17 maj 2016

Persondata - 25. maj 2018 skal du være klar

Så er der endelig kommet en skæringsdato, nemlig d. 25. maj 2018. Fra og med dette tidspunkt vil der kunne gives store bøder til private virksomheder, hvis reglerne i den netop offentliggjorte persondataforordning ikke overholdes. Offentlige myndigheder går dog formentlig fri for bøder

Læs persondataforordningen i sin helhed her >>

Der blev i 2012 taget initiativ til at få indført et nyt EU-instrument på databeskyttelses-området. Processen blev skudt i gang med Europa-Kommissionens forslag til en pakke om databeskyttelse. Pakken består hovedsageligt af den netop offentliggjorte persondata-forordning, der erstatter persondataloven og en række sektorlove.

Det skal du være særligt opmærksom på

  1. Berørte områder: De nye regler stiller blandt andet skærpede krav til behandling af
    personoplysninger i forbindelse med eksempelvis ansættelses- og afskedigelses-procedurer, overvågning, profilering, afgivelse af personligheds- eller helbredstests,
    etablering af whistleblowerordninger, markedsføring, opbevaring og videregivelse
    af kunderegistre og outsourcing af IT i og uden for EU. Dertil kommer offentlige myndigheders afgørelsesvirksomhed, der også berøres af persondataforordningen.
  2. Hvad giver bøde?: Salg af kunderegistre, offentliggørelse (eksempelvis på Facebook
    eller på egen hjemmeside) af personoplysninger uden samtykke, for dårlig
    IT-sikkerhed, opslag på personer i internt IT-system uden sagligt formål og læk
    af CPR-numre er alle eksempler på overtrædelser, der hidtil har givet bøder til
    private virksomheder. Den nye persondataforordning stiller imidlertid en lang
    række nye krav. Det må derfor forventes, at der vil blive givet bøder til flere
    forskellige typer af overtrædelser. Den værste overtrædelse, der kan begås
    under persondataforordningen, er at behandle personoplysninger, uden at et
    eventuelt krav om samtykke er overholdt. I samme kategori ligger en
    overtrædelse af den registreredes rettigheder.
  3. Forordning: Persondataforordningen skal ikke implementeres i Danmark, så kravene heri kan håndhæves umiddelbart fra d. 25. maj 2018. Persondataforordningen indeholder dog en lang række bestemmelser, der overlader de enkelte medlemsstater en såkaldt manøvremargen.
  4. DPO/databeskyttelsesrådgiver: Offentlige myndigheder skal have en DPO/ databeskyttelsesrådgiver. Private virksomheder skal muligvis have en, hvis de opfylder en række kriterier. Datatilsynet bør her snarest melde ud, hvordan persondataforordningen skal fortolkes. Det særlige ved en DPO/databeskyt-telsesrådgiver er, at medarbejderen i DPO-rollen nyder afskedigelsesbeskyttelse, skal være uafhængig og fungerer som kontaktperson til Datatilsynet.
    En DPO/databeskyttelsesrådgiver kan være en nyoprettet fuldtidsstilling, en
    opgave en eksisterende medarbejder delvist varetager eller være en ekstern konsulent, der har de fornødne kompetencer. Uanset om man har pligt til at
    udpege en DPO/databeskyttelsesrådgiver, skal reglerne i persondataforordningen overholdes.
  5. Bødeniveau - private virksomheder: Bøderne ved overtrædelse skal generelt
    være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende
    virkning. Private virksomheder vil kunne få bøder op til 20 mio. EUR eller 4 %
    af den samlede globale årlige omsætning i det foregående regnskabsår, såfremt
    dette beløb er højere. I Datatilsynets nuværende praksis ligger bøderne ikke
    over 25.000 kroner. Det er vanskeligt at pege på hvilket niveau, bøderne vil komme
    op på. Under de nuværende - lempelige - regler, er det til sammenligning
    almindeligt, at man i England giver bøder på 80.000 og 100.000 pund. Ulovlig
    markedsføring medførte endda for nylig en bøde på 350.000 pund. England er dog
    de hårdeste i Europa i bødesammenhæng.
  6. Bødeniveau - offentlige myndigheder: For så vidt angår offentlige myndigheder henstår det foreløbigt i det uvisse, hvorvidt og i hvilket omfang de vil kunne blive
    pålagt administrative bøder, eller om de eventuelt skal sanktioneres på anden vis. Her giver persondataforordningen nemlig en manøvremargen. Justitsministeriet
    har i januar 2016 i et svar til Folketingets Retsudvalg anbefalet, at private
    virksomheder og offentlige myndigheder ikke gøres til genstand for samme
    sanktionsmuligheder, altså at offentlige myndigheder skal slippe for bøder.
    Offentligt ansatte, der overtræder reglerne om behandling af persondata, vil dog
    eventuelt kunne rammes af både et disciplinært og et strafferetligt ansvar.

Hvordan kommer du i gang?

Er man på nuværende tidspunkt langt fra at overholde de gældende regler om behandling af persondata, forestår et større arbejde med at gennemføre en complianceproces, som bør sættes i gang snarest muligt.

En complianceproces starter med en foranalyse, der afdækker, hvor langt man er fra at overholde reglerne. På baggrund af foranalysen skal de relevante arbejdsgange have et servicetjek. Servicetjekket gennemføres ved hjælp af en tilrettet implementering af de relevante ISO-standarder. Afslutningsvis skal compliancearbejdet beskrives i en konsekvensanalyse.
Der skal desuden etableres et beredskab, der reagerer på datalæk ved at underrette de berørte registrerede uden unødig forsinkelse og give den lovpligtige anmeldelse til Datatilsynet, senest 72 timer efter lækket blev kendt.

Complianceprocessen kan give anledning til ændringer i såvel organisationens drift som IT-strukturen. Ledelsen i den private virksomheden eller den offentlige myndighed skal derfor have godkendt iværksættelsen af compliancearbejdet og bør følge dette tæt.

Har du brug for rådgivning?
Du er velkommen til at kontakte os med henblik på et kursus i persondatabehandling eller et uforbindende møde, hvor vi kan drøfte jeres behov.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du en sag, hvor du mangler advokathjælp?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.