Den nye persondataforordning er blevet vedtaget, og træder i kraft den 25. maj 2018. Forordningen har til formål at ensarte reglerne om beskyttelse af persondata på tværs af EU og får direkte virkning i alle medlemsstater.

I forhold til den gældende persondatalov, der bygger på et EU direktiv fra 1995, stiller den nye forordning strengere krav til overholdelse af de registreredes rettigheder og virksomhedernes oplysningspligt samt dokumentations- og sikkerhedskrav. Der introduceres en række nye tiltag, herunder væsentlige bøder for manglende overholdelse, som yderligere skærper de pligter og det ansvar, som påhviler virksomhederne.

Derfor bør de fleste virksomheder gå i gang med implementeringen så hurtigt som muligt.

Nogle af de væsentligste ændringer, som forordningen vil betyde for din virksomhed, er:

Anvendelsesområder
Alle virksomheder, der behandler persondata, er omfattet af forordningen. Virksomheder udenfor EU vil også være omfattet, hvis de tilbyder varer eller tjenester i EU eller overvåger personer i EU og dermed behandler persondata om borgere, som er i EU.

Øget ansvar og pligter
Som noget nyt pålægges virksomheder væsentligt øgede pligter til at sikre de registreredes rettigheder, herunder vedrørende oplysning og dokumentation, sikkerhed og risikovurderinger, dataportabilitet, retten til at blive glemt, automatisk behandling og profilering.

Bødeniveau og erstatningskrav
Virksomheder kan blive pålagt betydelige bøder for manglende efterlevelse af forordningen på op til det højeste af 4 % af den globale årlige omsætning eller 20 mio. EUR. Dataansvarlige og databehandlere hæfter solidarisk for erstatningsansvar over for personer, som lider skade ved overtrædelse af forordningen.

Privacy by design and by default
De grundlæggende principper om databeskyttelse skal indarbejdes i de it-systemer, som virksomheden bruger, og skal derfor tænkes ind i forretningsprocesser og ved indkøb af nye systemer.

Datasikkerhedsbrud
Virksomheder skal hurtigst muligt og senest indenfor 72 timer underrette den kompetente tilsynsmyndighed om alvorlige sikkerhedsbrud.

Data Protection Officer (DPO)
I virksomheder hvis kerneaktiviteter omfatter behandling af persondata, eller hvor der behandles mange følsomme personoplysninger, skal der udpeges en såkaldt DPO.

One-stop-shop mekanisme
Hvis virksomheden driver forretning i flere lande, skal der alene være kontakt til én tilsynsmyndighed i EU. De nationale tilsynsmyndigheder i EU skal samarbejde på tværs og sikre ensartede afgørelser.

Ud over at den betydelige bøderisiko er et incitament til at overholde de kommende regler, vil det også være til gavn for virksomhedens forretningsprocesser og konkurrenceevne at være “compliant”.

Din virksomhed bør derfor allerede nu…

Få overblik over virksomhedens databehandling
Virksomheden bør gennemføre en complianceanalyse af virksomhedens forretningsprocesser og it-infrastruktur med henblik på at få klarhed over sine dataflows, herunder typer af persondata, hvor de indhentes og opbevares og hvor længe, med henblik på sikring og styring af interne og eksterne datastrømme samt datasikkerhed og dokumentation.

Politikker og databehandler aftaler
Virksomheden bør foretage en gennemgang og revision af sine politikker og databehandleraftaler, herunder til sikring af samtykke eller behandlingshjemmel og instruktion til behandling af persondata. Der bør om nødvendigt oprettes nye politikker.

Det kan virke som en stor og uoverskuelig opgave, og det er det også. Derfor vil LDD være behjælpelig med, at søge at få et overblik og videreformidle dette til vores medlemsinstitutioner.