Persondataforordning
08 okt. 2017Persondataforordning – hvordan skal jeg som virksomhedsejer forberede mig til de nye regler?
Den 25. maj 2018 effektueres ændringerne og skærpelserne til den danske persondatalovgivning.
Helt overordnet medfører ændringerne i persondataloven og persondataforordningen strammere regler for håndtering af persondata med den hensigt i langt højere grad at beskytte registrerede persondata. Dette stiller øgede krav til virksomheder og deres proces og organisation omkring håndtering af persondata.
I det følgende gennemgås nogle af de væsentligste ændringer og konsekvenser, når den nye persondatalov og persondataforordning er implementeret i dansk lovgivning, og omtaler de forberedelser som virksomheder bør udføre for at efterleve den kommen lovgivning.
Definitioner
Der er skrevet mange artikler om persondataforordningen hvor ord som dataansvarlig, GDPR, personoplysninger mv. er anvendt. For at forstå ændringerne og konsekvenser er det vigtigt at kende definitionerne af disse ord. Nedenfor er kort beskrivelse af de væsentligste ord i den nye persondatalov.
Dataansvarlig: Den, der opnår tilladelse af en person til at håndtere og behandle borgerens persondata.
Databehandler: Den, der af den dataansvarlige får udstukket behandlingsopgaver.
Databehandling: Alle former for omgang med persondata
Datasubjekt / den registrerede: Personen, hvorom data er registreret
Direktiv: EU regulering, som giver retning på medlemsstatens implementering inden for det givne område
Forordning: EU regulering, som skal implementeres i alle medlemsstater
GDPR: Generel Data Protection Regulation (persondataforordning)
PDL: Persondatalov
Personoplysning / persondata: Alle informationer, der kan identificere en person
Persondata
Alle virksomheder behandler persondata i større eller mindre grad, hvad enten det drejer sig om informationer om medarbejdere eller kundedatabaser. Når en virksomhed opbevare persondata betragtes dette som behandling.
Persondata deles i den kommende lovgivning op i to klassifikationer:
Almindelige: Navn, adresse, mobil, e-mail, IP-adresse, elektroniske spor, log, fødselsdato, familieforhold, bolig, fritidsinteresser, stillinger, login oplysninger, arbejdstider, lønoplysninger, performance, kreditkort/bankkonto, uddannelse, karakterer, pasnummer, rejseoplysninger og CPR.
Følsomme: Race, etnisk oprindelse, politisk, religiøs, filosofisk overbevisning, fagforeningstilhørsforhold, seksuelle forhold/orientering, helbredsoplysninger, genetiske data og biometriske data, straffedomme og tilknyttede sikkerhedsforanstaltninger.
Der er skærpede krav til behandling af følsomme persondata.
Dataansvarlig afgør til hvilket formål, og hvordan, der må foretages behandling af persondata og dataansvarlig har altid et ansvar.
Databehandler er den, der behandler oplysninger på den dataansvarliges vegne. Databehandler har en kontraktuel forpligtelse, og må kun handle efter instruks fra dataansvarlig. Det er derfor vigtigt, at der etableres databehandleraftaler, for ellers risikerer databehandler at blive betragtet som dataansvarlig, med udvidet ansvar til følge.
De væsentligste ændringer
Større sanktionsmuligheder: Markant øgede bødestørrelser for brud på persondataloven. Hvor der historisk er givet bøder på op til 25.000 kr., kan private virksomheder nu idømmes sanktioner på op til 4 % af moderselskabets omsætning eller 20 mio. EUR, afhængig af hvad der er højest, baseret på en række kriterier. Det er endnu ikke afgjort, om offentlige virksomheder kan sanktioneres på samme måde som private virksomheder.
Skærpede dokumentationskrav: Der stilles større krav til dokumentation af opbevaring og håndtering af persondata, hvilket blandt andet kræver, at virksomheder kortlægger, hvilke data der er registreret. Denne kortlægning er også vigtigt i forhold til registreredes samtykke, og til at udlevere eller slette registreredes data.
Fortegnelser skal omfatte:
- Navn og kontaktinfo på den dataansvarlige
- Formål med behandlingen
- Kategorier af registrerede og af personoplysninger
- Kategorier af modtagere, hvis videregivelse
- Overførsel til tredjelande, hvis relevant
- Tidsfrister for sletning
- Generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.
Hjemmel: Virksomheder skal have tilladelse fra den registrerede til at behandle persondata. Det kan være via aktivt samtykke, men der er også tilfælde, hvor persondata kan registreres og behandles mv. på basis af interesseafvejning, retlige forpligtelser eller et kontraktuelt forhold. Varigheden af behandlingen skal oplyses, og samtykket skal kunne dokumenteres. Registrerede personer har desuden krav på at få at vide, hvad der er registreret om dem; at få udleveret deres data og de skal have mulighed for at trække deres samtykke tilbage (”retten til at blive glemt”).
