Persondataforordning 2018

19. jun. 2017 09.02

Hvad betyder persondataforordningen/GDPR for dig?

I bund og grund betyder det, at der kommer større krav til virksomheders behandling af persondata.  

Der lægges op til, at der i alle virksomheder skal udvælges en dataansvarlig, og laves dokumentation på hvordan persondata behandles i virksomheden.

Persondata er alle slags data om peroner f.eks. CPR, køn, navn, adresse, email, religion, ip adresse, stilling, interesser og meget andet.
Nogle oplysninger er dog ekstra følsomme herunder CPR, politisk overbevisning, race, helbredsoplysninger og lign.

I den nye persondataforordning er der skærpede krav om samtykke. En dataansvarlig skal altid kunne dokumentere at have modtaget frivilligt samtykke til almindelige oplysninger og udtrykkeligt samtykke ved ekstra følsomme oplysninger.

I den nye persondataforordning er der også et krav kaldet "Right to be forgotten", som dækker over at personer har ret til at blive slettet. Det skal forståes sådan at en person altid skal kunne anmode om fuld sletning, såfremt der ikke er en juridisk hindring her som eksempelvis bindinger eller lign.

Den nye persondatafordning fylder 3 tætskrevne bind, og det er derfor vigtigt du som virksomhed sætter dig ind i den, inden den træder i kraft i maj 2018.

En væsentlig ting man skal være opmærksom på, er også bødernes størrelse for ikke at leve op til det nye regelsæt.
Der kan gives bøder på op til 4% af omsætningen eller 20 millioner euro

 

I skal udarbejde

Alle virksomheder der har oplysninger om privatpersoner eller privatejede virksomheder mv. skal udvikle en persondatapolitik.

Hvis din virksomhed behandler data andre virksomheder, så skal der også udvikles en databehandleraftale.

Derudover er der nogle anbefalinger/retningslinjer der bør følges som kan ses herunder.
 

Datatilsynet anbefaler alle virksomheder at have styr på følgende 12 spørgsmål:

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?
Alle beslutningstagere og nøglepersoner i virksomheden skal være bevidste om loven, og områder, der påvirker jeres virksomhed skal identificeres.

2. Hvilke personoplysninger behandler I?
Dokumentere hvilke personoplysninger I behandler (både elektronisk og på papir mv), hvor oplysninger kommer fra og hvem de deles med.

3. Hvilken information giver I de registrerede?
I skal oplyse de registrerede om hvordan oplysninger behandles og muligheden for at klage til datatilsynet.

4. Hvordan opfylder I de registreredes rettigheder?
De skal bl.a. kunne modtage oplysninger om hvad I har registreret, kunne få oplysninger slettet (i situationer hvor data ikke er krævet) og gøre indsigelse mod brug af oplysninger i direkte markedsføring

5. På hvilket retligt grundlag behandler I personoplysninger?
I bør dokumentere hvilke kategorier af personoplysninger I behandler, og hvordan reglerne følges.

6. Hvordan indhenter I samtykke?
I bør undersøge hvordan I indhenter, opbevarer og dokumenterer brugerens samtykke

7. Behandler I personoplysninger om børn?
I skal sikre, at der indhentes samtykke fra forældremyndighedsindehavere, hvis I behandler børns oplysninger. Børns defineres som udgangspunkt som personer under 16 år.

8. Hvad skal I gøre ved brud på persondatasikkerheden?
I skal dokumentere hvordan brud på sikkerheden opdages, rapporteres og undersøges

9. Er jeres behandlinger forbundet med særlige risici?
Hvis jeres behandling af personoplysninger er forbundet med særlige risici for de grundlæggende rettigheder hos den registrerede, skal der udarbejdes en konsekvensanalyse.

10. Har I indtænkt databeskyttelse i jeres it-systemer?
Indtænk sikkerhed i jeres nuværende og nye IT-systemer, og sikre at jeres Webbureau er bekendt med loven

11. Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation?
I skal beslutte hvor i organisationen ansvaret for databeskyttelsesspørgsmål skal ligge, og i nogle tilfælde udpege en databeskyttelsesrådgiver (DPO)

12. Driver I virksomhed i flere lande?
Hvis I driver virksomhed i flere lande, skal I finde ud af hvilken tilsynsmyndighed som har ansvaret for at føre til tilsyn ift. jeres behandling af personoplysninger

Læs mere på datatilsynets webside hvor de 12 råd er beskrevet

Danmarks medie- og journalisthøjskole's side Mediejura har lavet en artikel om den nye persondataforordning, og det er også herfra billedet i denne artikel stammer fra.
Dansk Industri har lavet en vejledning til persondataforordningen baseret på en af de tidlige udkast. 
IT Branchen har også udarbejdet en guide om hvad man skal leve op til

 

Sikkerhed i Flex4B systemet

Flex4Business kan være behjælpelig med at sikre, at jeres websystemer, som er lavet af Flex4Business opfylder de nye krav i personforordningen 2018, men den øvrige del, og de juridiske aspekter skal vendes med egen advokat.

Flex4Business har tænkt dataforordningen ind i Flex4B systemet, og vi har en rigtig stor grad af sikkerhed, og et fejlsystem der advarer om de mindste ting. Det betyder at persondata og anden data ligger rigtig godt beskyttet uanset om du har CMS, webshop, billetsystem eller andet.
Flex4B systemet bliver desuden konstant opdateret til at følge med tiden på alle områder da det er et Saas (Software as a Service) system

Ansvar for indhold i denne artikel

Dette blogindlæg er skrevet d. 19/6-2017 og indhold matcher det der var gældende på denne dato.
Flex4Busines kan ikke stilles til ansvar for indholdet i denne artikel. Vi anbefaler altid at du ved den mindste tvivl kontakter en sagkyndig der kan hjælpe med at sikre du overholder loven. Skulle du finde fejl i vores artikel, så hører vi gerne fra dig. Vær opmærksom på der kan være sket ændringer efter denne artikel er skrevet.

Persondataforordning 2018