09-06-2016

Persondataforordning vedtaget: Nye persondataregler for danske virksomheder og myndigheder

Torsdag d. 14. april 2016 blev EU's nye persondataforordning endeligt vedtaget. Den træder i kraft d. 25. maj 2018, og danske virksomheder og myndigheder må således tilpasse sig nye og strammere regler inden udløbet af den 2-årige implementeringsperiode.

Formålet med persondataforordningen er, at ensrette lovgivningen i alle EU-lande samt at tilpasse sig den teknologiske udvikling, der er sket siden vedtagelsen af det hidtil gældende direktiv fra 1995.

Persondataforordningen skærper ansvaret for databehandlere og dataansvarlige, det nationale datatilsyn vil få bedre sanktionsmuligheder, og de registreredes rettigheder udvides. Forordningen medfører således en stramning af den nugældende persondatalov og konsekvenserne er derfor store for danske virksomheder og myndigheder, da de fremover skal leve op til en række strammere krav.

Følgende ændringer kan særligt fremhæves:

  1. Forordningens anvendelsesområde: Først og fremmest er alle virksomheder der behandler persondata omfattet af persondataforordningen. Eksempler herpå er kundeinformationer samt ansattes indkomst- og sundhedsoplysninger. Virksomheder uden for EU er ligeledes omfattet, såfremt disse tilbyder tjenester til EU-borgere.

  2. Dokumentationspligt: Der bliver indført særlige krav til dokumentation for, at virksomhederne behandler personoplysninger i overenstemmelse med forordningen. Det betyder, at den dataansvarlige skal udarbejde en risikovurdering for virksomheden, der fokuserer på de registreredes sikkerhed.

  3. Særlig beskyttelse af mindreårige: For virksomheder der primært henvender sig til børn, er der kommet en skærpelse der er vigtig at være opmærksom på. Den betyder, at børn under 13 år ikke kan give samtykke til behandling af dataoplysninger i forbindelse med online-serviceydelser.

  4. One stop shop-mekanisme: Dette betyder, at virksomheder kun skal have kontakt med én enkelt tilsynsmyndighed.

  5. Overtrædelse af forordningen: Der bliver indført en
    underretningspligt, hvorefter underretning om alvorlige brud på datasikkerheden skal ske inden 72 timer til det nationale datatilsyn. I forlængelse heraf kan der nu gives bøder på op til 20.000.000 euro eller 4% af den årlige koncernomsætning for overtrædelse af forordningen.

  6. Data Protection Officer: Som noget nyt er der indført et krav om, at virksomheder, der besidder mange personfølsomme oplysninger, skal have tilknyttet en DPO (Data Protection Officer). Enhver virksomhed bør derfor undersøge, om de er omfattet af dette krav.

De nævnte tiltag er et udsnit af de mange nye stramninger i forordningen, der som erhvervsdrivende kan være vanskelige at danne sig et overblik over. Selve implementeringen af de nye regler vil være meget individuel for virksomheder og myndigheder. Bonnesen Advokater opfordrer til, at man som det første får skabt sig et overblik over de persondata, man som virksomhed er i besiddelse af og skal beskytte.

Hvis du har brug for en rådgiver og sparringspartner i forbindelse med tilpasningen til de nye krav, er du altid velkommen til at kontakte os på tlf. 63 14 14 14 el. mail info@bonnesen.dk.