Persondataforordningen nu kører toget…

Den nye persondataforordning træder i kraft i Danmark den 25. maj 2018. Selvom der fortsat er måneder til endnu, så forordningen faktisk allerede trådt i kraft. Der er tale om et omfattende regelsæt, som indeholder en del nye krav. Samtidig er der bundet markant bødeforhøjelse i halen på de nye regler. Det er er derfor på høje tid at sætte sig ind i reglerne og komme i gang med compliance-arbejdet / arbejde på at gøre sin virksomhed klar til at overholde de nye regler.

Startskuddet lød i foråret 2016

De fleste har efterhånden hørt om den omfangsrige persondataforordning, som træder i kraft i Danmark den 25. maj 2018. Forordningen er formelt allerede trådt i foråret 2016, men på grund af den tid, som det forventes at tage med at omstille sig til reglerne, er der indført en 2-årig indkøringsperiode.

FØLG MED – Nyhedsbreve, orienteringsmøder mv.

I den kommende tid sætter Nørregaard│Mieritz advokatfirma fokus på virksomheders arbejde med at gøre sig klar til den nye persondataforordning.

Udover nyhedsbreve, som dette, vil vi også afholde morgen- eller gå-hjem møder om den nye persondataforordning, ligesom vi kan kontaktes for en individuel drøftelse af de nye reglers betydning og indvirkning på netop jeres virksomhed.

Såfremt du er interesseret i at deltage i et morgen eller gå-hjem møde om de nye regler, så må du meget gerne allerede nu tilkendegive din interesse på post@nmaf.dk og oplyse antal interesserede deltager og foretrukken tidspunkt (morgen eller eftermiddag), så vil vi bedre kunne koordinere orienteringsmøderne.

Persondataforordningen – et summarisk overblik

Persondataforordningen er en EU retsakt, som – da der er tale om en ”forordning” - gælder direkte i Danmark. Loven suppleres med ”Databeskyttelsesloven”, som Justitsministeriet har haft sendt i høring, og som må forventes vedtaget i de sidste måneder af år 2017. 

Persondataforordningen opererer med en del forskellige begreber, og det er hensigtsmæssigt at orientere sig om, hvad disse dækker over, når man skal opnå en bedre forståelse af regelsættet. Derfor gennemgås flere grundbegreber nedenfor.

Et summarisk og forenklet overblik over persondataforordningens grundtræk er søgt givet i punktopstillingen nedenfor:  

- Persondataforordningens regler gælder enhver elektronisk behandling af oplysninger om fysiske personer

- Sådan behandling af personoplysninger er som udgangspunkt ikke tilladt, medmindre man har en lovlig grund (en hjemmel)

- De lovlige grunde til behandling af personoplysninger er opregnet i persondataforordningen. Lovlig grund kan eksempelvis være personens samtykke, nødvendigt med henblik på at opfylde en kontraktforpligtelse, nødvendigt for at forfølge et retskrav, en interesseafvejning mv.

- Der er indført grundlæggende krav om, at man skal kunne dokumentere, at man overholder reglerne – selvom man faktisk overholder reglerne, så gør man det altså ikke alligevel, hvis man ikke har sin dokumentation herfor i orden

- Der er fastsat grundlæggende regler om, hvorledes man skal behandle og omgås personoplysninger, herunder at behandlingen skal være lovlig, rimelig, gennemsigtig (de registrerede skal have oplysning herom), formålet med behandlingen af oplysninger skal overholdes, man må ikke have for meget, forkert eller for lidt personoplysninger i sin behandling

- Personerne, som man har oplysninger om (de registrerede), har et betydeligt katalog af rettigheder, herunder retten til at blive informeret om personoplysningerne, retten til at blive slettet (glemt), retten til at få oplysningerne ændret/korrigeret eller overført til andre (dataportabilitet)

- Der er naturlige krav om, at behandlingen af personoplysninger skal foregå sikkert. Der er endvidere krav om, at virksomhederne foretager risikovurdering i forhold til bl.a. karakteren og omfanget af personoplysningerne, den skade og krænkelse de registrerede risikerer, og de sikkerhedstiltag, som i det lys må anses for påkrævet

- Ved brud på sikkerheden skal Datatilsynet orienteres indenfor 72 timer

- Et meget markant og afskrækkende bøde niveau på op til dels EUR 10 mio. eller 2 % af omsætningen (det højeste af de to er max.) eller ved de groveste overtrædelser op til enten EUR 20 mio. eller 4 % af omsætningen (det højeste af de to er max.)

