Ny EU-forordning om persondatabeskyttelse

1. Baggrund og formål

  • EU’s persondata beskyttelsesforordning – General Data Protection Regulation  (GDPR) – er vedtaget i 2016 og får direkte virkning i Danmark fra 25. maj 2018.
  • Persondataforordningen erstatter reglerne i EU-direktiv 95/46/EC fra 1995 og lov om behandling af personoplysninger fra 2011.
  • Formålet med persondataforordningen er navnlig at styrke og sikre et ensartet og højt niveau for beskyttelse af personoplysninger samtidig med, at der tages hensyn til at understøtte det frie flow af data på det indre marked, og at reducere administrative byrder for virksomhederne.

2.  Betydning for danske virksomheder

  • Forordningen bygger i en række kerneforhold videre på den hidtidige lovgivning, men der introduceres også en række nye tiltag, som væsentligt skærper de pligter og det ansvar, som påhviler den dataanvarlige og databehandlerne, samtidig med at der gives nye rettigheder til de registrerede.
  • Endvidere introduceres der betydelige bøder for manglende efterlevelse af forordningen, der kan udgøre det højeste af op til 10 mio. Euro eller 2 % af den årlige koncernomsætning for overtrædelse af den dataanvarliges og databehandlerens pligter og op til 20 mio. Euro eller 4 % af koncernomsætningen for bl.a. overtrædelse af den registreredes rettigheder.
  • Såvel den dataansvarlige og databehandleren kan ifalde erstatningsansvar for overtrædelse af forordningen, og de hæfter i visse tilfælde solidarisk over for de berørte personer.
  • Der vil derfor være et betydeligt incitament for virksomheder til at overholde de nye regler.

3. Hvorfor være compliant?

  • De nye regler er udtryk for et ønske om at beskytte personers fundamentale rettigheder i en stadigt voksende globaliseret, digital økonomi. Vi opfordrer virksomhederne til at acceptere og anderkende reglernes eksistens og betydning og anvende dem som et strategisk redskab og konkurrenceparameter til at skabe nye forretningsmuligheder.
  • Implementering af reglerne vil bl.a. betyde, at man får kendskab til alle data, mulighed for at effektivisere og forbedre forretningsprocesser samt mulighed for at markedsføre virksomheden som socialt ansvarlig og compliant.

4. Hvordan sikres virksomhedens overholdelse af reglerne?

  • Implementering af de nye regler kræver planlægning og omtanke. Der er ikke lang tid til den 25. maj 2018 – så gå i gang nu!
  • Vi anbefaler, at virksomheder griber det an som et risk management anliggende, hvor følgende elementer, der er en forudsætning for overholdelse af reglerne, indgår i processen.
  • Start med en analyse af virksomhedens forretningsprocesser og it-infrastruktur med henblik på at:
    • skabe overblik over og beskrive virksomhedens dataflow vedrørende personoplysninger,
    • fastslå om de personoplysninger, som virksomheden behandler, er omfattet af forordningen,
    • fastslå om virksomheden i givet fald er dataansvarlig og/eller databehandler,
    • tænke persondatalovens krav ind i relevante forretningsprocesser og it-infrastruktur samt ved  indkøb af nye it-systemer (”privacy by design and by default”),
    • etablere fornødne strukturer og fordele roller samt prioritere opgaverne.
  •  Fokuser på følgende forhold, der oftest er den væsentligste årsag til brud på loven:
    • teknisk it-sikkerhed
    • implementering af procedurer for og kontrol af brugen af personoplysninger
  • Såvel Datatilsynet og DI har udarbejdet meget velegnede vejledninger, som virksomhederne kan anvende. Se: https://di.dk/Virksomhed/Produktion/IT/itsikkerhed/personoplysninger/Pages/Vejledningompersondataforordningen.aspx og https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/12_spoergsmaal_-_GDPR.pdf.

