Ny EU persondataforordning – hvilke konsekvenser får den for din virksomhed?

Den nye persondataforordning blev vedtaget i foråret og træder i kraft den 25. maj 2018. Forordningen har til formål at ensarte reglerne om beskyttelse af persondata på tværs af EU og får direkte virkning i alle medlemsstater.

I forhold til den gældende persondatalov, der bygger på et EU direktiv fra 1995, stiller den nye forordning strengere krav til overholdelse af de registreredes rettigheder og virksomhedernes oplysningspligt samt dokumentations- og sikkerhedskrav. Der introduceres en række nye tiltag, herunder væsentlige bøder for manglende overholdelse, som yderligere skærper de pligter og det ansvar, som påhviler virksomhederne.

Derfor bør de fleste virksomheder gå i gang med implementeringen så hurtigt som muligt.

Nogle af de væsentligste ændringer, som forordningen vil betyde for din virksomhed, er:

  1. Anvendelsesområde
    Alle virksomheder, der behandler persondata, er omfattet af forordningen. Virksomheder udenfor EU vil også være omfattet, hvis de tilbyder varer eller tjenester i EU eller overvåger personer i EU og dermed behandler persondata om borgere, som er i EU.
  2. Øget ansvar og pligter
    Som noget nyt pålægges virksomheder væsentligt øgede pligter til at sikre de registreredes rettigheder, herunder vedrørende oplysning og dokumentation, sikkerhed og risikovurderinger, dataportabilitet, retten til at blive glemt, automatisk behandling og profilering.
  3. Bødeniveau og erstatningskrav
    Virksomheder kan blive pålagt betydelige bøder for manglende efterlevelse af forordningen på op til det højeste af 4 % af den globale årlige omsætning eller 20 mio. EUR. Dataansvarlige og databehandlere hæfter solidarisk for erstatningsansvar over for personer, som lider skade ved overtrædelse af forordningen.
  4. Privacy by design and by default
    De grundlæggende principper om databeskyttelse skal indarbejdes i de it-systemer, som virksomheden bruger, og skal derfor tænkes ind i forretningsprocesser og ved indkøb af nye systemer.
  5. Datasikkerhedsbrud
    Virksomheder skal hurtigst muligt og senest indenfor 72 timer underrette den kompetente tilsynsmyndighed om alvorlige sikkerhedsbrud.
  6. Data Protection Officer (DPO)
    I virksomheder hvis kerneaktiviteter omfatter behandling af persondata, eller hvor der behandles mange følsomme personoplysninger, skal der udpeges en såkaldt DPO.
  7. One-stop-shop mekanisme
    Hvis virksomheden driver forretning i flere lande, skal der alene være kontakt til én tilsynsmyndighed i EU. De nationale tilsynsmyndigheder i EU skal samarbejde på tværs og sikre ensartede afgørelser.

Ud over at den betydelige bøderisiko er et incitament til at overholde de kommende regler, vil det også være til gavn for virksomhedens forretningsprocesser og konkurrenceevne at være “compliant”.

Din virksomhed bør derfor allerede nu…

  • Få overblik over virksomhedens databehandling
    Virksomheden bør gennemføre en complianceanalyse af virksomhedens forretningsprocesser og it-infrastruktur med henblik på at få klarhed over sine dataflows, herunder typer af persondata, hvor de indhentes og opbevares og hvor længe, med henblik på sikring og styring af interne og eksterne datastrømme samt datasikkerhed og dokumentation.
  • Politikker og databehandler aftaler
    Virksomheden bør foretage en gennemgang og revision af sine politikker og databehandleraftaler, herunder til sikring af samtykke eller behandlingshjemmel og instruktion til behandling af persondata. Der bør om nødvendigt oprettes nye politikker.

Det kan virke som en stor og uoverskuelig opgave, men grebet rigtig an kan det bruges til at styrke virksomhedens forretning, konkurrenceevne og image.

Kontakt

Advokat Karin Absalonsen
Karin Absalonsen
Advokat (L), Partner
Direkte: (+45) 33 38 70 14 – Mobil: (+45) 21 67 80 77
E-mail: kab@nrlaw.dk

Hos Nyborg & Rørdam har vi arbejdet med privacy og persondata i flere år. Vi rådgiver vores klienter om de juridiske aspekter omkring databeskyttelse navnlig med det formål at omsætte den komplekse regulering på databeskyttelsesområdet til konkret forståelig operationel rådgivning.

 

Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet.