Er din virksomhed klar til den nye persondataforordning?

Kort om persondataloven

Persondataloven tager stilling til hvornår og hvordan personoplysninger skal behandles, herunder hvordan de skal beskyttes.

Kravene til behandlingen gælder oplysninger om medarbejdere og kunder, kontaktperson(er) hos selskaber, uopfordrede ansøgninger m.v.

I praksis er stort set alle virksomheder omfattet af reglerne.

Den nye persondataforordning

Den nye EU persondataforordning træder i kraft i Danmark den 25. maj 2018 og afløser reglerne i persondataloven. Selvom der kan synes lang tid dertil, er det allerede nu vigtigt at forholde sig til den nye forordning, da der med forordningen sker væsentlige stramninger af reglerne for behandling og beskyttelse af personoplysninger.

Baggrunden for forordningen er især behovet for en ensartet lovgivning i alle EU-medlemslande, da medlemslandene har implementeret det gældende direktiv på forskellig vis. Da en EU-forordning gælder direkte i medlemslandene i modsætning til et direktiv, som skal implementeres, sikres der ensartet lovgivning i EU.

Derudover er der sket en stor teknologisk udvikling siden direktivets vedtagelse i 1995, som gør at direktivet ikke er tidssvarende.

Formålet med forordningen er at styrke borgernes rettigheder ved at give dem større kontrol over egne data. Dette vil ske ved hjælp af en række nye regler på området og ved skærpelse af allerede eksisterende principper og regler.

De gældende regler i persondataloven vil således blive væsentligt ændret, da dansk lovgivning skal indrettes i overensstemmelse med den nye forordning.

Den nye forordning retter sig mod både private og offentlige virksomheder. Forordningen handler om meget andet end registrering af virksomheders medarbejdere. Den handler også om krav til virksomhedens processer for håndtering af persondata, herunder dokumentation herfor.

For at kunne overholde reglerne, skal man have styr på sit dataflow, hvor der gemmer sig persondata. Den store udfordring vil blandt mange virksomheder være et manglende overblik over dataflowet, når det drejer sig om mails, breve, sms’er m.v. Man skal f.eks. være i stand til at identificere al data om navngivne personer, da man bl.a. skal kunne udlevere disse data, hvis den pågældende spørger, og man skal løbende slette de data, man ikke har brug for.

Af væsentlige ændringer i forordningen er bl.a.:

• Bødeniveauet forhøjes markant, således at der kan udstedes administrative bøder på op til € 20 mio. eller 4 % af din virksomheds/koncerns globale omsætning
• Samtykkekrav skærpes, således at det udover at være frivilligt, specifikt og informeret også skal være utvetydigt i forhold til behandling af personfølsomme oplysninger
• Underretning om alvorlige brud på datasikkerheden skal ske inden 72 timer
• One-stop-shop for virksomheder med aktiviteter i flere lande, hvorefter virksomheder alene skal have kontakt med én enkelt tilsynsmyndighed
• Klarere regler om retten til at blive glemt og specifikke krav om sletning af persondata
• En databeskyttelsesansvarlig skal udpeges i offentlige og visse private virksomheder. Såfremt der udpeges en medarbejder, vil vedkommende være omfattet af forordningens regler om afskedigelsesbeskyttelse

Datatilsynet, som er den danske tilsynsmyndighed på området, har lavet 12 spørgsmål, som din virksomhed med fordel allerede nu kan forholde sig til. Link til spørgsmålene finder du her.

Hulgaard Advokater rådgiver om den praktiske håndtering af den nye persondataforordning, herunder analyser af dataflow og optimering heraf. Læs mere her.

Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk for rådgivning.