Nye EU-regler for persondata endeligt vedtaget
De nye regler for persondata er netop faldet endegyldigt på plads i EU. Reglerne får store konsekvenser for danske virksomheder og myndigheder, der fremover skal leve op til strammere krav for håndtering af persondata.
Danske virksomheder er godt med
Plesners erfaring er, at danske virksomheder og myndigheder allerede har stort fokus på, hvordan de lever op til de nye regler.
4 punkter organisationer skal tage fat på:
- I første omgang venter der et stort arbejde med at få et overblik over alle sine persondata i organisationen
- Derefter skal man have vurderet, om man indsamler, bruger, deler og sletter oplysningerne i overensstemmelse med forordningen
- Endelig skal man have etableret et system, så man fremover kan dokumentere over for myndighederne, at man overholder reglerne. Dette vedrører ikke bare almindelige sikkerhedskrav, men alle forordningens regler. Eksempelvis skal man altså have et system, som sikrer og dokumenterer, at man har et juridisk grundlag for at indsamle personoplysninger
- Samtidig er det afgørende, at man sørger for at have de rigtige kompetencer - både hvis man er omfattet af den kreds af virksomheder og myndigheder, som skal have en DPO, og hvis man skal bruge interne kræfter til implementeringen af forordningen
Frist til sommeren 2018
Den politiske aftale om persondataforordningen blev forhandlet på plads i december 2015 efter mere en fire års forhandlinger. Med den endegyldige formelle vedtagelse den 16. april 2016 kan fristen også fastsættes for, hvornår danske virksomheder og myndigheder skal leve op til nye regler, nemlig om lidt mere end 2 år fra nu. Den præcise frist måles formelt set fra den dato - forventeligt inden for de nærmeste uger - hvor forordningen bliver trykt i EU's lovtidende, og dertil lægges 2 år og 20 dage.
Plesner anbefaler kraftigt ikke at vente, men at gå i gang nu med de første skridt. Grebet rigtigt an er en implementering af forordningen ikke bare en udgift, men kan være et værdifuldt redskab for organisationen.
Offentlige myndigheder får særlig dataansvarlig
Et at mest centrale tiltag i forordningen er et krav om, at alle offentlige myndigheder - og visse virksomheder - skal ansætte en særlig dataansvarlig person - en såkaldt Data Protection Officer (DPO).
Myndighederne skal fremover have en person, som får en særlig ansættelsesretlig beskyttelse og får en række centrale opgaver med bl.a. at kontrollere om reglerne bliver overholdt. Det er en opgave, de offentlige myndigheder arbejder målrettet for at få styr på i øjeblikket.
De vigtigste nyskabelser i persondataforordningen
- Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
- Skærpet krav til dokumentation for samtykke
- Styrkelse af den registreredes rettigheder
- Risikobaseret krav om privacy by design og privacy by default
- Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
- Udbydere af sociale medier og andre informationssamfundstjenester skal have forældresamtykke for at kunne behandle oplysninger om børn under 16 år. Medlemsstaterne kan vælge at sænke denne alder til 13 år
- Data Protection Officer i offentlige myndigheder og visse private virksomheder
- En ny "One-stop-shop" for koncerner, der er etablerede i flere EU lande, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne. Men også en lang række kompetencer til at fastsætte nationale særregler
- Right-to-be-forgotten (retten til at blive glemt)
- Bøder på op til 4 % af global årlig omsætning
Få viden om persondataforordningen
Plesner udbyder en række arrangementer og kurser om den nye persondataforordning.
Se udbud af arrangementer og kurser