Få styr på persondataforordningen

Den nye persondataforordning træder i kraft den 25. maj 2018. Selvom det er et stykke ude i fremtiden, er det vigtigt at komme tidligt i gang. FDIH klæder jer i samarbejde med advokatfirmaet Bird & Bird på til at overholde de nye regler.

Ved I, hvilke persondata I behandler? Det kan være vanskeligt at gennemskue, og de fleste virksomheder opbevarer, behandler og videregiver faktisk langt flere persondata, end de er klar over. Derfor bør alle virksomheder komme ud af starthullerne nu, for reglerne er skærpet, og bøderne kan blive kæmpe store.

I samarbejde med advokatfirmaet Bird & Bird vil vi på let tilgængelig måde orientere jer om de nye regler, der træder i kraft d. 25. maj 2018. Ud over praktiske eksempler på, hvordan reglerne kan overholdes, får I eksempler på privatlivspolitik for forskellige virksomheder, som I kan tage udgangspunkt i, når I skal udarbejde jeres egen privatlivspolitik. Vi giver også råd om udarbejdelse af databehandleraftaler.

Det hele bliver serveret i en række artikler, der kun vil være tilgængelige for FDIH’s medlemmer.

Du kan forvente de første artikler i løbet af sommeren. Den første artikel dykker ned i, hvad persondata er, og hvad du skal være opmærksom på, når du skal danne dig et overblik over, hvilke personoplysninger din virksomhed behandler og videregiver. Det er meget vigtig at have det overblik, hvis du skal overholde forordningens oplysningskrav mv.

I de næste artikler kan du bl.a. læse, hvornår virksomheden skal have en databeskyttelsesrådgiver, hvilke oplysningsforpligtelser I har, hvilke rettigheder den registrerede har, hvilke krav der stilles til sikkerheden ved opbevaring af persondata, hvad der gælder, hvis I opbevarer data i skyen og meget mere.

Du kan selv læse forordningen og få en idé om reglerne.

Har du konkrete spørgsmål eller udfordringer med behandling af persondata, så send dem til Tina Morell på tmn@fdih.dk. Hvis de har generel interesse, vil vi medtage og besvare dem i vejledningen. Selvfølgelig i anonymiseret form.

Det er dit eget ansvar at overholde de nye regler. Vejledningen overflødiggør ikke konkret juridisk bistand.

De nye persondataregler

De nye regler viderefører de gamle, men kravene i de nye regler er skrappere. Samtidig er der nogle nye krav, som vi ikke har set før.

Data Protection Officer / Databeskyttelsesreådgiver

Nogle virksomheder skal udpege en databeskyttelsesrådgiver. Det skal være en ekspert i persondata, som skal overvåge, at virksomheden overholder persondatareglerne. Databeskyttelsesrådgiveren kan være en ansat i virksomheden, men det kan også være fx en advokat, en revisor eller en anden ekstern person. Det er dog langt fra alle private virksomheder, der skal udpege en databeskyttelsesrådgiver.

Børn og unges samtykke til behandling af persondata

Der bliver indført en aldersgrænse for, hvornår et barn kan give samtykke til behandling af persondata. Forordningen siger, at børn skal være 16 år for at kunne give samtykke. Folketinget har dog mulighed for at vælge en lavere aldersgrænse.

Ret til at blive glemt

I ”retten til at blive glemt” ligger bl.a., at virksomheden har pligt til at slette oplysninger, som ikke længere er nødvendigt at opbevare eller bruge. Personoplysninger skal også slettes, hvis kunden fx trækker sit samtykke til behandlingen tilbage, og der ikke er et andet lovligt grundlag for behandlingen, eller hvis behandlingen i øvrigt er ulovlig.

Er oplysninger offentliggjort, kan virksomheden have en pligt til at gøre, hvad man med rimelighed kan, for at underrette andre, der behandler oplysningerne om, at personen har forlangt oplysningerne slettet.

Ret til dataportabilitet

Som noget nyt kan en person, der har leveret persondata – fx billeder - til en online tjeneste have ret til at få oplysninger, der vedrører den pågældende selv, udleveret, så de kan overføres til en anden tjeneste.

Skærpede krav til sikkerhed omkring behandling af persondata

Kravene til sikkerhedsforanstaltninger skærpes, og der skal altid laves risikoanalyser. Hvilke sikkerhedsforanstaltninger, der skal iværksættes, afhænger bl.a. af karakteren af de personoplysninger, der behandles, risikoen ved tab af data og hvad der er teknisk muligt.

Krav om anmeldelse af sikkerhedsbrud

Der bliver krav om, at sikkerhedsbrud – fx hacking, men også mindre voldsomme sikkerhedsbrud – i mange tilfælde skal anmeldes til Datatilsynet inden for 72 timer. I visse tilfælde skal de personer, hvis oplysninger er lækket, også underrettes.

Skriv kommentar
Har du brug for hjælp?
?
Send os et spørgsmål

Hvis du har et spørgsmål, så efterlad os en besked og vi vil svare tilbage hurtigst muligt.

Tak for din besked! Der skete en fejl, prøv igen
Vores persondatapolitik