Databeskyttelsesforordning

EU har vedtaget en persondataforordning, også kaldet databeskyttelsesforordning, som sikrer borgerne rettigheder til deres egne data

 

EU ønsker at harmonisere reglerne for alle EU-landene, hvilket sikrer borgerne lige vilkår, uanset i hvilket EU land oplysningerne er registreret. Personhenførbare data må ikke – uden omfattende tiltag – overføres til tredjelande.

 

Der stilles krav til anvendelsen af persondata, således er det alene er lovligt at indsamle og behandle persondata, når de har et reelt formål og tjener virksomhedens aktivitet rimeligt.

 

Borgernes rettigheder indbefatter, at personhenførbare data skal være korrekte og for dem lettilgængelige og letforståelige. Borgerne har ret til indsigt i egne data, ret til at berigtige dem og som virksomhed, er man forpligtet til at svare på henvendelse fra borgeren om deres egne data i løbet af fire uger. Det kræver overblik over data, udpegning af den eller de ansvarlige for besvarelsen, politikker som beskriver borgernes rettigheder og procedurer.

 

Enhver borger har fået "retten til at blive glemt". Den danske tekst skriver retten til at blive slettet. Det stiller krav til dig og din virksomhed om at have styr på sine persondata.

 

Uden tiltag læner du dig kraftigt op ad den højeste takst for overtrædelse af loven nemlig EUR 20.000.000 eller 4% af omsætningen afhængig af hvilken størrelse der er størst; mens den lave takst udgør EUR 10.000.000 eller 2% af omsætningen – igen afhængig af hvilken størrelse der er størst.

Der er derfor al mulig god grund til at sætte ressourcer af til at imødegå forordningens krav. Det første der skal gøres, er at gøre jer klart hvilke data der er, hvordan data er sikret, hvor længe data ”lever”, hvorvidt borgerne er informeret herom og hvordan i lever op til at sikre deres rettigheder.

 

De nye regler fandt anvendelse fra d. 25. maj 2018.

 

Lovteksten i sin helhed findes på EUR-Lex.

 

Hvad er persondata?

Persondata skal forstås som alle typer oplysninger, der kan identificere en specifik person – også når det gælder, at alene en snæver kreds kan identificere denne person.

 

Alle elektroniske spor er således også aftryk og personhenførbare data.

 

Behandlingen af personfølsomme data stiller endnu flere krav til dig og din virksomhed.

 

Data - fra fødsel til grav

De fleste virksomheder vil sikkert kunne pege på, hvor og hvornår data fødes i virksomheden – men hvor længe opbevares de? Hvis din virksomhed blot bliver ved med at generere persondata, lever du ganske enkelt ikke op til reglerne.

 

Hvem har adgang til persondata – internt og eksternt – på dataenes rejse gennem din virksomhed? Har du kontrol med data – når de lever videre i eksternt regi?

 

Dataansvarlig og databehandler

Er din virksomhed dataansvarlig eller databehandler? Eller måske begge dele afhængig af omstændighederne?

 

Dataansvarlig er den virksomhed, som afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Det afgørende er således, hvem der juridisk og/eller faktisk afgør, hvordan personoplysninger skal behandles.

 

En databehandler kendetegnes ved kun at behandle personoplysninger efter instruks fra en dataansvarlig. Databehandleren behandler således aldrig personoplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

 

Compliance - på jævnt dansk

For dig som virksomhed er det vigtigt, at virksomhedens processer og politikker for behandling af persondata er i overensstemmelse med gældende regler. Artikel 30 i persondataforordningen stiller krav om, at du skal påvise, altså dokumentere, at du lever op til reglerne.

 

Compliance er et engelsk ord. Længe har jeg ledt efter et godt dansk udtryk uden held. Compliance betyder at være eller handle i overensstemmelse med i dette tilfælde den nye persondatalov. Således betyder non-compliance enten manglende overholdelse og/eller overtrædelse af reglerne.

 

Notifikationspligten – når uheldet er ude

Hvis uheldet er ude, og data mistes eller offentliggøres, træder notifikationspligten i kraft. Inden for 72 timer skal du kontakte Datatilsynet og de berørte borgere – du skal kunne fortælle...

 

  • hvad der er sket
  • omfang af lækket
  • hvilke tiltag der er iværksat for at begrænse skaden
Anette Pedersen – din persondatarådgiver

Jeg er din rådgiver om persondata


Anette Pedersen


Kontakt mig for en snak om:


  • Færre krav til datastrømsanalysen for virksomheder under 250 ansatte
  • Dokumentationsmateriale i let-forståeligt sprog
  • Når du gerne vil sove roligt om natten
  • Lavpraktisk, resultatorienteret tilgang

 

Tlf.: (+45) 22 35 75 50

MAIL: amp@time.dk