Navigation

Sådan bliver du klar til persondataforordningen

23. november 2016

Det er først i 2018, at den nye persondataforordning træder i kraft for alle virksomheder i EU, men du bliver ikke klar til den på en enkelt nat, så kom hellere i gang med arbejdet, inden det kommer til at koste dyrt.

Den gældende persondataforordning er mere end 20 år gammel – i den tid har mulighederne for at bruge og misbruge data ændret sig væsentligt. Og det samme har udfordringerne for datasikkerheden.

Det skal det nye regelsæt i persondataforordningen rette op på, men det giver en række opgaver for virksomheder og organisationer.

Her kan du læse om de vigtigste fokuspunkter i det nye regelsæt, og du er også meget velkommen til at kontakte os, hvis du har konkrete spørgsmål eller ønsker rådgivning, så I kan blive klar til de nye regler.

Du har ansvaret
Når de nye regler træder i kraft, er en af de væsentligste ændringer for virksomhederne, at de ikke længere er ‘uskyldige til andet er bevist’. I stedet bliver det din virksomheds opgave at kunne dokumentere, at I har kontrol med de personfølsomme data, I opbevarer.

Det betyder blandt andet, at du skal kunne dokumentere, at I har en ensrettet, kontrolleret og sikker måde at håndtere personfølsomme data på. I den forbindelse skal du også kunne redegøre for, at det er væsentligt for din virksomhed at opbevare de data – du må nemlig ikke opsamle og bevare personfølsomme data, som du ikke har et konkret og legitimt behov for.

I forhold til sikkerheden stilles der krav om, at du laver en konkret risikovurdering af de projekter og arbejdsgange, som indebærer håndtering af personfølsomme data. I den forbindelse skal du også dokumentere, hvordan I i din virksomhed forebygger de risici, der er.

Sker der alligevel et brud på sikkerheden, skal Datatilsynet underrettes inden for 72 timer, ligesom de mennesker, hvis data er lækket, skal have besked.

Det handler altså meget om, at du får et overblik over de data, I håndterer i din virksomhed, i hvilke processer de anvendes, hvor de opbevares og sikkerheden omkring det.

Det kan også være en god idé at udarbejde en plan for, hvordan I vil håndtere en eventuel krise – hvem skal informeres, hvem har kommandoen, og har I brug for assistance til at genetablere sikkerheden?

Nogle virksomheder får flere regler
Udover den grundlæggende sikkerhed omkring behandlingen af data i virksomhederne, så er der også særlige krav til virksomheder, som håndterer personfølsomme data som en del af deres kerneforretning. Arbejder du i en sådan virksomhed, skal du udnævne en ‘Data Protection Officer’ – DPO – som har ansvaret for, at din virksomheds håndtering af personfølsomme data lever op til de nye regler og har kontakten med Datatilsynet.

‘The right to be forgotten’ 
Udover de overordnede krav til, hvordan virksomhederne håndterer data i hverdagen, har der været fokus på, at ‘almindelige mennesker’ har ret til oplysningerne om sig selv. Det betyder blandt andet, at man kan kræve at få slettet de oplysninger, en virksomhed opbevarer, hvis virksomheden ikke har en juridisk gyldig grund til at bevare dem. Det samme gælder i forbindelse med markedsføring, hvor du som virksomhed skal have en tydelig accept, før du må indhente private oplysninger, og privatpersonen kan til hver en tid tilbagekalde denne accept, hvorefter din virksomhed skal slette data.

I de fleste virksomheder vil det ikke give anledning til andre udfordringer, end at man har et klart overblik over, hvor data befinder sig, så de kan slettes efter behov.

Det kan blive dyrt, hvis man ikke efterlever kravene
I dag er bøderne i forbindelse med brud på sikkerheden omkring persondata til at overse for de fleste virksomheder, men i forbindelse med, at de nye regler træder i kraft i 2018, skærpes strafferammen betydeligt, så virksomheder kan få bøder på helt op til 4% af deres globale omsætning eller 20.000.000 €. Til sammenligning er den største bøde, Datatilsynet har udstedt med de gamle regler, på blot 25.000 kroner.

Kom godt i gang
Som sagt handler det i høj grad om at blive bevidst om, hvordan din virksomhed håndterer og beskytter personfølsomme oplysninger. Går du i gang nu, er der god tid til at få lavet et overblik og løst de udfordringer, der er i din virksomhed.
Hos IT Forum har vi et tæt samarbejde med advokater og revisorer inden for persondataområdet, så vi kan rådgive og udarbejde løsningsforslag til mange af de nye krav, så din virksomhed er klar, når reglerne træder i kraft.