Tax & Law

  • Share

Ny persondataforordning skaber kaos

8. juni 2017

Der står persondata i øjnene på ledelsen hos størstedelen af de danske virksomheder lige nu. Baggrunden er den nye EU-persondataforordning, som formelt trådte i kraft i foråret 2016, men som først implementeres i Danmark og træder i kraft herhjemme den 25. maj 2018.

Lige nu skaber den nye forordning kaos på direktionsgangene.

Ifølge EU-forordningen kan det nemlig komme til at koste op mod 20 mio. EUR eller 4 procent af hele den globale koncernomsætning, hvis ikke den danske virksomhed håndterer persondata lovligt. Ligeledes er der store imagemæssige risici forbundet med manglende overholdelse af reglerne – og så åbnes der op for søgsmål herunder gruppesøgsmål.

Der er ingen tvivl om, at håndtering af persondata er det nye sort i EU. Og der bliver i fremtiden slået ligeså hårdt ned på overtrædelser af persondatalovgivningen som inden for konkurrenceretten, karteldannelser og lignende.

De store risici betyder, at håndtering af medarbejderdata, kundedata og øvrig persondata flyttes op på øverste ledelsesniveau. De danske virksomheder har lige nu meget travlt med at sikre sig, at forretningen agerer lovligt i forhold til virksomhedens behandling af persondata.

Selvom der er godt et år til, at EU-forordningen binder de danske virksomheder, har mange virksomheder allerede nu fundet ud af, at et år er meget kort tid til at gøre forretningen klar til at overholde forordningen – og ikke mindst blive ved med at overholde forordningen.

Massivt behov for ekstern hjælp

Det kræver betydelige interne ressourcer i virksomheden at gøre sig klar til den nye forordning. Og det ses i virksomhedens budgetter.

De nye skærpede regler betyder, at virksomheder lige nu går til eksterne rådgivere for at kunne leve op til de omfattende krav, da mange virksomheder ikke har de nødvendige interne ressourcer parat til at løse den omfattende opgave.

Data-mapping og dokumentation giver problemer

Den helt store udfordring for de danske virksomheder nu og for fremtiden er data-mapping. Virksomheden skal først og fremmest have overblik over hvilke data, man ligger inde med i organisationen og ikke mindst hvilke interne processer, de behandles i. Det kræver et særdeles omfattende og komplekst arbejde med data- og proces-mapping på tværs af virksomheden og virksomhedens eksterne samarbejdspartnere, koncernforbundne selskaber m.v.

Endelig skaber forordningens krav om dokumentation massive vanskeligheder, da virksomheden skal kunne dokumentere, hvordan data anvendes, i hvilke processer og i hvilke systemer, så længe data eksisterer. Faktisk er der tale om en omvendt bevisbyrde, da virksomheden i en klage- eller kontrolsituation skal kunne bevise sin uskyld.

Ikke bare en juridisk opgave

Den nye EU-forordning er ikke bare en juridisk opgave for virksomhedens interne jurister og eksterne juridiske rådgivere. Forordningen kræver en omfattende proces- og systemtilgang til behandling af persondata, som kræver stærke ressourcer.

Kontakt os

Julie Gerdes, tlf. 2529 3403
 

Men hvad skal virksomheden så gøre for at leve op til de nye skrappe krav i EU´s persondataforordning? Her følger et par korte headlines.

Korte headlines om den nye persondataforordning

  • Data-mapping: Virksomheden skal først og fremmest have overblik over samt udarbejde en fortegnelse over hvilke data, man ligger inde med i organisationen. Det kræver et særdeles omfattende og kompleks arbejde med data-mapping på tværs af virksomheden og virksomhedens eksterne samarbejdspartnere, koncernforbundne selskaber m.v.
  • Herefter skal forretningen have overblik over samt dokumentere, til hvilket formål data bliver brugt, og om de implicerede personer er blevet oplyst om samt i visse tilfælde har accepteret, at virksomheden har deres data.
  • Endelig skal der skabes overblik over samt dokumenteres, at der er de nødvendige processer for, at virksomheden kan behandle persondata sikkerhedsmæssigt forsvarligt - samt om sikkerhedskravene er overholdt i forhold til eksterne samarbejdspartnere.
  • Accountability - Virksomheden skal kunne dokumentere, at kun de nødvendige data behandles, herunder i hvilke processer og i hvilke systemer. Dette for at sikre, at data ikke bruges i modstrid med det indhentede formål, samt at data slettes, når det ikke længere er nødvendigt at behandle dem.
  • Et andet omfattende og nyt krav er ”Protection by Design” og ” Protection by Default”, som pålægger virksomheden at designe forretningsgange og it-systemer, så der kun behandles personoplysninger på et tilstrækkeligt sikkerhedsniveau og med en dokumenteret rollefordeling og anvendelse af default-settings, så det kan dokumenteres, at persondata kun behandles af de relevante og proportionelle funktioner/medarbejdere m.v. så længe det er nødvendigt samt i overensstemmelse med formålet. 
  • Flere rettigheder til de registrerede – bl.a. forudgående information om, hvordan deres persondata behandles, skærpet krav til samtykke, retten til at blive glemt, krav om sletning af data m.v. Endelig skal begæringer om indsigt fra den registrerede besvares inden for 4 uger og uden omkostninger.
  • Der skal udpeges en DPO (Data Protection Officer) i offentlige myndigheder og i de private virksomheder, hvor kerneforretningen omfatter systematisk behandling/overvågning af persondata eller som foretager en omfattende behandling af følsomme persondata.
  • Underretning om alvorlige brud på datasikkerheden skal ske inden for 72 timer til Datatilsynet.
  • Der skal udarbejdes de nødvendige privacy-politikker og procedurer.
  • Sikring af lovlig overførsel af persondata til ikke-sikre lande udenfor EU.
  • Sikring af nødvendige anmeldere og tilladelser fra Datatilsynet.
  • Udarbejdelse af påkrævede databehandleraftaler med eksterne databehandlere.
  • Sikring af underleverandørers behandling af persondata på vegne af virksomheden.
  • Risici/konsekvens-analyse (den såkaldte DPIA) af de registreredes rettigheder.

Her kan du få adgang til Erhvervsstyrelsens PrivacyKompasset, der giver virksomheder mulighed for at teste deres brug af persondata: erhvervsstyrelsen.dk/data-privacy