Forberedelse forud for EU's Persondataforordning, som finder anvendelse fra den 25. maj 2018

26 oktober 2016

Datatilsynet har udarbejdet et dokument indeholdende 12 spørgsmål, som dataansvarlige med fordel kan forholde sig til i forbindelse med den nye Persondataforordning.

Den nye Persondataforordning vil have direkte virkning i Danmark, hvilket indebærer, at hverken Danmark eller andre medlemslande i EU må eller kan foretage implementeringer eller ændringer i Forordningen. Medlemslandene må heller ikke gennem fortolkning begrænse eller ændre Forordningens regler. På den baggrund er Danmark forpligtet til at indrette dansk lovgivning i overensstemmelse med de nye regler, der finder anvendelse fra den 25. maj 2018.

Forordningen indfører en række helt nye bestemmelser, der i det væsentligste medfører, at databehandlere vil få større forpligtelser, at de registrerede får udvidet deres rettigheder og at de nationale tilsynsmyndigheder vil få skærpede håndhævelsesmuligheder. Det er derfor vigtigt, at dataansvarlige får styr på de nye regler og iværksætter foranstaltninger, der sikrer overholdelse af Forordningens regler. Datatilsynet har i den forbindelse udarbejdet et dokument, som dataansvarlige kan anvende som tjekliste, når de skal skabe sig et overblik over hovedforskellene mellem den nuværende lovgivning og den nye Persondataforordning for at kunne forstå, hvordan det vil påvirke virksomheden.

Datatilsynets 12 spørgsmål - tjeklisten

  1. Kendskab til den nye Persondataforordning:

    Datatilsynet understreger først og fremmest vigtigheden af, at den dataansvarlige sikrer, at beslutningstagere og nøglepersoner i virksomheden er bevidste om de nye regler. Virksomheder bør i god tid iværksætte undersøgelser om, hvordan Forordningen vil påvirke virksomheden samt afsætte de fornødne ressourcer hertil.

  2. Få styr på hvilke personoplysninger virksomheden behandler: span>

    Datatilsynet opfordrer virksomhederne til at undersøge, hvilke oplysninger der behandles, hvor oplysninger kommer fra og hvem oplysningerne deles med.

  3. Gennemgang af information, som virksomheden giver de registrerede:

    For at sikre overholdelse af Persondataforordningen er det vigtigt, at virksomheden opfylder de øgede krav om tilstrækkelig information omkring behandlingsgrundlag, behandlingstid og klagemuligheder til de registrerede. Det skal endvidere pointeres, at denne information skal være kortfattet, letforståelig, i et tydeligt og enkelt sprog.

     

  4. Gennemgang af rutiner til sikring af de registreredes rettigheder:

    De registreredes rettigheder styrkes og skærpes ved persondataforordningen. Virksomhederne bør derfor have styr på sine rutiner og procedurer, som skal sikre overholdelse af disse rettigheder. Særligt retten til dataportabilitet nødvendiggør, at virksomheden er i besiddelse af fornødne tekniske løsninger hertil.

  5. Retligt grundlag for behandling af persondata:

    Persondataforordningen medfører et krav om, at databehandlere skal informere de registrerede om det retlige grundlag for indsamlingen af oplysninger. De registreredes rettigheder varierer alt afhængig af det retlige grundlag for behandlingen. Virksomheder må derfor foretage en analyse, hvor det undersøges, hvilke kategorier af personoplysninger der behandles, og dokumentere konklusionerne herpå.

  6. Indhentelse af samtykke:

    Dataansvarlige skal kunne dokumentere, at der er givet et gyldigt samtykke til, at personlige oplysninger gøres til genstand for behandling. Virksomhederne bør forholde sig til interne procedurer for indhentelse, opbevaring og dokumentation af samtykke. Desuden må virksomheden sikre, at dennes systemer lever op til forordningens krav.

  7. Personoplysninger om børn:

    Forordningen yder en særlig beskyttelse af personoplysninger om børn, særligt ved informationsudveksling på sociale netværk. Databehandlere må sikre, at virksomhedens systemer og procedurer varetager børns særlige beskyttelsesværdige stilling ved indhentelse af samtykke fra forældremyndighedshaver.

  8. Procedurer i tilfælde af brud på persondatasikkerheden:

    Virksomhederne er underlagt en forpligtelse til at dokumentere alle slags brud på persondatasikkerheden og må sørge for at anmelde bruddet inden for 72 timer. I visse tilfælde må anmeldelse endda ske uden unødig forsinkelse, hvis der er høj risiko forbundet for en fysisk person. Virksomheden bør forholde sig til, at denne har de fornødne procedurer på plads for at opdage, rapportere og undersøge brud på sikkerheden.

  9. Særlige risikoforbundne databehandlinger:

    I visse tilfælde er virksomhederne pålagt at foretage en konsekvensanalyse vedrørende databeskyttelse. Dette er særligt tilfældet, hvis der i stort omfang behandles følsomme oplysninger. Analysen må indeholde en systematisk beskrivelse af alle behandlingsaktiviteter, nødvendighedsvurdering, proportionalitetsvurdering og risikovurdering samt en handlingsplan for, hvorledes konstaterede risici imødegås.  Virksomheden skal derfor forholde sig til, om der sker behandling af personoplysninger, som er forbundet med særlige risici for den registrerede.

  10. Databeskyttelse i it-systemer (privacy by design):

    Databehandleres it-systemer skal være gearet til at kunne efterleve de skærpede regler. Det grundlæggende princip inden for databeskyttelse er, at der ikke indsamles for megen unødvendig persondata. Virksomheden bør forholde sig til, at nuværende eller fremtidige it-systemer opfylder alle persondataforordningens krav.

  11. Databeskyttelsesrådgiver (DPO):

    Visse organisationer er forpligtet til at udpege en databeskyttelsesrådgiver på baggrund af faglige kvalifikationer og evnen til at udføre opgaverne stillet af forordningen. Virksomheden skal forholde sig til, om denne er underlagt en forpligtelse til at udpege en DPO, og i så fald, om virksomheden råder over en tilstrækkelig kvalificeret kandidat.

  12. One-Stop-Shop – erhvervsvirksomhed i flere lande:

    Såfremt virksomheden driver virksomhed i flere EU-lande, må virksomheden, i kraft af One-stop-shop-princippet, forholde sig til hvilken tilsynsmyndighed, der har ansvaret for at føre tilsyn med virksomheden på tværs af EU. Som hovedregel vil tilsynsmyndigheden, hvor virksomhedens effektive ledelse er placeret, være den ansvarlige. Virksomheden kan derfor være nødsaget til at foretage en kortlægning af, i hvilken medlemsstat virksomheden træffer sine betydningsfulde beslutninger.

    Hvis du har lyst til at læse mere omkring Datatilsynets 12 spørgsmål, kan dokumentet findes her.        

For yderligere information omkring Persondataforordningen kan der henvises til den seneste relevante litteratur på området, herunder bl.a. "Persondataforordningen – en håndbog for praktikere" af Amalie Langebæk, Jesper Langemark & Nis Peter Dall samt "Den nye persondataret – Persondataforordningen" af Peter Blume.