Persondataforordningen kommer – Hvad betyder den for din virksomhed?

Gå tilbage

Persondataforordningen kommer – Hvad betyder den for din virksomhed?

Persondataforordning indfører pr. 25. maj 2018 en lang række skærpede krav og betydelige bøder for overtrædelser af forordningens regler, hvorfor danske virksomheder allerede nu bør foretage en nærmere vurdering af, hvorvidt der er behov for nye procedurer og politikker. 

1. For hvilke virksomheder gælder persondataforordningens krav?

Forordningen omfatter bl.a. virksomheder, der behandler personoplysninger. Navnlig når personoplysningerne behandles helt eller delvist automatisk, eller oplysningerne indgår i et elektronisk eller fysisk register (f.eks. et kundekartotek eller sagsbehandlingssoftware), vil persondataforordningens regler være relevante.

Næsten alle danske virksomheder behandler personhenførbare oplysninger i forbindelse med den daglige drift af virksomheden.

Indgår eksempelvis privatpersoners navne, postadresser, mailadresser, IP-adresser, aldersoplysninger, telefonnumre, portrætbilleder, CPR-numre mv. eller oplysninger om politisk, filosofisk eller religiøs overbevisning i de oplysninger, som virksomheden håndterer, vil der i lovgivningens forstand typisk foreligge en behandling af personoplysninger, som skal overholde reglerne i persondataforordningen.

2. Hvor store bliver bøderne?

Bøderne bliver op til EUR 20.000.000 eller 4 {3d89a74c56374c81581c380332566c49bd4fde501e7721b128a06838ed365aea} af virksomhedens globale omsætning. Ved bødefastsættelsen vil bl.a. blive taget hensyn til overtrædelsens karakter, alvor og varighed, overtrædelsens forsætlige eller uagtsomme karakter, eventuelle tidligere overtrædelser, samt hvilke tekniske og organisatoriske foranstaltninger, som virksomheden har indført for at sikre overholdelsen af reglerne.

3. Hvad indebærer de nye regler?

Forslaget til persondataforordningen fylder ca. 125 A4-sider. 

En del af forordningens regler og principper findes allerede i den gældende persondatalov. Det gælder f.eks. principperne om, at indsamlingen af personoplysninger skal have saglige formål, at der skal ske løbende ajourføring, at der kun må indsamles oplysninger i nødvendigt omfang, og at oplysninger skal slettes, når de ikke længere er nødvendige. Ligeledes er der også i den nye forordning regler om den registreredes rettigheder – herunder indsigtsret, indsigelsesret, ret til berigtigelse af fejl mv.

Forordningen lægger dog også op til en hel del væsentlige nyskabelser. De for virksomhederne vigtigste nyskabelser er:

  • Udvidede rettigheder til de registrerede personer (retten til at blive glemt, retten til dataportabi-litet, ret til at fravælge automatisk profilering mv.)
  • Øgede dokumentationskrav, herunder krav til udarbejdelse af privatlivspolitikker, nedskrevne procedurer til håndtering af de registreredes rettigheder mv.
  • Muligt krav om, at der udpeges en Data Protection Officer (DPO) i virksomheder med mere end 250 ansatte – eller hvis behandlingen af personoplysninger er en kerneaktivitet for virksomheden.
  • Systemer, som behandler personoplysninger, skal indrettes med henblik på overholdelse af per-sondataforordningen (”privacy by design”).

4. Hvordan forbereder virksomheden sig på de nye regler?

Enhver virksomhed bør indledningsvist danne sig et fuldstændigt overblik over, hvorledes virksomheden behandler personoplysninger i alle behandlingens faser – herunder i forbindelse med indsamlingen, brugen, videregivelsen, ændringen eller sletningen af sådanne oplysninger. 

På baggrund af disse oplysninger kan der foretages en konkret vurdering af, hvilke risici behandlingen medfører, og hvilke sikkerhedsforanstaltninger, som bør indarbejdes. Der kan eventuelt tages udgangspunkt i certificeringsstandarder såsom ISO 27001.

Desuden bør det undersøges, om personoplysninger overgives til eller lagres hos tredjeparter, f.eks. ved at oplysningerne lagres på eksterne servere eller indsamles til statistiske og markedsføringsmæssige formål. Selv automatisk hjemmesidestatistik – såsom Google Analytics – kan efter omstændighederne indeholde personoplysninger i form af IP-adresser mv.

Da persondataforordningens regler er omfattende og indviklede, anbefales det at man i forbindelse med den ovennævnte vurdering antager professionel bistand, medmindre man i forvejen besidder de fornødne kompetencer med hensyn til juridisk compliance og teknisk know-how.