Nogle grundbegreber

Man kan med fordel ved sit videre arbejde med persondataforordningen allerede nu orientere sig i nogle væsentlige grundbegreber:

Personoplysninger

Enhver oplysning om en identificeret, eller identificerbar fysisk person. Personoplysninger opdeles i henholdsvis almindelige og følsomme personoplysninger. Oplysninger om en persons seksuelle overbevisning, race eller etnisk oprindelse, er eksempler på følsomme personoplysninger. Almindelige personoplysninger er eksempelvis en persons navn og adresse.

Behandling

Man behandler oplysninger når man eksempelvis indsamler, registrerer, organiserer, systematiserer, opbevarer, tilpasser, sletter, genfinder, søger, bruger og videregiver dem. Man kan fristes til at sige, at man nærmest altid og hele tiden behandler oplysninger, og det er heller ikke langt fra sandheden.

Dataansvarlig

Den dataansvarlige er den person som bestemmer, til hvilket formål og hvordan der må foretages behandling af personoplysninger.

Databehandler

Databehandleren er den person, som foretager behandlingen af personoplysninger på den måde, som den dataansvarlige har bestemt. Databehandleren behandler dermed personoplysningerne på vegne af den dataansvarlige. Et typisk eksempel er, når en virksomhed har sine it-systemer hosted hos en tredjemand, som herved er databehandler for virksomheden, som er dataansvarlig. Det er et krav, at der i denne forbindelse er indgået en databehandler-aftale, som skal opfylde nogle minimumskrav ifølge persondataforordningen.

Privacy by design

Der er indført et princip om, at hensynet til personoplysninger skal indarbejdes allerede ved udviklingen af it-systemer. Ved at arbejde med princippet om privacy by design kan privatlivs- og persondatabeskyttelse indlejres i it-design og arkitektur fra begyndelsen. Ved at basere databehandlingen på denne platform, kan datamængden minimeres og risikoen for at indhente og opbevare overskudsinformation og information, der kan henføres til bestemte personer, reduceres.

Privacy by default

Der er indført et princip om, at dataansvarlige virksomheder skal implementere standardmekanismer, der begrænser personoplysninger til det nødvendige i forhold til de bestemte formål. Default-mekanismen betyder, at begrænsning af indsamling af personoplysninger er indlejret og automatisk aktiveres – i modsætning til den typiske fremgangsmåde i dag, hvor data trackes/opsamles som standard/by default. Med de standardiserede løsninger sikres det, at der alene indsamles den datamængde, der er nødvendig, at omfanget af behandlingen ikke er unødigt stort, og at opbevaringstiden ikke er for lang.

FORTVIVL IKKE

Kravene er omfattende og taget på ordene kan de forekomme overordentligt vanskelige at overholde, men reglerne skal ses i det lys, at vi lever i en tid, hvor der behandles ekstremt mange personoplysninger.

Behandlingen af personoplysninger er stadigt stigende i takt med udviklingen af internettet, sociale medier, elektroniske enheder og et stadigt stigende dataflow. Der er oplagt stor forskel på, hvad der vil blive krævet af en håndværksvirksomhed eller bilforretning i forhold til at være i compliance med persondataforordningen og så eksempelvis Google, Facebook eller en anden virksomhed, som har et meget stort antal personoplysninger af både almindelig og følsom karakter.

I reglerne er der således også indbygget en sådan fleksibilitet, og der tages hensyn til hvor mange personoplysninger, om det er følsomme oplysninger og hvad formålet med behandlingen er, når man ser på, hvad virksomheden skal gøre for at overholde regelsættet.

For mange virksomheder vil de nye regler føles som endnu et bureaukratisk anslag mod virksomhedens relevante drift. Det er forståeligt, men når nu reglerne er kommet – og de i øvrigt har et for alle som fysisk person fornuftigt formål – så er det hensigtsmæssigt at gøre dem til en mulighed for udvikling.

Langt de fleste virksomheder vil navnlig støde på personoplysninger i relation til medarbejdere og kunder. Det strukturerede arbejde, som skal i gang i forbindelse med håndtering af oplysninger om medarbejdere og kunder, er samtidig oplysninger om de typisk vigtigste aktiver for en virksomhed. Der vil være rig lejlighed til også at udnytte dette arbejde til at skabe yderligere mulighede for virksomheden.

Kontakt

Såfremt du ønsker at vide mere om persondataforordningen og betydningen for din virksomhed, så er du meget velkommen til at kontakte advokat Jeppe Nørregaard, jn@nmaf.dk, telefon 31 95 97 88.