Den nye EU-Persondataforordning der træder i kraft den 25. maj 2018, er et nyt regelsæt som alle virksomheder, organisationer og offentlige myndigheder der behandler personoplysninger, skal overholde for at undgå potentielt store bøder.

I denne artikel svarer vi enkelt og præcist på de mest gængse spørgsmål, men inden vi begiver os ud i de mere kringlede dele af Persondataforordningen, kommer her fire FAQ’s som kan give et hurtigt overblik.

Hvad er persondataforordningen
Tina Morell Nielsen taler om Persondataforordningen til FDIH Seminar hos Oxygen.

Persondataforordningen – Hvem, hvad og hvordan?

Spørgsmål 1: Er det kun oplysninger om helbred, politisk overbevisning, seksuelle forhold og andre følsomme oplysninger, der er omfattet af den nye Persondataforordning?

Svar: Nej. Alle oplysninger der kan føres tilbage til en person, som f.eks. telefonnummer, adresse og mail, er omfattet af forordningen.

Spørgsmål 2: Skal alle virksomheder have en DPO (databeskyttelsesrådgiver)?

Svar: Nej. Der skal meget til, for at man er underlagt det krav. Kun en virksomhed hvis kerneaktivitet i stort omfang omfatter enten en regelmæssig og systematisk overvågning eller en behandling af følsomme oplysninger, skal udpege en DPO.

Spørgsmål 3: Er det nødvendigt at have en fortegnelse over behandling af personoplysninger?

Svar: Ja. Virksomheder med over 250 ansatte skal altid udarbejde en sådan fortegnelse. Det anbefales at alle virksomheder, uanset størrelse, udarbejder en fortegnelse for altid at kunne dokumentere persondatabehandlingen overfor Datatilsynet.

Spørgsmål 4: Hvad er de vigtigste ændringer?

Svar: Overordnet set, skal man som virksomhed være klar over, at den nye Persondataforordning kommer til at medføre et større ansvar og flere forpligtelser i forbindelse med behandlingen af personoplysninger. Det nye dokumentationskrav om ”privacy by design” og ”privacy by default” er blandt de største ændringer man som virksomhed skal forholde sig til. Derudover vil nogle virksomheder være nødsaget til at ansætte en Databeskyttelsesrådgiver.

De registreredes rettigheder er en anden afgørende ændring i forbindelse med den nye Forordning, hvilket betyder at de registrerede har ”retten til at blive glemt” samt ”retten til dataportabilitet”.

En hjælpende hånd

Persondataforordningen ER både teknisk tung og lovmæssig kompliceret at sætte sig ind i. Det har én af landets førende IT-sikkerhedschefer taget konsekvensen af, og har derfor udarbejdet et regneark der fungerer som en værktøjskasse til at forstå og implementere de nye regler.

Regnearket kan ifølge ham selv hjælpe 90% af alle danske virksomheder, 90% i mål med forberedelserne inden Persondataforordningen træder i kraft den 25. Maj 2018. Find forklaring af regnearket samt link til download her https://www.linkedin.com/pulse/nyt-gratis-værktøj-kan-lette-arbejdet-med-henning-mortensen/

I nedestående går vi mere i dybden med de tekniske detaljer af Persondataforordningen, baseret på hvad virksomheder skal være opmærksomme på, i forberedelserne til at imødekomme den nye Forordning.

Hvad dækker Persondataforordningen over?

Persondataforordningen er en forordning der omhandler behandling af personoplysninger.

Behandling dækker over enhver håndtering af data, hvad enten den er manuel eller elektronisk.

Dette kan f.eks. være:

  • Modtagelse af data fra en kunde
  • Indsamling af persondata f.eks. via cookies. Læs mere om cookies loven i den nye Persondataforordning her: https://erhvervsstyrelsen.dk/cookie-loven
  • Opbevaring af data
  • Sammenstilling af data
  • Systematisering af data
  • Visning af data
  • Brug af data
  • Videregivelse af persondata
  • Sletning af persondata

Hvem hører under den nye Persondataforordning?

Når man taler om Persondataforordningen er der to relevante aktører; den dataansvarlige og databehandleren. De to aktører har ikke den samme grad af ansvar for overholdelse af reglerne:

  • Dataansvarlig: Fuldt ansvarlig for overholdelse af reglerne
    • Den dataansvarlige er den, der disponerer over personoplysningerne. Det vil sige, den der afgør, til hvilket formål, og med hvilke hjælpemidler, der må foretages behandling. En dataansvarlig kan f.eks. være en webshopansvarlig.
  • Databehandler: Delvist ansvarlig for overholdelse af reglerne
    • Databehandleren er en ekstern person/virksomhed som behandler (opbevarer, bruger eller får indsigt i) personoplysninger på den dataansvarliges vegne.

Generelt gælder det, at hvis man opbevarer eller behandler persondata, for at løse en opgave for andre, så er man normalt databehandler. Behandler man data til egne formål, er man dataansvarlig.

Se den fulde checkliste fra Datatilsynet, som dataansvarlige allerede nu bør forholde sig til https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/12_spoergsmaal_-_GDPR.pdf

Brug af en databehandler kræver indgåelse af en databehandleraftale – også i koncernforhold.

