I maj 2018 træder den nye persondataforordning i kraft. Formålet med den nye persondataforordning er at understøtte det indre marked i EU og samtidigt skabe klarhed og ens regler på området som også er i tråd med den digitale udvikling. Hos Lexly oplever vi et stigende antal spørgsmål omkring persondataforordningen og hvad man som virksomhed skal være opmærksom på. Mange virksomheder værdsætter den data de indsamler på deres kunder og brugere med henblik på optimering af salgsprocesser og marketingsindsatser.
Hvorfor er reglerne aktuelle nu?
Selvom reglerne i hovedtræk allerede findes i den nuværende persondatalov er der alligevel grund til at være særlig opmærksom på den nye persondataforordning idet konsekvenserne for overtrædelse bliver større. Hvis man således allerede i dag har de fornødne rutiner og foranstaltninger på plads står man bedre ift. den nye persondataforordning. Dog indeholder den nye persondataforordning nogle nye regler man som databehandler skal være særligt opmærksom på.
Hidtil har konsekvenserne af en overtrædelse været en udtalelse, som offentliggørens på datatilsynet hjemmeside og i værste fald en bøde. Med de nye regler forhøjes bødeniveauet markant idet der nu kan udstedes bøder på op til 4% af virksomhedens omsætning eller 20.000.000 EUR, alt afhængigt af hvilket af de to beløb der er størst.
Hvad skal man som virksomhed være særligt opmærksom på?
Hvis man allerede overholder de regler som findes i den nuværende persondatalovgivning har man et godt udgangspunkt, da mange af de nuværende regler går igen i den nye forordning. Dog indføres en række nye regler man som virksomhed og databehandler skal være opmærksom på. Heraf kan navnligt nævnes:
- Øgede krav til samtykke
- Ved indsamling af oplysninger ligges i højere grad vægt på frivilligheden i samtykket samt at man som behandler får en entydig erklæring. Man kan således ikke indhente et samtykke ved blot at henvise til den generelle handelsbetingelser, men tværtimod have et entydig og ubetinget samtykke.
- En anden ændring gælder reglerne om indsamling af samtykke fra børn under 16, som med de nye regler ikke er tilladt medmindre der indsamles eksplicit samtykke fra forældremyndighedsindehaveren.
- DPO - Data Protection Officer
- Med de nye regler indføres et krav om at nogle virksomheder skal udpege en DPO. DPO'en skal være en ekspert indenfor persondataret, og skal føre tilsyn med virksomhedens implementering og overholdelse af reglerne i praksis i virksomheden. DPO'en skal inddrages i alle spørgsmål vedr. beskyttelse af personoplysninger, skal have fornødne ressourcer tildelt, samt forestå overvågning, rådgivning m.v. i forhold til virksomhedens overholdelse af reglerne om persondata.
- DPO'en kan enten være eksternt tilknyttet eller en ansat internt i virksomheden.
- Dataportabilitet
- De nye regler indeholder en mulighed for den der har afgivet sine persondata kan få sine data udleveret i et maskinlæsbart format. Dette betyder at man som dataansvarlig har pligt til at udlevere al lagret information på den registrerede når denne stiller ønske herom ved. fx. flytning af data fra en udbyder til en anden.
- Privacy by design & privacy by default
- Et andet væsentligt nyt begreb i forordningen er relgerne omkring "privacy by design" og "privacy by default". Reglerne tager sigte på de som enten udvikler eller administrere systemer, som behandler personoplysninger. Reglerne er delvist sammenflydende idet de begge omhandler den afvejning man som behandler skal foretage sig i sin vurdering af hvor meget information der er nødvendigt at indsamle på den enkelte.
- Privacy by design stiller krav til udviklere og udbydere af systemer skal indrette disse således at de data der indsamles og måden den indsamles sker med de mindst nødvendige indgreb.
- Privacy by default Privacy stiller krav til at systemer omfattet af forordningen medfører mindst mulig behandling af persondata og at yderligere behandling kræver et aktiv tilvalg eller accept fra brugeren. Der indsamles således ikke persondata medmindre det er nødvendigt, og brugeren giver sit udtrykkelige samtykke hertil. Det skal ligeledes oplyses hvad dataen skal anvendes til.
- Et andet væsentligt nyt begreb i forordningen er relgerne omkring "privacy by design" og "privacy by default". Reglerne tager sigte på de som enten udvikler eller administrere systemer, som behandler personoplysninger. Reglerne er delvist sammenflydende idet de begge omhandler den afvejning man som behandler skal foretage sig i sin vurdering af hvor meget information der er nødvendigt at indsamle på den enkelte.
- Retten til at blive glemt
- Et af de væsentligste elementer er lovfæstelsen af retten til. Reglen giver den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse. Reglen følger op på retspraksis fra EU.
- Anmeldelse ved brud på sikkerheden
- Virksomheder skal vil oplevelser af brud på sikkerheden indberette dette senest 72 timer efter virksomheden er blevet bekendt hermed. Dette kan f.eks. være ved hackerangreb, eller hvis et system fejlagtigt tilgængeligt personlige oplysninger. Indberetning skal ske til såvel Datatilsynet som den registrerede hvis det forventes at bruddet vil påvirke den registrerede.
Hvad kan man som virksomhed selv gøre inden den nye persondataforordning træder i kraft?
Det anbefales, at man som virksomhed begynder med at få skabt et overblik over de personoplysninger, som virksomheden behandler, og hvad man bruger personoplysningerne til. Dette omfatter blandt andet, at man får kortlagt virksomhedens måde at indhente og behandle data i virksomheden for herved at kortlægge virksomhedens "dataflow". Her er det vigtigt at identificere hvem der indsamler, hvem der videresendes til, samt hvorvidt nogle oplysninger behandles af tredjemand og/eller sendes til udlandet. Hertil er det ligeledes vigtigt at klassificere informationerne efter følsomme- og ikke følsomme oplysninger. Afsluttende kan man i hvert led stille sig selv spørgsmålet: "Hvor lidt informationer kan vi nøjes med at indsamle?".
Datatilsynets egen (foreløbige) tjekliste
Til hjælp har Datatilsynet skrevet en foreløbig tjekliste, som man som erhvervsdrivende kan læne sig op ad indtil der kommer mere nyt omkring de praktiske forhold man som virksomhed skal være opmærksom på. Læs mere her.
Dette blogindlæg kan ikke erstatte juridisk rådgivning. Lexly påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan afledes af brugen af dette blogindlæg. Dette gælder, hvad enten skaden eller tabet er forårsaget af fejlagtig information i blogindlægget eller af øvrige forhold, der relaterer sig til blogindlægget.