Hvordan kommer I i mål med de nye persondataregler?

Lever din organisation op til reglerne i den gældende persondatalov. Er I klar til at håndtere ændringerne, som kommer med den nye persondataforordning? De fleste organisationer – både offentlige myndigheder og virksomheder – behandler, opbevarer og videregiver store mængder persondata. Ledelsen bør derfor have fokus på at få implementeret reglerne i god tid inden persondataforordningens ikrafttrædelse.

Persondataforordningen træder i kraft d. 25. maj 2018. Forordningen vil erstatte den nugældende persondatalov. Forordningen vil styrke beskyttelsen af personlige oplysninger og indebærer en række ændringer for behandling af persondata. Hertil kommer, at forordningens ikrafttræden også vil medføre et markant højere bødeniveau for overtrædelse af persondatareglerne, end der gælder i dag.

Persondata er relevante for alle organisationer

Langt de fleste organisationer behandler, opbevarer og videregiver store mængder persondata. Persondatareglerne er komplekse, og det bliver kun mere komplekst med den nye persondataforordning. Persondata er alle oplysninger om en fysisk person, som er eller kan identificeres, f.eks. navn, adresse, cpr-nummer, telefonnummer, e-mailadresse, pasnummer, fotos, videooptagelser, kreditkortnumre, IP-adresser, testresultater, straffeattest, helbredsoplysninger, religiøs overbevisning, medlemskaber af foreninger mv. Persondata omfatter altså både fortrolige og følsomme oplysninger, oplysninger om andre rent private forhold og almindelige, ikke-følsomme oplysninger.   

Persondataforordningen vil få direkte virkning i dansk ret  Det betyder, at reglerne vil gælde for alle, der behandler personoplysninger, herunder også offentlige myndigheder og offentlige virksomheder, uanset om virksomhederne er organiserede som selvstændige selskaber, fonde eller på anden måde.

Formålet med persondataforordningen er navnlig:

• at gøre lovgivningen mere tidssvarende i forhold til den teknologiske udvikling og hermed styrke borgernes retsstilling og retssikkerhed;
• at styrke efterlevelsen af reglerne ved at øge beføjelser og sanktionsmuligheder for tilsynsmyndigheder; og
• at gøre det lettere for virksomheder og institutioner at arbejde på tværs af landegrænser i EU.

Forordningen viderefører en række af persondatalovens principper og begreber. Hvis jeres organisation allerede overholder de nugældende regler, er I godt på vej. Der indføres dog skærpede bestemmelser samt helt nye regler, som skal efterleves.

Væsentlige ændringer for virksomheder og offentlige myndigheder

Der er en række væsentlige ændringer af reglerne, som vil have konsekvenser for de fleste virksomheder. Vi har fremhævet enkelte af dem herunder:

1. interesseafvejningsreglen bliver afskaffetEfter de nugældende regler kan offentlige myndigheder behandle personoplysninger med hjemmel i den såkaldte interesseafvejningsregel, hvorefter behandling af personoplysninger kan finde sted, når det er nødvendigt for at forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.Persondataforordningen afskærer denne mulighed for offentlige myndigheder. Det betyder, at der for en del af arbejdsprocesserne hos offentlige myndigheder skal findes et nyt hjemmelsgrundlag for behandlingen. Vi forventer, at det kan blive et problem for blandt andet offentligt ejede virksomheder, som håndterer personoplysninger i forbindelse med varetagelsen af deres lovbestemte eller kontraktbestemte ydelser.
2. Registrerede får ret til protestere imod såkaldt “profilering”Profilering defineres i forordningen som “enhver form for automatisk behandling af personoplysninger, der består i at anvende de pågældende oplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, opholdssted eller bevægelser”. Det vil formentlig omfatte visse big data-analyser. Herudover opstilles der visse betingelser, som skal være opfyldt, førend profilering kan anvendes.
3. Pligt for visse virksomheder til at udpege en databeskyttelsesansvarlig (”DPO”)

En af de meget vidtgående nye bestemmelser i persondataforordningen, som er særlig relevant for offentlig virksomhed, er kravet om udpegning af en såkaldt databeskyttelsesansvarlig, også kaldet data protection officer (i det følgende benævnt “DPO”). Kravet om udpegning af en DPO omfatter:

1. Alle offentlige myndigheder og organer,
2. Virksomheder, hvis kerneaktivitet består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang
3. Virksomheder, hvis kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og lovovertrædelser.

Det er ikke nærmere defineret i persondataforordningen, hvornår en enhed i forordningens forstand udgør et “offentligt organ”. På nuværende tidspunkt er det derfor ikke klart, om f.eks. kommunalt ejede forsyningsselskaber, kommunale fællesskaber organiseret efter kommunestyrelseslovens § 60, eller fonde stiftet med offentlige midler og underlagt statsligt eller kommunalt tilsyn, er omfattet af kravet om udpegning af en DPO. Det er lige nu usikkert, om begrebet “offentligretlige organer” skal fortolkes lige så bredt som udbudslovens begreb, eller om det bliver smallere afgrænset.

