Alle virksomheder er omfattet af persondataforordningen – Læs her hvilke overordnede forhold I skal have styr på…

Gå tilbage

Alle virksomheder er omfattet af persondataforordningen – Læs her hvilke overordnede forhold I skal have styr på…

Vi har nedenfor beskrevet den typiske proces for en virksomhed til at blive compliant med persondataforordningen og den kommende databeskyttelseslov. Forordningen indeholder både en række juridiske og tekniske krav, hvorfor det er relevant, at både en advokat og et IT-sikkerhedsfirma deltager i processen. Derudover er det vigtigt, at der er en projektleder, som driver processen.

For at gøre det nemmere at få et overblik over ”vejen til compliance” har vi inddelt processen i 3 trin.

TRIN 1 – DATA MAPPING

Alle jeres systemer skal gennemgås med henblik på at lokalisere, hvorledes persondata opbevares, registreres og anvendes. Derudover skal der tages stilling til, hvor længe de forskellige persondata skal opbevares fremadrettet. Denne proces gennemføres typisk som et samarbejde mellem relevante medarbejdere i jeres virksomhed, en advokat samt jeres egen IT-afdeling eller et eksternt IT-sikkerhedsfirma. Dette er for at sikre opfyldelse af såvel de tekniske som juridiske krav i forordningen.

TRIN 2

Risikoanalyse

Der skal udfærdiges en risikoanalyse for jeres behandling af personoplysninger – er der en lav, mellem eller høj risiko ved jeres behandling af oplysningerne. Analysen tager udgangspunkt i den gennemførte data mapping samt i en dialog med jeres IT-afdeling/ IT-mand. For at afdække såvel juridiske som tekniske for-hold gennemføres selve analysen typisk af en advokat samt et IT-sikkerhedsfirma.

Politik, procedurer og kontroller

Når de forskellige data er kortlagt (data mapping) og risikoen er vurderet (risikoanalyse) skal der udfærdiges interne og eksterne politikker, procedurer og kontroller for behandling og opbevaring af personoplysninger. Den IT-sikkerhedsmæssige del udfærdiges af et IT-sikkerhedsfirma og den juridiske del udfærdiges af en advokat.

TRIN 3

Samtykke

Der skal i de fleste tilfælde udfærdiges en samtykkeerklæring til jeres medarbejdere. Derudover kan dette også være relevant for kunder. Det er meget vigtigt, at samtykket udformes korrekt, da det ellers ikke er gyldigt. Derfor anbefaler vi, at samtykket udfærdiges af en advokat.

Databehandleraftaler

I skal have en databehandleraftale med de af jeres samarbejdspartnere, hvor I modtager persondata fra, eller hvor I overfører persondata til. Det kunne f.eks. være jeres lønbureau eller det firma, der opbevarer eller laver backup af jeres data.

For at undgå faldgruber, anbefaler vi, at eksisterende databehandleraftaler gennemgås af en advokat. Skal der udfærdiges en ny databehandleraftale, er det vigtigt, at denne opfylder kravene i forordningen samt tager højde for, om I er dataansvarlig eller databehandler. Vi anbefaler derfor, at en advokat udfærdiger disse aftaler. Derudover skal sikkerheden være tilstrækkelig beskrevet, hvorfor det i mange tilfælde er nødvendigt, at der udfærdiges et bilag til aftalen om de tekniske krav til databehandleren, hvilket et IT-sikkerhedsfirma kan være behjælpelig med.

Undervisning

Det er derudover et krav i persondataforordningen, at I løbende underviser/træner jeres medarbejdere i persondata og beskyttelse heraf. Denne del kan varetages dels af jeres eventulle IT-afdeling eventuelt i samarbejde med en advokat og/eller IT-sikkerhedsfirma, så både de juridiske og sikkerhedsmæssige forhold blive formidlet til medarbejderne.

ESTIMAT FOR TRIN 1 – 3

WTC advokaterne er med på alle 3 trin for at sikre, at I bliver compliant med persondataforordningen og den nye databeskyttelseslov.

Tidsforbruget for ovenstående trin kan variere meget i forhold til antal af koncernforbundne selskaber, opbygningen af jeres IT-systemer, hvor data er placeret, om I er tilstede i flere forskellige lande m.v. En mellemstor virksomhed uden koncernforbudne selskaber og uden internationale datterselskaber vil typisk skulle forvente at anvende kr. 60-110.000 ekskl. moms for trin 1-3. Såfremt der skal købes nyt hardware eller software vil dette medføre ekstra omkostninger.

DEADLINE

Den 25. maj 2018 træder den nye forordning i kraft, hvorefter I skal have styr på ovenstående forhold. Der gælder dog allerede i dag en række krav efter den nuværende persondatalov, som I skal være opmærksomme på.

WTC HJÆLPER JER HELE VEJEN

WTC har stor erfaring med at hjælpe virksomheder til at blive compliant med persondataforordningen og kan derfor hjælpe din virksomhed hele vejen.

Kontakt advokat Gabriel Martiny, som er ekspert i persondata, på 48 22 00 13 for et møde eller for at høre nærmere.

Medarbejdere med dette speciale


Gabriel L. K. Martiny

Advokat (H) og partner

M glm@wtc.dk
T  +45 48 22 00 40
D +45 48 22 00 13


Stephan Margaard Svendsen

Advokatfuldmægtig

M sms@wtc.dk
T +45 48 22 00 40
D +45 48 22 00 11