Klar til den nye Persondatalovgivning?

af advokat Thomas Torré Christiansen

Den 25. maj 2018 træder den nye Databeskyttelseslov (og EU’s Persondataforordning) i kraft. Reglerne har store konsekvenser for alle virksomheder, der behandler data. Læs her om de væsentligste ændringer:

Lovgivningen

Persondataforordningen (EU 679/2016) har længe været kendt stof og har fået meget omtale, navnlig på grund af de meget betydelige bødestørrelser, der lægges op til. Forordningen har direkte virkning i alle EU-medlemsstater fra den 25. maj 2018, men kan på mange områder fraviges af national lovgivning. I oktober 2017 fremsatte regeringen således et forslag til ny en helt databeskyttelseslov, der blandt andet implementerer forordningen i dansk ret. Denne er endnu ikke vedtaget, men sat til at træde i kraft den 25. maj 2018.

Store bøder

Det umiddelbart mest opsigtsvækkende ved de nye regler er, at der lægges op til et bøde niveau i såkaldt konkurrenceretsniveau. Efter forordningen gælder et bødeloft på mellem 2 og 4% af den årlige globale omsætning, dog maksimum 10 eller 20 mio. euro! Selvom de nye regler ikke indeholder særligt voldsomme stramninger i forhold til de hidtil gældende regler, så bør udsigten til de stærkt forhøjede bøder give alle danske virksomheder anledning til at komme i compliance med både de nugældende og de nye persondataregler.

De registreredes rettigheder

Der indføres en række nye rettigheder for de registrerede og en del af de allerede gældende skærpes. Herunder indføres navnlig en ”ret til at blive glemt”, hvilket kræver at alle virksomheden indstiller deres databehandling, og at data slettes automatisk, når de ikke længere skal bruges. Desuden har de registrerede ret til at indsigt i alle oplysninger om dem selv og krav om deres data holdes ajour eller berigtiges løbende. Henvendelser herom skal virksomhederne håndtere gratis og inden for meget korte frister.

Samtidig skærpes kravene til samtykke (permission) og det anbefales, at virksomheder så vidt muligt behandler data på andet grundlag end samtykke.

Databehandlere og dataansvarlige

Der skelnes mellem databehandlere og dataansvarlige og disse er pålagt forskellige forpligtelser og ansvar. Der er desuden indført et krav om, at der skal indgås skriftlige databehandleraftaler mellem virksomheder og de leverandører, der opbevarer eller behandler data for dem.

Dokumentation

Desuden indføres der et krav om, at alle virksomheden sikrer sig dokumentation for at alle regler er overholdt. Denne skal stå klar, hvis datatilsynet kommer på uanmeldt besøg.

Herunder er der pligt til at træne ansatte i korrekt behandling af persondata og dokumentere dette.

Særligt personfølsomme data

Der er indført særligt skærpede regler for behandling af såkaldt særlige følsomme oplysninger og for behandling af data vedrørende børn.

Data Protection Officer (DPO)

Visse virksomheder skal antage en såkaldt Databeskyttelsesrådgiver (DPO), der både kan være en medarbejder eller en ekstern. Der gælder en række krav til vedkommendes uafhængighed.

--oooOooo---

Såfremt du har spørgsmål til de nye reglers betydning for din virksomhed, er du velkommen til at kontakte advokat Thomas Torré Christianen, Kim Jybæk eller Niels Ulrik Ottesen for en uforpligtende drøftelse.

Frem til den 1. maj 2018 tilbyder advokat Thomas Torre Christiansen at gennemgå små og mellemstore virksomheders privacy compliance i de fleste tilfælde for en fast pris på kr. 35.000 + moms og ellers efter tidsforbruget.