Esbjerg
Esbjerg Brygge 28
6700 Esbjerg
Se vores åbningstider
København
H. C. Andersens Blvd. 45
1553 København V
Se vores åbningstider
Herning
Dalgasgade 21, 2
7400 Herning
Se vores åbningstider
Skjern
Bredgade 67
6900 Skjern
Se vores åbningstider
1. okt. 2015

Den nye Persondataforordning  er på plads

Efter at have været 4 år undervejs, er den nye persondataforordning nu formelt vedtaget. Vi ved også nu, at forordningen finder anvendelse fra den 25. maj 2018. Teksten har været kendt siden 15. december 2015, hvor der opstod politisk enighed mellem EU-Parlamentet, Rådet og EU-Kommissionen, om forordningens endelige udformning.

Forordningen vil efter vores vurdering potentielt set indebære en væsentlig forbedring – og administrativ lettelse - for de danske virksomheder, som har aktiviteter i flere lande indenfor EU. Efter forordningens ikrafttræden vil virksomheder således ikke længere skulle forholde sig til – og indhente rådgivning om – persondatareglerne i de forskellige EU-lande. På tilsvarende vis vil der blive indført en one-stop-shop mekanisme, hvor virksomhederne alene tilknyttes tilsynsmyndigheden i ét medlemsland. Det bemærkes dog, at der i forordningen er indarbejdet en såkaldt manøvremargin, som giver de enkelte medlemsstater mulighed for at opretholde eller introducere mere præcise regler vedrørende forordningens anvendelse.

Samtidig fastholdes det generelt høje beskyttelsesniveau af persondata, som vi kender i dag. Forordningen vil således i vidt omfang videreføre de regler, der allerede gælder i dag i Danmark i medfør af persondataloven.

Der er dog en række ændringer, hvoraf de mest væsentlige fremhæves her:

  • Efter forordningen er det ikke længere kun de dataansvarlige – de selskaber, der ”ejer” data - som er forpligtet af reglerne, men også databehandlere – de selskaber, der håndterer andres data. Det betyder fx, at det ikke længere kun er arbejdsgiverselskabet, som er ansvarlig for overholdelse af reglerne, men også de eventuelle underleverandører, fx lønadministrationsbureau, som arbejdsgiverselskabet har outsourcet administrationen til.
  • Samtidig er også virksomheder, som er etableret udenfor EU omfattet, hvis de tilbyder ydelser/tjenester i EU. For internetbaserede virksomheder vil det navnlig have betydning, om virksomheden markedsfører sig mod det europæiske marked, hvilket blandt andet vil kunne anses for at være tilfældet, hvis markedsføring sker på de europæiske sprog og med angivelse af europæisk valuta.
  • Der bliver øgede krav til, at virksomhederne skal kunne dokumentere et passende datasikkerhedsniveau. Det indebærer bl.a., at der skal implementeres passende tekniske og organisatoriske foranstaltninger designet til at sikre beskyttelse af persondata (data protection by design), og i disse foranstaltninger skal en høj databeskyttelse være standard (data protection by default).
  • Nogle virksomheder skal udarbejde en PIA (Privacy Impact Assessment ), dvs. en vurdering af risici ved IT-systemets håndtering af persondata.
  • Det vil være et krav at have en DPO (Data Protection Officer) indenfor den offentlige sektor og indenfor private virksomheder, som har som kerneaktivitet at behandle persondata. Derimod er det nu klart, at private virksomheder, som alene behandler persondata som en underordnet ydelse/aktivitet, ikke vil være forpligtede til at have en DPO. Lønadministrationsbureauer vil efter vores vurdering ofte være forpligtede til at have en DPO, hvorimod den omstændighed, at en virksomhed håndterer data vedrørende sine medarbejdere, ikke vil være nok til at udløse en sådan forpligtelse.
  • Personer, hvis persondata bliver behandlet, skal have mere information om denne behandling, og informationen skal være tilgængelig på en klar og forståelig måde. En anmodning om indsigt skal besvares inden for 4 uger. Derudover bliver reglerne om ”retten til at blive glemt” klarere.
  • Personer vil få nemmere adgang til at få deres persondata overført mellem to virksomheder.
  • Kravet om anmeldelse og underretning til en tilsynsmyndighed fjernes. I stedet bliver det et krav at virksomhederne udfærdiger skriftlig dokumentation for politikker og procedurer for håndtering af persondata. Der opfordres til udarbejdelse af branchespecifikke ”code of conduct” (som kan godkendes af tilsynsmyndighederne) og certificeringsordninger.
  • Der bliver mulighed for indenfor specifikke emner, fx vedrørende håndtering af medarbejder data, at opstille strengere nationale regler. Det anses for sandsynligt, at Danmark vil fastholde et krav om anmeldelse af behandling af persondata som led i personaleadministration.
  • Ved alvorlige brud på datasikkerheden skal den nationale tilsynsmyndighed underrettes inden for 72 timer.
  • Slutteligt har lovgiver understreget et øget fokus på behandlingen af persondata ved indførelse af et bødeniveau for overtrædelse af forordningen på op til mellem 10-20 mio. euro eller 2-4 % af virksomhedens globale årlige koncernomsætning, hvis det er højere, afhængigt af, hvilke bestemmelser der overtrædes. For offentlige myndigheder er bødeniveauet op til mellem 10-20 mio. euro.

