En ny databeskyttelseslov vil snart træde i kraft
I maj 2016 udstedte EU en General Data Protection Regulation (Generel forordning om databeskyttelse). Det vi allerede ved, er, at når den nye forordning efter en toårig overgangsperiode træder i kraft i maj 2018, vil forordningen medføre nye driftsmæssige krav for virksomheder, der håndterer persondata.
Da definitionen af “persondata” er så bred, vil næsten alle virksomheder falde ind under forordningens jurisdiktion. Da der kun er lidt over 300 arbejdsdage, til databeskyttelsesforordningen vil blive håndhævet, har vi samlet ti punkter, som vil hjælpe dig med at komme i gang – allerede i dag.
1. Demonstrer, at du overholder reglerne
Den nye forordning kræver, at virksomheder, der fører et register med persondata, er i stand til at demonstrere, at de håndterer persondataene på den foreskrevne måde.
I praksis betyder dette, at du skal opbevare en fortegnelse over de databehandlingsoperationer, som du har ansvar for, med henblik på at kunne bevise, at disse operationer stemmer overens med forordningens regler.
2. Sørg for, at du har fået samtykke
Hvis håndteringen af persondata er baseret på, at en person har givet dig sit samtykke, skal du kunne demonstrere, at et sådant samtykke er givet.
Desuden vil kravene vedrørende samtykke blive skærpet for fremtiden:
Samtykket skal være tydeligt angivet i en erklæring, der kan være skrevet, elektronisk eller udtalt.Samtykkeerklæringen skal vise, at den pågældende person frivilligt, personligt, bevidst og udtrykkeligt har udtrykt ønske om, at personen accepterer brugen af hans eller hendes personlige oplysninger.Dette vil typisk ske ved, at personen klikker på et afkrydsningsfelt med henblik på at give sit samtykke
3. Håndhævelse af retten til at blive glemt
Et nyt emne, der vil blive introduceret med denne forordning, er den registrerede persons ret til at blive glemt. I praksis betyder dette, at personen har ret til at få sine persondata fjernet fra dine databaser.
Denne situation kan opstå, når personer trækker det samtykke, de allerede har givet i forbindelse med din håndtering af deres persondata, tilbage. Men hvis brugen af persondata foregår på et andet juridisk grundlag, er der ikke nogen forpligtelse til at fjerne dataene.
Hvis du er forpligtet til at fjerne data, skal du informere alle de enheder, der har modtaget eller publiceret dataene. Dette skal gøres med henblik på at sikre, at alle links, dubletter og kopier, der er knyttet til materialet, også bliver fjernet.
4. Håndhævelse af retten til at flytte data
På nuværende tidspunkt har alle ret til at modtage deres egne persondata i et maskinlæsbart format og derefter overføre dataene til en anden registeransvarlig enhed.
Denne ret gælder også for de persondata, som en person har forsynet dig med via personens samtykke eller en aftale. Denne forpligtelse forpligter dig dog ikke til at godkende eller opretholde databehandlingssystemer, som er teknisk kompatible.
5. Forbud mod profilering kan påvirke dig
Enhver har ret til ikke at blive gjort til genstand for beslutninger, der er baseret på automatisk databehandling, og som ville have en retlig eller på anden måde signifikant virkning på den pågældende person. Dette betyder med andre ord, at du ikke kan tage vigtige beslutninger, der påvirker en person, på grundlag af en automatisk dataproces.
En undtagelse fra dette “profileringsforbud” ville være, når beslutningen er nødvendig i forbindelse med indgåelse af en kontrakt mellem en person og din virksomhed. Du skal kontrollere, at dine modeller for profilering og beslutningstagning stemmer overens med lovgivningen, og du skal sørge for at foretage eventuelle nødvendige ændringer.
Et eksempel på en almindelig undtagelse fra profileringsforbuddet er beslutninger vedrørende kreditgivning. Sådanne beslutninger baseres ofte på automatiske klassifikationssystemer og beslutningsanbefalinger.
6. Informer om brud på din datasikkerhed
For fremtiden vil du være forpligtet til at informere myndighederne samt registrerede personer om eventuelle brud på datasikkerheden. Dette omfatter situationer, hvor en vilkårlig persons rettigheder og frihedsrettigheder er blevet krænket. Hvis sådanne situationer skulle opstå, er der et par ting, som du skal gøre:
Du skal informere myndighederne inden for 72 timer efter bruddet på datasikkerheden.Du skal informere alle berørte personer om bruddet på datasikkerheden, når dette brud sandsynligvis vil udgøre en betydelig risiko for disse personers rettigheder og frihedsrettigheder
For at leve op til disse forpligtelser er det vigtigt, at du udarbejder interne retningslinjer og procedurer med henblik på at sikre en effektiv og korrekt arbejdsgang.
7. Informer om din dataproces
Virksomheder over hele verden indsamler i dag flere personlige oplysninger end nogensinde tidligere. For at kunne leve op til EU-forordningen skal du for fremtiden afgive flere oplysninger om din virksomheds databehandling, end det nogensinde tidligere har været krævet.
Dette betyder, at du skal informere om, hvor lang tid du opbevarer persondata. Eller – hvis dette ikke er muligt – skal du informere om de kriterier, du anvender til at fastlægge opbevaringstiden for persondata.
I realiteten betyder dette, at du f.eks. skal opdatere dit register og dine datasikkerhedsdokumenter, og at du skal overveje, hvordan du i praksis skal informere de personer, der er registreret hos din virksomhed.
8. Rollen for den nye databeskyttelsesmedarbejder
På grund af det øgede fokus på datasikkerhed er du måske nødt til at udnævne en databeskyttelsesansvarlig medarbejder til at håndtere persondata. Organisationer, der f.eks. kan have brug for en databeskyttelsesansvarlig medarbejder, er virksomheder, hvor der foregår en omfattende, regelmæssig og systematisk personovervågning, eller virksomheder, hvis kerneaktiviteter udgøres af en sådan overvågning. Med dette for øje anbefaler vi, at du vurderer, om kravet om at have en databeskyttelsesansvarlig medarbejder gælder for dig eller ej.
9. Outsourcing af håndtering af persondata vil kræve, at du iværksætter beskyttelsesforanstaltninger
Hvis du har outsourcet nogen del af af din databehandling til en anden virksomhed, og denne virksomhed håndterer persondata på dine vegne, kræves det, at du gennemfører nogle tiltag:
Du skal sikre, at der er tilstrækkelige tekniske og organisatoriske beskyttelsesforanstaltninger, som opfylder lovkraveneDu skal sørge for, at de registrerede personers rettigheder er beskyttede
I praksis betyder dette, at du skal identificere de situationer, hvor outsourcing kan være relevant, og du skal sikre, at alle kontrakter er udarbejdet korrekt. For eksempel betragtes opbevaring af data på cloud-tjenester som outsourcing, også selvom tjenesteudbyderen ikke aktivt behandler dataene.
10. Overtrædelser kan medføre store bøder
Det er vigtigt at bemærke, at du – ud over at få en advarsel – også kan få en stor bøde, dersom du overtræder databeskyttelseslovgivningen. Denne bøde kan være på op til EUR 20 mio. eller 4 procent af din virksomheds samlede omsætning.