysninger, får udarbejdet en plan for, hvordan personoplysninger skal behandles og opbevares korrekt – herunder hvordan virksomheden kan dokumentere dette.

Brug for mere information om Persondataforordningen?

Ønsker din virksomhed bistand vedrørende kortlægning af virksomhedens nuværende compliance-niveau, og/eller til indarbejdelse af nye tiltag, der er nødvendige for at efterleve kravene i den nye Persondataforordning – så kontakt advokat Tim Rosenkrantz Buur, advokat Jesper Studsgaard eller advokat Ann Bruun Birk.

Vi deltager gerne i et uforpligtigende møde, hvor vi sammen kan danne os et overblik over din virksomheds behov.

Ovenstående er ikke juridisk rådgivning. Advokatfirmaet Vingaardshus har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.


Er du gået glip af vores øvrige nyheder? Fortvivl ej, du finder dem allesammen her