Dataportabilitet: Dataportabilitet tillader datasubjekter at modtage de persondata, som de har givet til en databehandler, og nemt kunne overføre dem til en ny dataansvarlig. Formålet med denne nye ret er at give datasubjekter mere kontrol over de persondata, der er registreret om vedkommende.
Anmeldelsespligt: Sikkerhedsbrud skal anmeldes til Datatilsynet senest 72 timer efter, at dataansvarlig opdager bruddet. Dette betyder konkret, at der bør implementeres en proces i virksomheden, som sikrer, at der igangsættes en række aktiviteter i forhold til opdagelse, overblik over skaden, reaktion overfor Datatilsynet og evt. datasubjekter.
Data protection officer (DPO): I bestemte tilfælde skal virksomheder have tilknyttet en DPO. Det er tilfældet, når det drejer sig om følgende:
- Offentlige myndigheder
- Når den dataansvarlige eller databehandlerens kerneaktivitet består i at behandle følsomt persondata, eller
- Når der er tale om regelmæssig og systematisk overvågning af persondata.
En DPO varetager følgende opgaver:
- Rådgivning omkring efterlevelsen af lovgivningen
- Rådgiver omkring risici og praktisk implementering af lovgivningen i virksomheden samt overfor dens medarbejdere
- Fører tilsyn hermed
- Underretter øverste ledelse om status og fremdrift
- Har den direkte kontakt til Datatilsynet i forbindelse med deres spørgsmål, databrud mv.
En DPO har således en intern revisionsfunktion med selvstændigt ansvar, ret til selvstændigt at agere overfor virksomheden ved tilsyn, påtale, rådgive, mv. En DPO er en betroet funktion, der er underlagt særlig fortrolighed, og som rapporterer til virksomhedens øverste ledelsesniveau. DPO’en er herudover også beskyttet, som var der tale om en tjenestemandslignende funktion.
Øget ansvar til databehandlere: I den nuværende lovgivning er det den dataansvarlige, der har hovedansvaret for korrekt datahåndtering og databeskyttelse. Men fra 25. maj 2018 får databehandler i højere grad et medansvar for databeskyttelse, så databehandler ikke længere ved brud på databeskyttelsesloven kan spille bolden direkte videre til dataansvarlig.
For databehandler betyder det, at der skal være klarhed omkring instrukserne fra dataansvarlig, samt hvilke typer af persondata der behandles, således at persondata behandles korrekt.
Det stiller krav til, at databehandler i langt højere grad skal kende typen af dataansvarliges data, som opbevares eller håndteres hos databehandleren. Samtidig skal behandlingen af persondata ske helt efter den instruks, som dataansvarlig har givet. Databehandler skal også kunne påvise, at behandling af persondata sker i overensstemmelse med databeskyttelsesloven.
Tiltag for virksomhedsejere for at efterleve de nye regler
Som forberedelse på efterlevelse af de nye regler kan virksomheder med fordel kortlægge følgende:
- Rammer og struktur – nu og fremover
- Data – hvor, hvorfor
- Aftaler – kunder og leverandører
- Procedurer og opfølgning
Rammer og struktur i relation til persondatalovgivning betyder, at virksomheden har rammerne på plads til at få og holde styr på virksomhedens forpligtelser, og at virksomheden kan redegøre for det.
Der skal skabes en fortegnelse over, hvilke data virksomheden har, da virksomheden kun må opbevare og behandle data, som er nødvendigt, og så virksomheden kan udlevere eller slette data, såfremt den registrerede anmoder om dette.
Der skal etableres klare og tydelige aftaler med dataansvarlige og databehandlere.
Følgende procedurer og opfølgning bør udarbejdes og dokumenteres:
- Politik - de overordnede rammer, som er sat af direktion eller bestyrelse. Typisk i form af en informationssikkerhedspolitik.
- Roller og ansvar - beskrivelse af de roller, som virksomheden har defineret i organisationen, og som er centrale for, at virksomheden overholder forpligtelserne omkring databeskyttelsesloven. Herunder det ansvar, som er pålagt den enkelte rolle.
- Procedurer - beskrivelse af de arbejdsgange, som virksomheden følger for at sikre efterlevelse, herunder procedurer for: It-udvikling, hændelsesstyring, vurdering af konsekvenser, risikovurdering, persondataforespørgsler.
- Kontroller - de tjek, målepunkter og rapporter, som bruges til at give ledelsen indblik i, hvordan det står til med efterlevelsen.
Hvad nu?
Vi har i Grant Thornton værktøjer, som kan indgå i vurderingen af overholdelse af persondataforordningen herunder som kan være en hjælp til vurdering af processen til brug for overholdelse af persondataforordningen.
Vi kan blandt andet hjælpe med:
- Foranalyse af persondataforordningen – et overblik i hvor virksomheden står nu, og hvad der skal gøres for at efterleve de nye regler.
- Implementering af persondataforordningen – efter en foranalyse faciliterer vi processen, og klæder virksomheden på i forhold til hvad I skal gøre.
- DPO service – vi kan agere som ekstern DPO for virksomheden
Vi står naturligvis til rådighed med rådgivning herom, så kontakt os endelig hvis det kan have interesse.