Vores telefonbog er nu tilgængelig i webapp form. Ønsker du at prøve den?

Nej tak Ja tak

x
Guides
paragraf2

Persondataforordning

Behandling af personoplysninger er efterhånden blevet et stort emne, og EU har netop vedtaget et nyt regelsæt om beskyttelse af persondata – Persondataforordningen

I december 2015 afsluttedes forhandlingerne mellem EU-Parlamentet, EU-Rådet og EU-Kommissionen, og parterne enedes om det nye regelsæt for beskyttelse af persondata - persondataforordningen.

Der er tale om væsentlige ændringer på det persondataretlige område, som bl.a. kan betyde væsentligt højere bøder for overtrædelser og underretningspligt for brud på datasikkerheden. Endvidere udvides regelsættets anvendelsesområde med det formål, at virksomheder uden for EU underlægges de europæiske databeskyttelses regler, når de udfører tjenester inden for EU.

Selv om forligsteksten er klar, skal forordningen først officielt vedtages, hvilket forventes at ske i januar 2016. Derefter vil der gælde en 2-årig ikrafttrædelsesfrist, og forordningen bliver derfor først en realitet i Danmark i 2018.

Nye persondataregler i 2018
Der er en række ændringer og nyskabelser, som virksomhederne skal forholde sig til, når persondataforordningen træder i kraft. De nye regler retter sig både mod private og offentlige virksomheder.

De væsentligste ændringer er følgende:

  • Alle virksomheder, der behandler persondata - uanset om de er dataansvarlige eller alene behandler data på vegne af andre (databehandlere) - er omfattet af forordningen. Virksomheder uden for EU vil også være omfattet, hvis de tilbyder tjenester i EU og dermed behandler persondata om EU borgere.
  • Underretning om alvorlige brud på datasikkerheden til de nationale tilsynsmyndigheder skal ske inden 72 timer.
  • Der kan udstedes bøder for overtrædelse af forordningen, som for virksomheder svarer til op til 4 % af den globale årlige koncernomsætning og for øvrige op til 20 mio. euro. Og der er tale om fælles ansvar hos dataansvarlig og databehandler for eventuelle overtrædelser.
  • Inden for den offentlige sektor og for virksomheder, hvis kerneaktivitet er behandling af persondata, vil udpegning af en såkaldt Data Protection Officer (DPO) være et krav.
  • Enkeltpersoner skal have mere information om, hvordan deres oplysninger behandles, og informationen skal være tilgængelig på en klar og forståelig måde. Begæringer om indsigt skal svares inden for 4 uger og uden omkostninger.
  • One-stop-shop mekanisme, hvor virksomhederne alene skal have kontakt med én enkelt tilsynsmyndighed. Til gengæld skal tilsynsmyndighederne inden for EU samarbejde i væsentlig højere grad, og dette vil blive afspejlet i afgørelserne, som forventes at blive mere ensartede.
  • Klarere regler om "retten til at blive glemt" og specifikke krav om sletning af data; også hvis dataene skulle være offentliggjort.
  • Risikobaseret tilgang, hvor forpligtelserne er tilpasset de reelle risici. Dog er der også et krav om at kunne dokumentere virksomhedens compliance med regelsættet.
  • Enkelte lempelser for små og mellemstore virksomheder; f.eks. er det ikke et krav om at udpege en DPO.

Mens vi venter - få styr på dataprocesserne
Alle virksomheder bør danne sig et fuldstændigt overblik over, hvorledes virksomheden behandler personoplysninger. Det vil sige, hvordan virksomheder behandler oplysninger, der er modtaget i forbindelse med ansøgninger, ansættelser, under ansættelsesforholdet, i forbindelse med opsigelse/afskedigelser og efter ansættelsesforholdets afslutning.

Virksomheden bør kortlægge alle behandlingens faser - herunder indsamling, brug, videregivelse, ændringer eller sletning af personfølsomme oplysninger.

Desuden bør det undersøges, om personoplysninger overgives til eller lagres hos tredjeparter, f.eks. ved at oplysningerne lagres på eksterne servere, der er opstillet i et ikke EU-land.

Virksomhederne bør også sikre sig, at der er indgået en databehandleraftale, hvis personoplysninger lagres på en ekstern server hos en tredjepart. Det er endvidere relevant at orientere sig om, hvorvidt serveren er fysisk placeret i et EU-land eller ej.

Tid til at opdatere og/eller udarbejde politikker
Persondataforordningen stiller skærpede krav til virksomhederne om at udarbejde politikker vedrørende behandling af persondata.

Det vil være relevant for de fleste virksomheder at overveje at indføre bl.a. 1) en privacy policy og 2) interne regler om behandling af persondata.

1. Privacy policy
En privacy policy skal indeholde gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger på virksomheden.

Politikken bør indeholde oplysninger om bl.a. virksomhedens kontaktoplysninger, formålene med indsamlingen, den registrerede persons indsigtsret, modtagerne af oplysningerne, klageadgang mv.

2. Interne regler for databehandling
Det bør indføres interne regler for, hvilke foranstaltninger der kan indføres for at sikre behandlingen af personoplysninger. Disse foranstaltninger kan f.eks. omfatte opfyldelse af særlige dokumentationskrav, gennemførelse af datasikkerhedskrav m.v.

Derudover skal der udarbejdes en fast procedure for, at den nationale tilsynsmyndighed (Datatilsynet) underrettes i tilfælde af brud på datasikkerheden.

Dansk Byggeri anbefaler
Dansk Byggeri anbefaler at anvende Erhvervsstyrelsens PrivacyKompasset til brug ved udarbejdelse af ovenfor nævnte politikker.

PrivicyKompasset er et onlineværktøj, der skal hjælpe virksomheder med at kortlægge deres brug af persondata og efterleve persondatalovgivningen.

PrivacyKompasset kan således bruges til følgende:

  • Tjekke at virksomheden overholder nuværende persondatalovgivning
  • Få overblik over hvad virksomheden skal gøre for at overholde lovkravene
  • Forberede sig til den kommende EU-forordning
  • Tjekke virksomhedens risiko i forhold til privatlivsbeskyttelse
  • Fortælle kunderne om virksomhedens brug af data
  • Som vejledning til samarbejdspartnere og medarbejdere
  • Genere en privatlivspolitik direkte til virksomhedens hjemmeside

Erhvervsstyrelsen PrivacyKompasset

Persondatalovens regler

Kontakt

Arbejdsgiversekretariatet mandag til torsdag fra kl. 08.00 - 16.00 og fredag kl. 08.00 - 14.00 på telefon 72 16 00 00 eller e-mail: ags@danskbyggeri.dk