Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket

Klumme: Den nye persondataforordning fra EU får stor betydning for mange virksomheder. Her er et overblik over de væsentligste punkter.

I de kommende fire uger vil jeg i klummen her fortælle om den nye persondataforordning og dens enkelte dele. Fokus er på, hvad der er relevant for danske virksomheder.

Mine klummeindlæg lægger på til mit indlæg på Computerworlds store datasikkerhedsevent 27. januar 2016 og følger op herpå.

I dette første indlæg prøver jeg at give et overblik over de væsentligste punkter i den nye persondataforordning.

Efter lang tids forhandlinger i den såkaldte trilog blev EUs lovgivende institutioner den 15. december endeligt enige om udformningen af persondataforordningen.

Persondataforordningen skal formelt godkendes, hvorefter den vil blive offentliggjort i starten af 2016. Herefter vil persondataforordningen træde i kraft 2 år og 20 dage fra offentliggørelsen.

Der må altså forventes formel ikrafttræden i første kvartal af 2018.

De mest overordnede konsekvenser af persondataforordningen er, at de, der behandler persondata, vil få et større ansvar, at individer vil få udvidede rettigheder og at de nationale datatilsyn vil få bedre og skærpede håndhævelsesmuligheder.

De mere specifikke tiltag gennemgås overordnet nedenfor. Jeg vil i de kommende klummeindlæg gå mere i detaljer hermed.

De specifikke tiltag
Fremover vil persondataforordningen gælde for alle, der behandler persondata. Også virksomheder uden for EU blive omfattet, hvis de tilbyder varer eller tjenester til EU-borgere.

Dette er en vigtig nyskabelse i forhold til forordningens rækkevidde.

Persondataforordningen vil omfatte de samme typer af persondata som under den tidligere persondatalov, dog med tilføjelse af genetiske data (for eksempel DNA) og biometriske data (for eksempel fingeraftryk).

Derudover introduceres konceptet "pseudonyme data", som er en måde at håndtere persondata, hvor dataene og de tilknyttede informationer, der er med til at identificere personerne bag dataene, holdes adskilt.

Børn under 13 år
Samtykke fra børn vil under persondataforordningen blive reguleret særskilt fra voksne.

Herefter kan børn under 13 år ikke give samtykke til behandling af persondata i forbindelse med online-serviceydelser. Dette er meget vigtigt at holde sig for øje for virksomheder, hvis produkter er målrettet børn.

Underretningspligt inden for 72 timer
Fremover vil der indføres en underretningspligt, hvorefter underretning om alvorlige brud på datasikkerheden skal ske inden for 72 timer til de nationale datatilsyn.

Virksomheder og myndigheder skal fremover sikre, både at persondatabeskyttelsesreglerne overholdes samt dokumentere, at dette sker ved hjælp af interne procedurer og privatlivspolitikker - dette kaldes Privacy By Design og Privacy by Default.

Derudover indføres der krav om, at der foretages såkaldte "Privacy Impact Assessments" i en række situationer, hvor behandlingen af persondata kan medføre særlige risici for den enkelte.

Udpeg en DPO
Der vil som noget helt nyt blive indført et krav om tilknytning af en såkaldt DPO (Data Protection Officer) både i den offentlige sektor og for virksomheder, hvis deres hovedaktivitet er behandling af persondata, eller hvor der behandles mange følsomme oplysninger.

Dette er altså ikke som et generelt krav, men det er vigtigt at undersøge, om det vil være nødvendigt for din organisation.

Virksomheder og myndigheder har tidligere været underlagt en oplysningspligt overfor den registrerede, og fremover vil denne blive mere vidtgående og vil skulle give dybdegående information til enkeltpersoner vedrørende håndteringen af dennes persondata og rettigheder i henhold til forordningen.

Retten til at blive glemt
Retten til at blive glemt, eller "the right to be forgotten" som det er bedre kendt under, vil blive cementeret i persondataforordningen.

