Dag-til-dag levering
Fri fragt ved køb over 800,-

Tors. 22/2-18

Er du klar til EU´s nye persondataforordning - GDPR?

Den 25. maj 2018 træder EU’s nye persondataforordning - også kalt GDPR (General Data Protection Regulation) - i kraft.

Og i dette blogindlæg vil vi give dig en indledende introduktion til GDPR og de vigtigste områder, som du skal have styr i denne forbindelse. Vi skal dog understrege, at vi ikke er jurister. Dette blogindlæg er et sammendrag af vores egne forberedelser og research. Hvis du har brug for juridisk rådgivning anbefaler vi, at du taler med din revisor eller kontakter en advokat, som er specialiseret i forordningen.

 

Men hvad er persondataforordningen?

Formålet med persondataforordningen er at tilgodese et behov for øget harmonisering af reglerne i EU og et ønske om, at kunne understøtte det digitale indre marked, dvs. persondataenes frie bevægelighed gennem minimumsregulering af EU-medlemsstaternes regler.

Desuden er der et behov for at styrke de registreredes rettigheder ved at give dem større kontrol over egne data i takt med ny informationsteknologi.

Persondataforordningen gælder direkte og er ensartet for alle EU medlemsstater, dvs. den erstatter alle medlemsstaters lovgivning. Fordi der er er tale om en forordning betyder det, at reglerne gælder direkte i alle lande, og de 99 artikler i forordningen skal overholdes i alle EU-medlemsstater uden undtagelse.

Persondataforordningen, der handler om beskyttelse af personoplysninger, skal gælde i både den private og offentlige sektor, og den bliver håndhævet d. 25. maj 2018.

Det er dog vigtigt at tilføje, at selvom der er tale om en forordning, er der et meget vidt råderum for EU-medlemsstaterne til at opretholde og indføre nationale regler om behandling af persondata, f.eks. regler om indsamling, videregivelse, tavshedspligt mv.

Bemærk at der også er forskel på EUs persondataforordning og den danske persondatalov - forordningen påvirker i dette tilfælde den danske lovgivning.

  • Persondatalov = dansk lov
  • Persondataforordning (eller databeskyttelsesforordning), GDPR (General Data Protection Regulation) = EU direktiv. 

Persondataforordningen omfatter behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive gemt i et register 

 

Hvad betyder persondataforordningen?

Databeskyttelsesforordningen bygger på de samme principper som Persondataloven, dvs. princippet om god databehandling: Det betyder, at:

  • Der skal være tale om lovlig, retfærdig og gennemsigtig behandling af persondata
  • Formålet med behandlingen skal være udtrykkeligt angivet og legitimt. Senere må behandlingen ikke være uforeneligt med det oprindelige formål
  • Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige
  • Personoplysningerne skal være korrekte og om nødvendigt ajourførte
  • Personoplysninger må kun opbevares, så længe det er nødvendigt
  • Den dataansvarlige er ansvarlig for behandlingen

Der er ikke så meget nyt i at sikre, at man passer på virksomhedens egen data og eksterne persondata. Det nye er bl.a., at der er krav om, at det skal kunne beskrives, hvad der skal gøres for at passe på dataene, inden man gør det. Og efterfølgende skal det også defineres, hvordan egne processer så efterleves i praksis.

Men hvorfor er det så vigtigt, at en virksomhed er compliant med persondataloven?

  • Virksomheden skal kunne påvise, at man overholder reglerne
  • Under forordningen introduceres et sanktionsniveau på op til 20 mio. Euro eller 4% af virksomhedens globale omsætning, hver der end er højest
  • Datatilsynet kan forbyde fortsat behandling af persondata
  • Virksomhedsledelsens beslutninger vil blive mere risikobaseret set i forhold til overlevelse for virksomheden og dermed overlevelse for ledelsen

 

De nye regler

  • Databeskyttelsesforordningen indeholder reelt set kun få helt nye regler
  • Materielle behandlingsregler er overordnet de samme som de nugældende
  • Særligt nyt er regler om proces og dokumentation
  • Proces- og dokumentationsprincipperne er alle kendte generelt set, men hvad det præcise indhold forordningen tillægger dem vides ikke med sikkerhed

Systemet med anmeldelse af virksomheder vil falde bort i forbindelse med indførelsen af den nye Persondataforordning. Nu skal virksomhederne ikke længere lave en anmeldelse, men kun kontakte Datatilsynet for:

  • At aflevere kontaktoplysninger til en eventuel Data Protection Officer, DPO - på dansk Databeskyttelsesrådgiver
  • At indberette eventuelle sikkerhedsbrud
  • At høre Datatilsynet, hvis en konsekvensanalyse viser høj risiko

I stedet for at anmelde sin virksomhed skal virksomheden derimod til enhver tid selv kunne dokumentere skriftligt, at virksomheden overholder forordningens krav. Det vil stadig være Datatilsynets opgave at gennemføre kontrol i virksomhederne og afgøre, om virksomhederne lever op til Persondataforordningens krav.

