tilbage
scroll ned

Persondataforordningen - er I klar? 8. januar 2018

Persondataforordning træder i kraft d. 25. maj 2018. Men er I klar?

Klar til anmodninger om at blive glemt? Klar til de nye regler om udtrykkeligt samtykke til at indsamle persondata? Klar til at oplyse hvordan du opbevarer og beskytter personaleoplysninger? Og meget mere.

 

Målet med Persondataforordningen

Den 25. Maj 2016 vedtog EU et nyt og gennemgribende regelsæt, der skal beskytte EU borgernes data i en digital hverdag. Den nye forordning har fået navnet General Data Proction Regulation (GDPR) - på dansk Persondataforordningen og træder i kraft d. 25. maj 2018.

Formålet med den nye forordning er, ud over at gøre reglerne tidssvarende, at styrke og understøtte det digitale indre marked i EU.

Det primære mål med persondataforordningen er altså, at sikre EU borgernes kontrol over deres persondata og samtidig forenkle lovgivningen vedrørende international handel, ved at ensrette love og regelsæt inden for EU.

Hvad betyder det for din virksomhed?

Det betyder, at du som virksomhed skal være forberedt på, at forordningen vil medføre et større ansvar, og flere forpligtelser i forbindelse med behandlingen af persondata.

Det anbefales derfor, at du som virksomhed allerede nu, begynder at få et overblik over hvilke persondata, der indsamles og behandles. Hvor kommer dataene fra, hvordan bevæger de opsamlede data sig rundt i virksomheden, og hvordan og hvor opbevares data.

Det kan være et omfattende stykke arbejde, og det anbefales derfor, at du sætter god tid af til dette, og begynder i god tid.

 

Hvem er omfattet af forordningen?

Forordningen omfatter alle organisationer verden over, private såvel som offentlige, der behandler persondata fra EU-borgere. Alle virksomheder bør derfor forholde sig til de nye regler.

 

Datatilsynets 12 spørgsmål

Datatilsynet har opstillet 12 spørgsmål, en virksomhed som minimum skal kunne svare på, for at leve op til de nye regler: 

  1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?  
  2. Hvilke personoplysninger behandler I?  
  3. Hvilken information giver I de registrerede?  
  4. Hvordan opfylder I de registreredes rettigheder?  
  5. På hvilket retligt grundlag behandler I personoplysninger?  
  6. Hvordan indhenter I samtykke?  
  7. Behandler I personoplysninger om børn?  
  8. Hvad skal I gøre ved brud på persondata- sikkerheden?  
  9. Er jeres behandlinger forbundet med særlige risici?  
  10. Har I indtænkt databeskyttelse i jeres it-systemer?  
  11. Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation?  
  12. Driver I virksomhed i flere lande?

Kilde: Pdf'en fra Datatilsynet.

Skal jeg gøre noget nu?

Persondataforordningen (GDPR) træder, som sagt, i kraft d. 25. maj 2018, men allerede nu skal alle projekter, der arbejder med persondata, arbejde under de nye principper.  

Al systemudvikling skal derfor følge privacy by design og privacy by default-principperne. Håndtering af persondata skal derfor tænkes ind helt fra starten.

Hvad indeholder forordningen?

Persondataforordningen (GDPR) pålægger organisationer at beskytte persondata via organisatoriske, administrative og tekniske tiltag og denne beskyttelse skal kunne dokumenteres.

Derfor udstikker GDPR strenge krav til samtykke og transparens.

Organisationer der indhenter og behandler persondata skal derfor indhente personernes udtrykkelige samtykke.

Du har ret til at:

  • Få besked når deres persondata behandles
  • Få adgang til de informationer der behandles
  • Få korrigeret ukorrektheder
  • Blive glemt
  • Retten til portabilitet
  • Gøre indsigelser mod behandling af deres persondata (medmindre den dataansvarlige har tungtvejende juridiske grunde hertil)
 

Retten til at blive glemt

Retten til at blive glemt, giver dig som person ret til, at kræve sletning af alle dine persondata. I tilfælde af at organisationen allerede har offentliggjort data, har organisationen selv ansvar og pligt til, at få de organisationer, der anvender data, til at efterleve anmodningen om sletningen.

Denne ret er dog ikke ubegrænset

Der skal være balanceret ift. ytringsfrihed, offentlighedens sundhedsinteresse, videnskabelig og historisk forskning og udøvelse eller forsvar af juridiske anmeldelser.

 

Retten til portabilitet

Retten til data portabilitet kræver, at organisationer der anvender persondata ved anmodning fra berørte individer, skal overføre data til andre organisationer.

Vigtigt! Du skal indhente udtrykkeligt samtykke fra alle

Alle virksomheder skal have et udtrykkeligt samtykke, fra hvert enkelt individ, om at indsamle persondata om denne. Det betyder, at du som person skal afgive et frivilligt, specifikr og forståeligt, informeret og utvetydigt indikation på dit valg, enten ved udsagn eller tydelig bekræftet handling.

Fravalgsmodellen er ikke god nok. Det er altså ikke længere lovligt at have en checkboks, der er afkrydset.

Et samtykke opnås typisk via en meddelelse om beskyttelse af personoplysninger. Ifølge persondataforordningen (GDPR) skal en sådan meddelelse om personoplysninger indeholde:

  • Identiteten og kontaktoplysninger på den dataansvarlige
  • Formålet med dataindsamlingen og behandlingen af denne
  • Yderligere information, der er nødvendig for at sikre, at den opsamlede data behandles retsmæssigt
  • De specifikke juridiske formål for virksomheden, der anvender data
  • Modtagere eller modtagerkategorier
  • Perioden, hvori persondataen vil blive opbevaret
  • De forskellige rettigheder, der er tilgængelige for individer, fastlagt ved lov
  • Retten til at fremsætte indsigelser til en datasikkerhedsmyndighed og kontaktoplysningerne på denne myndighed
  • Om persondataen vil blive overført til en tredjepart, fx uden for EU eller EØS
  • Om angivelsen af persondata er obligatorisk eller frivillig (når de indsamles direkte fra individer)
  • Data kilden (når data indsamles fra tredjeparter)
  • Informationer, som en organisation oplyser i en meddelelse om beskyttelse af persondata skal være:
    Præcis, transparent, forståeligt, lettilgængeligt samt skrevet i et klart og tydeligt sprog - især hvis modtageren er mindreårig.

Forfatteren bag Gi' os et kald, hvis du vil høre hvad vi kan gøre for dig.

Michael Nørgaard
Customer Success Manager