Dog må dataansvarlige stadig behandle persondata, selvom enkeltpersoner kræver dataene "glemt", såfremt den dataansvarlige har en legitim grund til at fortsætte.

Der indføres en ny ret til dataportabilitet. Herefter vil enkeltpersoner, der har afgivet persondata til en dataansvarlig, kunne kræve sådanne persondata udleveret i et standardformat eller overført til en anden dataansvarlig, såfremt dette rent teknisk er muligt.

Persondataforordningen vil indføre en såkaldt one-stop-shop mekanisme, hvorefter virksomheder alene skulle have kontakt med én enkelt tilsynsmyndighed, som udgangspunkt. 

For at opfylde dette, skal tilsynsmyndighederne inden for EU samarbejde i væsentlig højere grad, end det er tilfældet i dag, ligesom der skal ske harmonisering af de afgørelser og retningslinjer, som myndighederne udstikker.

Kæmpemæssige bøder
Som nævnt ovenfor vil håndhævelsen af reglerne blive skærpet. Dette vil blandt andet ske ved, at bødeniveauet ændres markant.

Modsat de tidligere minimale bøder, der blev udstedt under persondataloven, vil der fremover kunne udstedes bøder på op til EUR 20.000.000 eller fire procent af den globale årlige koncernomsætning, afhængigt af hvad der er højest.

Det er for den interesserede vigtigt at notere sig, at persondataforordningen ikke adresserer den nylige afgørelse vedrørende Safe Harbor-ordningens ugyldighed, som i stedet håndteres adskilt fra forordningen.

(Tak til mine Bird & Bird-kollegaer, advokatfuldmægtig Amalie Langebæk og advokatfuldmægtig Kamilla Pierdola Mondrup, for hjælp med indlægget.)

Læs også:

Ny skrap EU-datalov får konsekvenser for dig: Sådan kan du ruste din virksomhed

Hackerne kommer - og du kan (næsten) intet gøre

Tvang: Skal dit firma ansætte en databeskyttelses-chef eller smutter du under søgelyset?





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Hackere kræver løsepenge af Norsk Hydro i omfattende ransomware-angreb: "Hele vores globale netværk er nede"
Alle offentlige norske virksomheder er sat i alarmberedskab efter et omfattende ransomware-angreb, der har fået hele Norsk Hydros globale netværk til at gå ned.
Computerworld
Google slipper første version af Android 10 løs: Her er de vigtigste nyheder
Tiende version af styresystemet Android er ude i sin første betaversion: Her er de nye funktioner, som systemsoftwaren vil byde på.
CIO
Tech fra Toppen: Det har CIO Mads Madsbjerg Hansen fra FLSmidth lært af flere års global it-konsolidering
Tech fra Toppen: Flere års arbejde har betydet en reduktion i antallet af it-systemer hos FLSmidth. Men processen har ikke været uden overraskelser. Hør hvad CIO Mads Madsbjerg Hansen har lært af den omfattende og globale proces.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Markedsanalyse: Sådan forbedrer EDI din samhandel
I en markedsundersøgelse fra august 2018 blev 300 retailers og producenter spurgt til, hvordan EDI og supply chain-teknologi hjælper dem med at forbedre deres samhandel. Det er ikke nogen hemmelighed, at konkurrenceforholdene er blevet skærpet i det seneste årti, og specielt priserne er udsat for øget pres. Dette betyder, at virksomheder hele tiden skal arbejde for at implementere mere effektive handelsprocesser. Heldigvis er der stadig forretningsområder, som er nemme at strømline ved hjælp af intelligente outsourcede løsninger. Ét af disse er den elektroniske udveksling af ordrer og fakturaer (EDI). I dette whitepaper kigger vi nærmere på de fem vigtigste områder, hvor EDI ifølge de 300 respondenter spiller en stor rolle i at forbedre virksomhedernes samhandel.