Imidlertid bliver der tale om helt andre sanktionsmuligheder. Det kan sammenlignes med en køreskive i en lastbil. Chaufføren skal kunne påvise at han har overholdt reglerne, hvis man stoppes af politiet, og at han ikke har kørt for hurtigt ikke bare nu, men over en periode.

 

Hvad indebærer GDPR?

GDPR omfatter grundlæggende følgende 3 områder:

1. Samtykke: Hvordan indhenter I samtykke fra jeres kunder/brugere? Og har I en procedure for dette?

Derudover skal alle personer informeres, så snart du indhenter personlige oplysninger på dem, og samtykket skal ske ved et aktivt valg. Det vil sige, at personen skal klikke, sætte kryds eller noget helt tredje for at tilvælge, at I må opbevare oplysningerne.

2. Information: Alle personer har ret til at få adgang til deres egne personlige data, som din virksomhed har. Det kræver derfor, at I har en klar procedure for, hvor og hvordan personlige data behandles, og ikke mindst hvordan I kan videregive disse informationer på en effektiv måde.

3. Dokumentation: I skal kunne dokumentere, hvilke personoplysninger I behandler. Derudover skal der også fremgå følgende:

  • Hvorfor i har brug for personoplysningerne
  • Hvordan i sørger for at slette oplysningerne, der ikke længere er relevante
  • Hvem i evt. videregiver personoplysningerne til
  • Have skriftlige databehandler aftaler med jeres samarbejdspartner som behandler personfølsomme oplysninger på jeres vegne, som f. eks. jeres lønbureau eller marketingsbureau

 

Men hvad skal jeg så gøre?

Vi har delt opgaverne op i følgende 6 trin, der kan hjælpe dig med at opfylde de grundlægende krav i GDPR:

1. Få styr på hvem der er den data ansvarlige i din virksomhed

Hav en intern/ekstern ressource tilknyttet med det overordnede ansvar for GDPR. Den ansvarlige skal have det fulde overblik over alle de steder, hvor der indsamles og anvendes persondata i jeres virksomhed. I større virksomheder er det måske en hel arbejdsgruppe, som har ansvaret for GDPR.

Den ansvarlige skal selvfølgelig være virksomhedens ekspert i GDPR, men det er alligevel en god idé at rådføre sig med en advokat for at sikre en korrekt forståelse af forordningen i forhold til jeres virksomhed.

2. Skab jer et overblik

Få kortlagt alle jeres processer omkring håndtering af personfølsomme oplysninger. Hvilke oplysninger har I? Hvor opbevarer I oplysningerne? Hvilke kilder modtager I oplysninger fra? Alt skal kortlægges, så I kan danne jer et ordentligt overblik.

3. Lav en strategi 

Lav en strategi der sikrer fuld overholdelse af GDPR.

Denne strategi kan omfatte investeringer i teknologi, nye medarbejderprocedurer og ansvar for databehandling samt skabe nye roller inden for organisationen.

4. Udarbejd en intern politik

Iværksæt en plan på alle niveauer i organisationen. Det er vigtigt, at nye teknologier og procedurer bliver implementeret ordentligt. En mulighed er at offentliggøre en databehandlings vejledning målrettet virksomhedens medarbejdere.

5. Husk at involvere medarbejderne

Klarlæg hvilke medarbejdere, der håndterer personfølsomme oplysninger og inddrag dem i processen. Det er vigtigt, at medarbejdere, som bliver påvirkede af GDPR, forstår, hvorfor og hvordan de nye processer i forbindelse med GDPR skal implementeres.

6. Gennemgå og optimer processserne

Efter den 25. maj 2018 stopper arbejdet selvfølgelig ikke. Der vil uden tvivl stadig være områder, som I kan forbedre for at give jeres kunder den bedst mulige databeskyttelse. Derfor kræver det kontinuerlig overvågning og optimering for at leve op til GDPR.

 

Vil du vide endnu mere om GDPR?

Formålet med denne artikel er ikke at give dig et udtømmende overblik over GDPR. Vi håber i stedet, at du har fået en grundlæggende forståelse for, hvad EU’s nye persondataforordning handler om, og hvordan du kommer i gang med arbejdet i din virksomhed. 

Du kan læse mere på datatilsynets egen vejledning

Skrevet af: Erika Snor

Skrevet af: Erika Snor

     


 

Kontorets bedste ven

Vi har åben hele døgnet
www.hertels.dk

Sikker levering med
GLS og egen fragtmand

Kontakt os på 55 72 10 75,
hvis du har brug for hjælp

Bestil inden 12.30 og få dine
varer allerede i morgen

Besøg vores butik på
Kuhlaus Vej 80 i Næstved

Følg os på Facebook og vind
flotte præmier hver måned