 
 5. Hvad indebærer reglerne

  • De nye regler indebærer i hovedtræk følgende elementer, som har væsentlig indflydelse på virksomheders daglige drift og organisation.
  • Generelle principper for behandling af personoplysninger
    Enhver behandling af personoplysninger skal altid være lovlig, fair og gennemsigtig, må alene ske til specifikke, legitime og eksplicitte formål, samt være nødvendig og proportional og foretages på den mindst indgribende måde. Oplysninger skal være korrekte og opdaterede og må ikke lagres længere end nødvendigt.
  • Dataansvarlig og databehandlers pligter
    Den dataansvarlige skal sikre, at personoplysninger beskyttes tilstrækkeligt af sikkerhedsforanstaltninger, og skal som noget nyt:
    • give langt flere oplysninger til og hjælpe den registrerede med at udøve sine rettigheder;
    • i et vist omfang designe teknologiske løsninger, som reducerer graden af indgriben i de registreredes privatliv. Disse løsninger skal slås til som standardindstillinger (“privacy by design and by default”). Efter omstændighederne skal sådanne løsninger baseres på en risikoanalyse eller en konsekvensanalyse;
    • dokumentere, at forordningens krav til samtykke og øvrige bestemmelser opfyldes og efterleves;
    • i visse tilfælde udpege en databeskyttelsesansvarlig (Data Protection Officer, DPO);
    • reagere på sikkerhedsbrud indenfor 72 timer; og
    • føre kontrol med databehandlere.

Databehandlere skal garantere, at de opfylder sikkerhedskrav og må alene handle efter skriftlig instruks fra dataansvarlige. De har endvidere et selvstændigt ansvar for at leve op til en række af de samme krav, som den dataansvarlige, og skal derudover hjælpe den dataansvarlige med at opfylde sine pligter.

  • Registreredes rettigheder
    Der introduceres en generel ret for den registrerede til at
    • blive informeret om behandlingen, og der skal gives langt flere oplysninger til de registrerede end i dag, samt
    • få hjælp fra den dataansvarlige til at udøve sine rettigheder.
De registrerede har desuden ret til at få rettet eller slettet personoplysninger samt som noget nyt ret til at få udleveret en kopi af oplysningerne (dataportabilitet) med henblik på videregivelse til anden tjenesteudbyder og ret til som udgangspunkt ikke at blive profileret, hvorved forstås automatiseret behandling af personoplysninger, der har til formål at evaluere bestemte personlige forhold.
  • Overførsel af personoplysninger til tredjelande
    Dette vil kunne ske til såkaldte sikre tredjelande, som er godkendt af EU-Kommissionen, ved anvendelse af:
    • standardkontrakter (SCC),
    • Binding Corporate Rules (BCR), der vedtages i koncerner og godkendes af tilsynsmyndigheden, samt
    • aftaler, som EU-Kommissionen laver med andre lande, f. eks. USA (Privacy Shield).
  • Øvrige forhold
    Som hovedregel bortfalder pligten til at anmelde behandling af persondata til Datatilsynet, og den dataansvarlige er fremover som hovedregel alene underlagt én tilsynsmyndighed i EU (one-stop-shop).Forordningen opdeler persondata i forskellige kategorier, herunder almindelige data og følsomme data. Der opereres ikke længere med semifølsomme data.

 
6. Afslutning
Det kan virke som en meget stor opgave at implementere de nye regler, men grebet rigtigt og systematisk an kan opgaven håndteres effektivt og til gavn for virksomhedens forretningsprocesser, jf. pkt. 3.
 
Nyborg & Rørdam har stor ekspertise indenfor persondataretten og bistår gerne virksomheder med at implementere og anvende reglerne.
 
 
Kontakt
Advokat Karin Absalonsen
Karin Absalonsen
Advokat (L), Partner
Direkte: (+45) 33 38 70 14 – Mobil: (+45) 21 67 80 77
kab@nrlaw.dk
Oktober 2016
 

Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet.