Er din virksomhed klar til de nye EU-regler om persondataloven i 2018?
Udgivet d. 5. september 2017
Overordnet set vil mange af de nuværende regler fortsætte, så organisationer, virksomheder og offentlige myndigheder, som i dag følger persondataloven være rigtig godt på vej til at efterleve de nye regler, som får virkning fra den 25. maj 2018.
Selv om de nye regler først kommer til at træde rigtigt i kraft maj 2018, kan det være en god ide allerede nu at begynde at tænke i disse baner, så du er forberedt og veltrimmet.
Hvis du er lige så nørdet som jeg, kan du blot læse Europa-Parlamentets og Rådets Forordning vedtaget 27. april sidste år, ellers har du herunder et par hovedpunkter, som måske vil give dig indblik i hvad den nye forordning drejer sig om.
De ny EU-regler gælder altså for både små og store virksomheder – lige fra den lille håndværker til DSB.
Mere enkelt internationalt
Den nye persondataforordning bliver ens i hele EU.
Hvis man som virksomhed gør forretning på tværs af landegrænser, skal man derfor som udgangspunkt ikke længere forholde sig til og opfylde forskellige lovgivninger i de enkelte lande.
Markant større bøder
Konsekvenserne for at overtræde reglerne bliver markant større.
Når de nye regler træder i kraft i 2018, vil der kunne udstedes administrative bøder på op til 20 mio. euro eller 4 % af virksomhedens/koncernens globale omsætning. Det er en meget stor forhøjelse af bødeniveauet i forhold til, hvad der i dag gælder i Danmark. Hidtil har den største bøde fra Datatilsynet været på 25.000 kr.
Øget dokumentation
Et af de nye tiltag i forordningen er øgede dokumentationskrav, som blandt andet omfatter kortlægning af:
- Hvilke typer data der behandles.
- Formålet med behandlingerne.
- Kategorier af registrerede personer og modtagere af oplysninger.
- Eventuelle videregivelser til usikre tredjelande.
- Angivelse af tidsfrister for sletning af oplysninger.
Det betyder grundlæggende, at myndigheder nu skal kortlægge et data-flow i organisationen.
Dokumentationen skal til enhver tid efter anmodning stilles til rådighed for Datatilsynet.
Få styr på din data
Kend virksomhedens data.
Hvornår har du sidst gennemført en revision af din data, hvor du har fået fastlagt, hvor virksomhedens data er gemt samt hvor meget, der er anvendeligt, og hvad der er historik?
Kend virsomhedens data-flow.
Hvad sker der med dataen fra det indsamles til det slettes eller arkiveres?
Hvordan fjernes der persondata, hvis efterspurgt?
Fastslå ejerskab over data.
Hvem har ansvaret for de forskellige data i virksomheden?
Hvilken data ligger eksternt og hvem har ansvaret for dette?
Hvem har adgang til virksomhedens data?
Formuler en beredskabsplan til hvis det går galt
Hvem skal sende hvad ud?
Hvem har ansvaret for udsendelsen?
Hvem gør hvad hvornår?
Skal du ansætte en Data Protection Officer (DPO)?
En DPO er en persondataansvarlig medarbejder eller ekstern tilknyttet konsulent, som skal have særlige kvalifikationer indenfor persondataret, og som skal føre tilsyn med virksomhedens implementering og overholdelse af reglerne i praksis.
Som udgangspunkt skal alle offentlige myndigheder udpege en DPO, der skal sikre, at alle regler om håndtering af persondata overholdes.
Private virksomheder er dog undtaget fra at udpege en DPO, med mindre virksomhedens kerneaktivtet er behandling af persondata i en stor skala eller oplysninger om kriminelle forhold.
Indberetning af sikkerhedsbrud
Så snart den dataansvarlige bliver bekendt med, at der er sket et brud (hackerangreb eller anden uautoriseret adgang) på persondatasikkerheden, skal vedkommende derfor indberette bruddet på persondatasikkerheden til Datatilsynet senest 72 timer efter, at denne er blevet bekendt med det, medmindre den dataansvarlige kan påvise, at bruddet på persondatasikkerheden ikke indebærer risiko for personerne involveret.
Det kan være en stor opgave, som kræver, at man har styr på sine processer og handlemåder, inden uheldet er ude.
Er du stadig i tvivl?
Datatilsynet oplister i nedenstående dokument 12 spørgsmål, som dataansvarlige virksomheder og myndigheder mv., bør forholde sig til for at forberede sig på de strammere krav i persondataforordningen, som træder endegyldigt i kraft fra den 25. maj 2018.
Se Datatilsynets tjekliste om persondataforordningen
Dette indlæg er skrevet af:
Dennis Rasmussen
Dennis er webudvikler og står for den daglige udvikling og vedligeholdelse af hjemmesider, webshops, apps og øvrige digitale løsninger. Dennis arbejder med mange forskellige teknologier og CMS-løsninger.
Læs flere indlæg fra Dennis