Selvom der som nævnt er to år til, at de nye regler træder i kraft, er det vores anbefaling at virksomhederne allerede nu iværksætter en række konkrete tiltag. Dette både for hurtigst muligt at sikre overholdelse af de gældende regler i persondataloven og samtidig for at være forberedt i god tid inden forordningens ikrafttræden.

Konkrete tiltag, som vi anbefaler iværksat:

  1. Få klarlagt og gennemgået jeres nuværende procedurer og politikker angående persondatabehandling. Dette analysearbejde kan vise sig at være ganske omfattende, så kom i gang i god tid.
  2. Sørg for at det er så få medarbejdere som muligt, der har adgang til persondata. Den enkelte medarbejder skal kun have adgang til det persondata, som er nødvendigt for at løse vedkommendes arbejdsopgave. Overvej derfor om jeres nuværende procedurer skal ændres, eller om der allerede er taget højde for dette.
  3. Alle medarbejdere, der håndterer persondata, skal have skriftlig instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan oplysningerne skal beskyttes. Denne instruktion/oplæring skal være målrettet den enkelte medarbejder. Således vil fx instruksen til den HR-ansvarlige være anderledes, end til den IT-ansvarlige, som alene har adgang til systemet for at løse tekniske problemer.
  4. Sørg for at adgang til det IT-system, der håndterer persondata, er beskyttet af password og firewall. Sørg for at al adgang til følsomme personoplysninger logges. Efter et passende antal forgæves forsøg (fx 3) på at få adgang til sådan følsomme personoplysninger, skal der blokeres for yderligere forsøg. Det skal være muligt at slette oplysninger, for at kunne imødekomme ”retten til at blive glemt”.
  5. Gennemgå jeres aftaler med eksterne databehandlere, og sørg for at de lever op til kravene om god databehandlingsskik, at de har et passende sikkerhedsniveau, og at de giver jer besked i tilfælde af sikkerhedsbrud. Hvis ikke I har databehandleraftaler med jeres underleverandører, så få dem lavet.
  6. Få godkendt jeres personaleadministration hos Datatilsynet, og foretag anmeldelse af eventuelle overførsler uden for EØS.
  7. Endelig er det vigtigt at huske, at det efter forordningen bliver et krav, at virksomhederne kan dokumentere, at de efterlever forordningens krav. Det er altså ikke nok at gøre det, man skal også kunne vise, at man har gjort det. Sørg derfor for at få styr på jeres dokumentation.

Vi står selvfølgelig til rådighed, såfremt du/I måtte ønske yderligere information og/eller assistance i forbindelse med gennemgang af persondataprocedurer og complianceniveau med henblik på efterlevelse af de kommende skærpede krav.