5. Hvilke dokumenter skal udarbejdes?

Som nævnt ovenfor, stiller persondataforordningen skærpede krav til udarbejdelse af politikker og nedskrevne procedurer. Hvorvidt disse politikker og procedurer skal udarbejdes, og hvad de skal indeholde, afhænger af en række nærmere forhold.

For de fleste virksomheder vil det være særligt relevant at overveje behovet for bl.a. følgende dokumenter:

5.1. En privatlivspolitik / privacy policy

Persondataforordningen kræver, at der fastsættes gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder i henhold til forordningen.

Hvis oplysninger om en person indsamles, skal der udleveres en række oplysninger om bl.a. virksomhedens kontaktoplysninger, formålene med indsamlingen, den registrerede persons indsigtsret, modtagerne af oplysningerne, klageadgang mv. 

5.2. Nedskrevne procedurer for håndtering af de registreredes rettigheder

Persondataforordningen stiller desuden krav til, hvorledes henvendelser fra registrerede personer skal håndteres, herunder med hensyn til svarfrister, kommunikationsform, afvisning af at imødekomme registrerede personers anmodninger mv. Der skal desuden udarbejdes nedskrevne procedurer for bl.a.:

  • Udlevering af de oplysninger, som registrerede personer har krav på at få udleveret
  • Håndtering af henvendelser fra de registrerede personer
  • De registrerede personers muligheder for at anmode om oplysninger elektronisk
  • Udøvelsen af de registrerede personers rettigheder i øvrigt

5.3. Interne regler for databehandling  

Der skal udarbejdes interne regler og indføres passende foranstaltninger for at sikre, at personoplysninger behandles i overensstemmelse med forordningens regler. Disse foranstaltninger kan f.eks. omfatte opfyldelse af særlige dokumentationskrav, gennemførelse af datasikkerhedskrav, gennemførelse af konsekvensanalyser vedrørende databeskyttelse mv. 

Derudover skal det bl.a. sikres, at den nationale tilsynsmyndighed (Datatilsynet) underrettes i tilfælde af brud på datasikkerheden.

5.4. Risikovurderinger (DPIA / Data Protecion Impact Assessment)

Hvis behandlingen af personoplysninger kan indebære specifikke risici for de registrerede personers rettigheder, skal der foretages en konsekvensanalyse af den planlagte behandling, for så vidt angår beskyttelsen af personoplysninger.

Som eksempler på sådanne risici nævner forordningen bl.a.:

  • Systematisk evaluering af personoplysninger med henblik på analyse eller forudsigelse af en persons økonomiske situation, lokalitet, sundhed og personlige præferencer mv.
  • Behandling af oplysninger om seksuelle forhold, helbred, race, etnisk oprindelse mv.
  • Overvågning af offentligt tilgængelige områder.
  • Behandling af oplysninger om børn, samt genetiske og biometriske data.

5.5. Databehandleraftaler

Når behandlingen af personoplysninger overlades til en tredjepart, skal der som hidtil foreligge en data-behandleraftale, der sikrer, at persondataforordningens regler overholdes. Der skal i denne aftale være fastsat nærmere retningslinjer om tredjepartens behandling af oplysningerne. Med ikrafttrædelsen af persondataforordningen skærpes kravene til indholdet af databehandleraftaler.

Databehandleraftaler er eksempelvis relevante, hvis personoplysninger på nogen måde lagres på eksterne servere.

Der gælder særlige regler og krav for overdragelse af oplysninger til udlandet eller til internationale organisationer.

5.6. Databeskyttelsesansvarlig / Data Protection Officer

Således som forslaget til persondataforordningen er formuleret, vil det muligt blive et krav, at visse virksomheder udpeger en kompetent og uafhængig databeskyttelsesansvarlig person. Kravet gælder dog kun, hvis virksomheden beskæftiger mindst 250 personer eller kerneaktiviteten består af behandling, som kræver systematisk overvågning af de registrerede personer.

5.7. Cookiepolitikker

En cookiepolitik vil typisk være påkrævet, hvis man driver en hjemmeside, der benytter såkaldte ”cookies”. Cookies benyttes normalt, når der f.eks. indsamles besøgsstatistik eller benyttes log-in- eller webshop-funktioner på en hjemmeside.

Selv om kravet om en cookiepolitik følger af anden lovgivning end persondataforordningen, anbefales det, at man vurderer behovet for en sådan politik samtidig med gennemgangen af virksomhedens privatlivspolitikker mv.

6. Ikrafttrædelse 

Forordningen træder i kraft den 25. maj 2018, men allerede nu bør de omfattende, nye krav give anledning til nærmere overvejelser om behovet for nye virksomhedspolitikker og sikkerhedsforanstaltninger.

Du er velkommen til at kontakte advokat Gabriel L. K. Martiny, hvis du vil vide mere.