Indtil vi får en afklaring af, om institutioner, fonde, selskaber m.v., som er ejet eller primært finansierede af det offentlige, er “offentlige organer” i persondataforordningens forstand, vil det – ud fra et forsigtighedsprincip – være sikrest at agere ud fra en antagelse om, at begrebet har en bred betydning i relation til kravet om udpegning af DPO. Under alle omstændigheder kan det være hensigtsmæssigt, at organisationen udpeger en person, der er ansvarlig for at sikre, at persondataforordningens regler overholdes i den enkelte organisation.

DPO’ens primære opgave er via rådgivning og overvågning at sikre organisationens overholdelse af persondataforordningen og interne politikker om beskyttelse af personoplysninger. DPO’en rapporterer direkte til den øverste ledelse hos den dataansvarlige/databehandleren.

DPO’en kan være en eksisterende medarbejder, som får de nødvendige kvalifikationer, eller en ekstern person, der hyres ind til opgaven. DPO’en udpeges for en periode på 4 år på baggrund af faglige kvalifikationer, ekspertise på området for databeskyttelseslovgivning og -praksis samt evne til at udføre de lovbestemte opgaver.

1. Pligt til at udarbejde standardiserede informationspolitikkerVed indsamling af oplysninger fra registrerede skal den dataansvarlige – ud over opfyldelse af oplysningsforpligtelsen, som vi kender fra persondataloven – også udfylde og udlevere en standardiseret informationspolitik, som bygger på standardsymboler og standardtekst i et bilag til forordningen. Dermed får den registrerede et hurtigt og visuelt overblik over den foretagne behandling af personoplysninger.
2. Den registreredes ret til at få slettet sine oplysninger (”retten til at blive glemt”)Når en række nærmere betingelser er opfyldt, kan en person have ret til at få sine oplysninger slettet. Det kan også omfatte en ret til, at tredjeparter sletter eventuelle links til eller gengivelse af oplysningerne.
3. It-sikkerheden/databeskyttelsen skal forbedres:
   1. Kravene til dokumentation for databeskyttelse og opfølgning øges. Dokumentation skal være gennemsigtig. Compliance-politikker og sikkerhedspolitik skal opdateres løbende.
   2. Databeskyttelse skal indbygges i opbygning og indstilling af virksomhedens systemer. Indstillingsmuligheder for at minimere brugen af data og for anvendelse af data er nye eller skærpede krav til systemernes funktionalitet.
   3. Brud på persondatasikkerheden skal i de fleste tilfælde anmeldes til tilsynsmyndigheden. Organisationen bør derfor have en handlingsplan i tilfælde af brud på datasikkerheden.
4. Anmeldelsessystemet (til Datatilsynet) afskaffes.Visse typer af behandlinger vil dog kræve en forudgående høring af Datatilsynet, hvis der ikke er udpeget en databeskyttelsesansvarlig.
5. Der bliver indført langt højere bødeniveau.Den øvre grænse for bøder er 20 mio. EURO eller op til 4 % af den årlige worldwide omsætning for virksomheder afhængig af, hvilket beløb der er størst. Bøden skal fastsættes navnlig ud fra den konkrete overtrædelse af reglerne, herunder særligt karakteren, alvorligheden og varigheden af overtrædelsen. Den registrerede har herudover ret til erstatning for skader ved overtrædelse af forordningen.

Hvordan bliver vi klar til 25. maj 2018?

Som det fremgår, medfører persondataforordningen en række øgede krav til offentlige myndigheder og virksomheder.

For at blive klar til at håndtere reglerne er det vigtigt at skabe sig et overblik over, hvilke persondata organisationen behandler – herunder hvordan dette gøres, hvor længe dataene opbevares, hvor de opbevares henne mv. Ved at kortlægge virksomhedens behandling af persondata, har I bedre mulighed for at finde ud af, hvilke af persondataforordningens regler, jeres virksomhed skal overholde, og hvor der skal “strammes op”. Dette bør bestyrelsen sikre, at der bliver sat fokus på i 2017.

Datatilsynet har udarbejdet en tjekliste med 12 spørgsmål, som man med fordel kan forholde sig til i forberedelserne til den nye forordning:

1. Har jeres organisation kendskab til den nye persondataforordning?
2. Hvilke personoplysninger behandler I?
3. Hvilken information giver I de registrerede?
4. Hvordan opfylder I de registreredes rettigheder?
5. På hvilket grundlag behandler i personoplysninger?
6. Hvordan indhenter I samtykke?
7. Behandler I personoplysninger om børn?
8. Hvad vil I gøre ved brud på persondatasikkerheden?
9. Er jeres behandlinger forbundet med særlige risici?
10. Har I indtænkt databeskyttelse i jeres it-systemer?
11. Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation?
12. Driver I virksomhed i flere lande?

For en nærmere redegørelse af de enkelte spørgsmål, se her.

Det er i et vist omfang overladt til de enkelte medlemslande at udmønte reglerne nationalt. I Danmark er det persondataretskontoret i Justitsministeriet, som skal stå for den nærmere gennemførelse af persondataforordningen.