Hvor og hvornår gælder forordningen?

Uanset om databehandlingen finder sted i eller udenfor EU, er alle dataansvarlige og databehandlere etableret i EU, underlagt Persondataforordningen.

Yderligere gælder det, at hvis den registrerede (altså den person hvis data behandles), befinder sig i EU, træder forordningen i kraft, uanset om den dataansvarlige eller databehandleren befinder sig i EU eller ej. Dette gælder såfremt:

  1. EU-borgerens personoplysninger behandles i forbindelse med udbud af varer/tjenester i EU (dette gælder også gratis tjenester/varer), f.eks. Google
  2. Der sker overvågning af den registreredes adfærd i EU (f.eks. cookie tracking)

Hvad betyder ”persondata”?

Persondata er et begreb, der defineres ud fra fire forskellige kategorier:

  1. Almindelige oplysninger (artikel 9)
    1. Kontaktoplysninger
    2. Interesser
    3. Økonomi
    4. Gæld
    5. Sygedage
    6. CV
    7. Ansøgning
    8. Personlighedstest mm
  2. CPR-numre (artikel 87)
  3. Semifølsomme oplysninger (artikel 10)
    1. Oplysninger om straffedomme og lovovertrædelser
  4. Følsomme oplysninger (artikel 9)
    1. Race eller etnisk oprindelse
    2. Politiks, religiøs eller filosofisk overbevisning
    3. Fagforeningsmæssigt tilhørsforhold
    4. Genetisk data
    5. Biometrisk data (til entydigt at identificere en fysisk person)
    6. Oplysninger om helbredsmæssigt eller seksuelle forhold, eller seksuel orientering

Hvad siger reglerne?

Den nye EU-Persondataforordning foreskriver at:

  1. Det er tilladt at behandle ”almindelige” personoplysninger, hvis der er en lovlig grund (hjemmel) efter forordningen.
    1. Personnumre og oplysninger om strafbare forhold er efter forordningen almindelige personoplysninger, men Folketinget kan bestemme noget andet eller stille særlige krav.
    2. CPR numre har i lovudkastet fået en særstatus, så private kun må behandle CPR-numre hvis det følger af lov eller der er givet samtykke.
    3. Oplysninger om strafbare forhold har i lovudkastet fået en særstatus, så private kun må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit samtykke til det, eller hvis det er nødvendigt til varetagelse af en berettiget interesse, der klart overstiger hensynet til den registrerede.
  2. Det er som udgangspunkt forbudt at behandle ”følsomme personoplysninger”.
    1. Forbuddet gælder dog ikke, hvis personen har givet et særligt udtrykkeligt samtykke til det. Samtykke må ikke være en del af handelsbetingelserne, men kræver, at den registrerede aktivt giver samtykke til dette på hjemmesiden.

Grundlæggende regler og principper

Den nye Persondataforordning indeholder en række forpligtelser og regler, men de mest grundlæggende kan listes til at være følgende:

Personoplysninger skal:

  1. Behandles lovligt, rimeligt og gennemsigtigt
  2. Indsamles til udtrykkeligt angivne og saglige formål, og må ikke videreforhandles på en måde, der er uforenelig med disse formål.
  3. Være tilstrækkelige, relevante og begrænsede til, hvad der er nødvendigt i forhold til de formål, de er indsamlet til (krav om proportionalitet).
  4. Være korrekte og ajourførte
  5. Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, det er nødvendigt til de formål, hvortil oplysningerne behandles.
  6. Behandles på en måde, der sikrer tilstrækkelig sikkerhed mod uautoriseret eller ulovlig behandling, hændeligt tab, tilintetgørelse eller beskadigelse.

Databehandlerens nye forpligtelser

  • Eventuelt føre fortegnelser over behandlingsaktiviteter
  • Underretningspligt ved sikkerhedsbrister
  • Eventuelt have/ansætte en DPO (Databeskyttelsesrådgiver)
  • Flere og mere detaljerede krav til databehandleraftaler
  • Betingelser for, hvornår databehandlere må benytte underdatabehandlere
  • Kan ifalde erstatningsansvar overfor de registrerede personer

Den dataansvarlige må kun anvende databehandlere, som giver fornødne garantier, for beskyttelse af personoplysninger og overholdelse af forordningens krav.

Den registreredes rettigheder

  1. Ret til at få indsigt i, hvilke persondata der behandles om ham/hende
  2. Ret til at få berigtiget urigtige oplysninger
  3. Ret til sletning (”retten til at blive glemt”)
  4. Ret til dataportabilitet
  5. Ret til begrænsning af behandlingen
  6. Ret til at gøre indsigelse mod behandlingen
  7. Ret til ikke at være genstand for automatiske individuelle afgørelser – herunder profilering

Hvor finder jeg Persondataforordningen?

I denne artikel er vi kommet omkring en lille del af Persondataforordningen, men langt fra det hele. For at få de fulde billede af, hvad den nye forordning indebærer, så kan den findes her http://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A32016R0679