Ny EU persondataforordning – den dataansvarliges (nye) forpligtelser

 
Ny EU persondataforordning – den dataansvarliges (nye) forpligtelser
Vores månedlige nyhedsbrev giver dig et praktisk overblik over de mest relevante ændringer, der følger af EU’s nye forordning om persondatabeskyttelse, der får direkte virkning i alle medlemsstater fra den 25. maj 2018. Januar måneds Update diskuterer den dataansvarliges (nye) forpligtelser, herunder:

  • Hvem er dataansvarlig?
  • Oversigt over behandlingsaktiviteter
  • Konsekvensanalyse vedr. databeskyttelse
  • Privacy by design and privacy by default
  • Udpegning af databeskyttelsesrådgiver
  • Anmeldelse af brud på datasikkerheden
  • Hvad betyder disse ændringer for din organisation, og hvordan kan du forberede organisationen?

Hvem er dataansvarlig?
Under den nye Forordning er den dataansvarlige fortsat den fysiske eller juridiske person, offentlige myndighed, institutioner eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Med andre ord er den dataansvarlige den, som afgør, hvad der sker med persondata og til hvilke formål.
Oversigt over behandlingsaktiviteter
Med forordningen afskaffes den nuværende forpligtelse til at anmelde visse behandlinger af personoplysninger til Datatilsynet. I stedet skal dataansvarlige føre en intern fortegnelse over alle behandlingsaktiviteter, som foretages i deres organisation. Fortegnelsen skal indeholde specifikke detaljer om hver behandlingsaktivitet, herunder bl.a. information om

  • formålene med behandling af persondata
  • kategorier af persondata, registrerede og modtagere af data
  • eventuelle overførsler af persondata til tredjelande
  • perioden, hvor data opbevares, og
  • de tekniske og organisatoriske foranstaltninger, som er implementeret af den dataansvarlige.

Det indebærer, at den dataansvarlige skal kunne identificere alle sine aktiviteter, der omfatter persondata, samt føre en fortegnelse over den detaljerede behandling. Behandlingsaktiviteter, som efter direktivet og persondataloven skal anmeldes til Datatilsynet, vil også være omfattet af den nye behandlingsoversigt. Datatilsynet kan på anmodning bede om at få adgang til fortegnelsen, som skal være tilgængelig skriftligt og elektronisk.
Organisationer, som har mindre end 250 ansatte, er dog ikke forpligtet til at føre en fortegnelse over behandlingsaktiviteter, medmindre følgende gør sig gældende:

  • Behandlingen af personoplysninger sandsynligvis vil medføre en risiko for de registreredes rettigheder og frihedsrettigheder.
  • Behandlingen af personoplysninger ikke er lejlighedsvis, eller
  • Behandlingen af personoplysninger omfatter særlige kategorier af oplysninger (følsomme oplysninger) eller personoplysninger vedrørende straffedomme og lovovertrædelser.

Efter vores opfattelse betyder det, at f.eks. mindre virksomheder inden for medicinal- og sundhedssektoren samt E-handelsfirmaer med mindre end 250 ansatte vil være omfattet af pligten til at føre den interne fortegnelse over sine databehandlingsaktiviteter. Mange mindre virksomheder vil også være omfattet af pligten, alene fordi de regelmæssigt behandler oplysninger om medarbejdere, herunder følsomme oplysninger.
Konsekvensanalyse vedr. databeskyttelse
Forordningen indfører en pligt for dataansvarlige til at foretage en konsekvensanalyse, før den dataansvarlige gennemfører visse typer behandlinger af persondata. Dette er navnlig tilfældet, når en type behandling kan indebære en høj risiko som følge af behandlingens omfang, karakter, sammenhæng og formål. En konsekvensanalyse er f.eks. nødvendig i tilfælde, hvor der foretages automatisk behandling af personoplysninger i form af profilering, hvor der behandles følsomme personoplysninger i stort omfang eller i tilfælde af systematisk overvågning af offentligt tilgængelige områder. Datatilsynet kan udarbejde og offentliggøre en liste over typer af behandlingsaktiviteter, der kræver en konsekvensanalyse.
Privacy by design and by default
Den dataansvarlige skal så tidligt som muligt i et forløb vedrørende behandling af persondata overveje de principper og forpligtelser, som følger af Forordningen, herunder dataminimering og pseudonymisering. Den dataansvarlige skal også gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at sikre, at der gennem standardindstillinger alene behandles personoplysninger, som er nødvendige til hvert specifikt formål med behandlingen. For eksempel skal softwareindstillinger i applikationer, der bruges til at behandle persondata, i videst muligt omfang sikre, at der ikke sker behandling af flere persondata end strengt nødvendigt.
Udpegning af databeskyttelsesrådgiver
I modsætning til i dag, hvor en databeskyttelsesrådgiver kan udnævnes frivilligt, indfører Forordningen en pligt for alle offentlige myndigheder og organer til at udpege en databeskyttelsesrådgiver. Private virksomheder skal endvidere udpege en databeskyttelsesrådgiver, hvis deres kerneaktiviteter består af behandlingsaktiviteter, som i medfør af deres karakter, omfang eller formål indebærer behandling i stort omfang af følsomme oplysninger eller omfatter regelmæssig og systematisk overvågning af registrerede.
Der kan udpeges en fælles databeskyttelsesrådgiver for en koncern. Databeskyttelsesrådgiveren kan være ansat af den dataansvarlige eller kan være en ekstern konsulent, men skal i alle tilfælde udføre sine opgaver uafhængigt. Databeskyttelsesrådgiveren skal udpeges på basis af sine faglige kvalifikationer og skal have særlig ekspertise inden for databeskyttelsesret og -praksis.
Artikel 29 Gruppen har netop udsendt retningslinjer for de typer af selskaber, som skal udpege en databeskyttelsesrådgiver. I næste måneds nyhedsbrev vil vi uddybe reglerne vedrørende databeskyttelsesrådgiveren.
Anmeldelse af brud på datasikkerheden
Forordningen indfører en pligt for dataansvarlige til at anmelde brud på persondatasikkerheden til den relevante tilsynsmyndighed. Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet på persondatasikkerheden. I visse tilfælde skal den dataansvarlige også underrette de registrerede om brud på persondatasikkerheden, navnlig hvis der er tale om høj risiko for disse personers rettigheder.
Hvad betyder ændringerne for din organisation, og hvordan kan du forberede organisationen?

  • Start med at identificere, hvilke behandlingsaktiviteter der udføres i din organisation, og gå i gang med at oprette og fremadrettet føre detaljerede oversigter over disse behandlingsaktiviteter.
  • Undersøg, om der sker overførsel af personoplysninger til tredjelande.
  • Undersøg, om nogle af de databehandlingsaktiviteter der gennemføres, kræver, at der foretages en konsekvensanalyse.
  • Overvej, om din organisation er forpligtet til at udpege en databeskyttelsesrådgiver.
  • Indfør interne procedurer og retningslinjer og udpeg en ansvarlig person, som skal identificere, vurdere og underrette om brud på persondatasikkerheden.

Kontakt

Advokat Karin Absalonsen
Karin Absalonsen
Advokat (L), Partner
Direkte: (+45) 33 38 70 14 – Mobil: (+45) 21 67 80 77
E-mail: kab@nrlaw.dk

Hos Nyborg & Rørdam har vi arbejdet med privacy og persondata i flere år. Vi rådgiver vores klienter om de juridiske aspekter omkring databeskyttelse navnlig med det formål at omsætte den komplekse regulering på databeskyttelsesområdet til konkret forståelig operationel rådgivning.
 

Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet.