Sådan bliver din virksomhed klar til at håndtere PERSONDATA. efter de nye regler!

Transkript

1 Sådan bliver din virksomhed klar til at håndtere PERSONDATA efter de nye regler!

2 2 Det er de færreste virksomheder, der kender EU-forordningens nye krav til behandling af personoplysninger. Vi håber derfor, at denne pjece kan være med til at give et lidt klarere billede af, hvordan du som virksomhedsleder skal forholde dig til de nye regler, og hvordan du kan strukturere arbejdet med at tilpasse organisationen til de nye lovkrav.

3 OMSTILLING TIL NYE SKÆRPEDE PERSONDATAREGLER - GIV OPGAVEN PRIORITET Til trods for, at den nye EU-forordning først træder i kraft i 2018, er det på høje tid, at virksomheder begynder at forberede sig på, hvordan persondata, herunder oplysninger om medarbejdere, kunder mv. skal håndteres i fremtiden. For nogle virksomheder kan arbejdet med at implementere nye procedurer for håndtering af personhenførbare data være ganske omfattende. For andre er omstillingen mindre tidskrævende. Uanset hvor omfattende omstillingsprocessen er for virksomheden, anbefaler vi, at virksomhedsledelsen giver opgaven prioritet og afsætter de nødvendige ressourcer. Fakta: Den 25. maj 2018 iværksættes håndhævelsen af en ny persondataforordning, som erstatter den nuværende persondatalov. Forordningen indeholder nye regler for behandling af personoplysninger, og det betyder, at virksomheder og offentlige myndigheder, der beskæftiger sig med persondata, skal efterleve nye, skærpede krav. Persondataforordningen får virkning i hele EU. Bøderammen for overtrædelse af de nye regler hæves til EUR eller 4% af en virksomheds globale årlige omsætning. Den nye forordning omfatter, ligesom de gældende regler, enhver behandling af personhenførbare data, herunder navn, mailadresser, fødselsdatoer, CV er, CPR-numre osv. 3

4 VIRKSOMHEDENS FORPLIGTELSER I DAG På nuværende tidspunkt er det hovedsagelig persondataloven, der indeholder kravene til danske virksomheders behandling af personoplysninger. Gældende regler - eksempler: Enhver behandling (dvs. alt fra indtastning til sletning) kræver hjemmel, f.eks. i form af et samtykke eller et lovgrundlag. Enhver behandling skal opfylde nogle grundlæggende krav, f.eks at der ikke indsamles flere oplysninger end nødvendigt og ikke i længere tid end nødvendigt. Den registrerede har en række rettigheder, f.eks. krav på at blive oplyst om enhver behandling og få indsigt i oplysninger om sig selv. Krav til aftalegrundlaget mellem den dataansvarlige (typisk den virksomhed, som indsamler oplysninger) og databehandleren (typisk en IT-leverandør). Krav til sikkerhedsforholdene, både organisatorisk og teknisk. Visse krav ved overførsel af data til lande uden for EU. 4

5 NYE SKÆRPEDE PERSONDATAREGLER En stor del af de nye regler, som træder i kraft i 2018, udgør skærpelser i forhold til de gældende regler. Et meget centralt krav er til eksempel, at alle virksomheder fremover skal have overblik over den databehandling, der foretages i virksomheden. I den forbindelse skal der udarbejdes skriftlig dokumentation for, hvilke tiltag virksomheden vil foretage for at overholde de nye regler. Datatilsynets har udarbejdet 12 spørgsmål, som en dataansvarlig virksomhed som minimum bør kunne svare på for at leve op til de nye regler. Spørgsmålene finder du bagerst i denne pjece. De væsentligste ændringer: Skærpede krav til virksomheders fokus på og overblik over deres behandling af personoplysninger. Skærpede krav til dokumentation (persondatapolitik, organisatorisk forankring, procedure ved databrud, risikovurderinger ved nye tiltag osv.). Kontrolbesøg og stikprøver frem for anmeldelse til Datatilsynet. Skærpede krav til virksomhedens organisatoriske og tekniske foranstaltninger (IT-systemer skal indrettes efter principperne om Privacy by Design og Privacy by Default ). Visse virksomheder har pligt til at udpege en intern eller ekstern persondataretsekspert med ansvar for virksomhedens behandling ( Data Protection Officer ). Der vil som udgangspunkt være pligt til at anmelde brud på datasikkerheden inden for 72 timer. Databehandlere (herunder mange IT-leverandører) får et mere selvstændigt ansvar. Ændrede reglerne om grænseoverskridende behandlinger (herunder ift. reglernes anvendelsesområde, one-stop-shop for behandlingen af klagesager mv.). 5

6 Når EU-forordningen træder i kraft, hæves bøderammen for overtrædelse af de nye persondataregler til EUR eller 4% af en virksomheds globale årlige omsætning.

7 ER REGLERNE RELEVANTE FOR DIN VIRKSOMHED? For langt de fleste virksomheder vil svaret være ja, i hvert fald for de virksomheder, hvor der er ansatte medarbejdere. Det er derfor oftest mere et spørgsmål om, hvilke oplysninger der behandles, hvem der har adgang til dem, hvordan de behandles, til hvilke formål osv. Mange virksomhedsledere vil formentlig blive overrasket over, hvor mange steder i organisationen der sker en behandling, som falder ind under persondatareglerne. Eksempelvis kan kontaktoplysninger på ansatte hos virksomhedens leverandører, virksomhedsnavne for personligt ejede selskaber, registrering af brugeres besøg på virksomhedens hjemmeside mv. efter omstændighederne være omfattet. Mange forskellige aspekter spiller ind på, hvor stor en opgave der ligger foran virksomheden, når de nye procedurer skal kortlægges og implementeres. På de næste sider har vi forsøgt at opstille nogle overordnede retningslinjer for forskellige typer af virksomheder. For nogle virksomheder medfører omstillingen til de nye persondataregler et omfattende compliancearbejde, mens arbejdet med at omstille sig er mere begrænset i andre virksomheder. 7

8 BEHOVET FOR COMPLIANCE VARIERER FRA VIRKSOMHED TIL VIRKSOMHED Mange forskellige aspekter har indflydelse på, hvor tidskrævende det bliver for den enkelte virksomhed at leve op til de skærpede regler. Nedenfor har vi opstillet nogle overordnede (og forsimplede) retningslinjer for, hvor omfattende en opgave virksomhederne står overfor. HURTIG OMSTILLING Har hidtil haft stor fokus på håndtering af persondata efter de gældende regler Lille virksomhed B2B marked Ingen eller ét simpelt IT-system Behandler kun alm. personoplysninger Opererer kun på det danske marked Al databehandling sker internt TIDSKRÆVENDE OMSTILLING Håndtering af persondata efter gældende regler har hidtil haft begrænset bevågenhed Stor virksomhed B2C marked Flere IT-systemer, som er integreret Behandler følsomme oplysninger (race, religion, helbredsoplysninger mv.) Grænseoverskridende salg, drift mv. Eksterne aktører har delt eller delvist adgang til virksomhedens data (IT-leverandører, marketingvirkssomheder, myndigheder m.fl.) 8

9 TRE EKSEMPLER Nedenfor er illustreret tre arketype virksomheder, hvor virksomhed A har et meget begrænset behov for compliancearbejde, mens virksomhed C har et omfattende compliancearbejde foran sig. VIRKSOMHED A VIRKSOMHED B VIRKSOMHED C Håndværkervirksomhed Få ansatte B2B Simpelt bogføringssystem Overholder gældende persondataregler Stor produktionsvirksomhed Over 100 ansatte B2B Flere integrerede IT systemer, f.eks. CRM Ekstern hosting Afdelinger i flere lande Har ikke hidtil haft fokus på persondatareglerne Udlejningsvirksomhed med mange boliglejemål Flere integrerede IT-systemer Ekstern hosting og lønadministration Behandler følsomme oplysninger og CPR-numre Anvender eksternt bureau til håndtering af markedsføring pr. mail. Har ikke hidtil haft fokus på persondatareglerne INTET/BEGRÆNSET BEHOV FOR COMPLIANCE OMFATTENDE 9

10 VEJEN TIL LOVLIG HÅNDTERING AF PERSONDATA Faser: 1. Overblik Det første skridt er at få overblik over den opgave, som den konkrete virksomhed står overfor, herunder hvilke interne/eksterne ressourcer der kræves. 2. Kortlægning af persondatabehandling De nye regler forudsætter, at virksomheder har overblik over hvilke persondata, der behandles og hvordan. Trods virksomhedernes forskellighed er der nogle fælles retningslinjer for, hvordan arbejdet med at overholde de nye persondataregler kan gribes an. Det handler først og fremmest om at skabe overblik over virksomhedens databehandling, analysere potentielle risici og manglende overholdelse af reglerne, identificere indsats-områder, fastlægge ansvarsfordeling internt og eksternt, dokumentation af relevante skridt til brug for udlevering til myndigheder og sidst men ikke mindst forankring i organisationen herunder retningslinjer for uddannelse af med arbejdere. Bagerst i pjecen finder du en skabelon til en projektplan for tilrettelæggelsen af de seks faser beskrevet her. 3. Analysér potentielle risici Når virksomhedens persondatabehandling er kortlagt, iværksættes en undersøgelse af om virksomheden lever op til de nye persondataregler. 4. Fastlæg indsatsområder Næste fase er at fastlægge hvilke indsatsområder, der skal arbejdes med for at overholde de nye regler. Eksempler på indsatsområder er udarbejdelse af nødvendig dokumentation, uddannelse af medarbejdere, ændringer i adgangsforhold til IT-systemer mv. 5. Implementering Når alle indsatsområder er beskrevet, anbefaler vi, at virksomheden udarbejder en handlingsplan med beskrivelse af de enkelte indsatsområder, angivelse af hvem der er ansvarlig for, at opgaven udføres samt en tidsplan for, hvornår opgaven skal være udført. 6. Løbende kontrol Arbejdet med at køre virksomheden i stilling til at overholde de nye persondataregler er ikke et éngangsprojekt, som slutter den 25. maj De nye regler kræver blandt andet en løbende dokumentation, udarbejdelse af en konsekvensanalyse ved højrisiko behandlinger, anmeldelsespligt ved databrud, revision af politikker og retningslinjer og håndtering af klager. 10

11 OVERBLIK OVER COMPLIANCE-OPGAVEN Skab overblik over hvilke persondata virksomheden behandler Analyser potentielle risici FASTLÆG INDSATSOMRÅDER Implementering Udarbejd en handlings- og tidsplan for gennemførelse af alle indsatsområder LØBENDE KONTROL 11

12 BEHOV FOR RÅDGIVNING? Focus Advokater anbefaler, at virksomheden lægger en plan for, hvordan organisationen bliver kørt i stilling, så medarbejderne kan håndtere personhenførbare data efter de nye regler. Indsatsområderne kan være vidt forskellige fra virksomhed til virksomhed, og skal i øvrigt ses i sammenhæng med virksomhedens IT-strategi og øvrige tiltag. I den forbindelse bistår Focus Advokater gerne med rådgivning. Vi kan f.eks. komme ud i virksomheden og holder et oplæg om de nye persondataregler, der er tilpasset din virksomheds behov. Vi arrangerer også gerne en workshop for virksomhedens nøglemedarbejdere, hvor hele compliancearbejdet kan blive skudt i gang. Efter behov assisterer vi med alt lige fra planlægning til analysearbejde og konkrete opgaver som f.eks. skriftlig dokumentation. Tilbud på rådgivning: Kort oplæg om de nye persondataregler tilpasset virksomhedens behov. Kr ex. moms. ½ dags workshop med nøglemedarbejdere. Formål: Skabe overblik og planlægge arbejdet med compliancearbejdet. Kr ex. moms. Udarbejdelse af analyserapport med beskrivelse af nødvendige tiltag for at blive compliant. Indhent tilbud. Fuldt complianceforløb skræddersyet til virksomheden. Indhent tilbud. Kontakt Hvis du vil vide mere om, hvordan du gør din virksomhed klar til at håndtere persondata efter de nye regler, er du velkommen til at sende en mail til advokat Jesper Løffler Nielsen: jln@focus-advokater.dk. Er du interesseret i at deltage i vores kommende persondataseminarer eller modtage nyheder om persondataforordningen, så send en mail til Mette Juhl, mj@focus-advokater.dk. 12

13 HVIS DU VIL VIDE MERE JESPER LØFFLER NILSEN Advokat (L), Ph.D. Jesper Løffler Nielsens primære speciale er IT-ret, herunder IT-kontrakter, rettighedsspørgsmål i forhold til software, persondata, e-handel og internetmarkedsføring samt tvister vedr. IT-projekter og domænenavne. Kontakt hos Focus Advokater: Advokat Jesper Løffler Nielsen Mail: jln@focus-advokater.dk Tlf I juni 2016 færdiggjorde Jesper Løffler Nielsen et 3 årigt Erhvervs-PhD-forløb, hvor han har forsket i IT-ret. Jesper er også medstifter af Syddansk Persondataretligt Netværk, og han underviser på Certifikat i Persondataret på SDU. 13

14 DATATILSYNETS 12 SPØRGSMÅL Datatilsynet har opstillet 12 spørgsmål, en data ansvarlig virksomhed som minimum bør kunne svare på for at leve op til de nye regler: 1. Har jeres organisation kendskab til den nye data beskyttelsesforordning? 2. Hvilke personoplysninger behandler I? 3. Hvilken information giver I de registrerede? 4. Hvordan opfylder I de registreredes rettigheder? 5. På hvilket retligt grundlag behandler I personoplysninger? 6. Hvordan indhenter I samtykke? 7. Behandler I personoplysninger om børn? 8. Hvad skal I gøre ved brud på persondatasikkerheden? 9. Er jeres behandlinger forbundet med særlige risici? 10. Har I indtænkt databeskyttelse i jeres it-systemer? 11. Hvem er ansvarlig for databeskyttelses spørgsmål i jeres organisation? 12. Driver I virksomhed i flere lande? Læs mere på 14

15 SKABELON TIL PROJEKTPLAN FASE Overblik og planlægning Kortlægning af databehandling Analyse af potentielle risici Fastlægge indsatsområder Implementering/ handlingsplan KONKRETE TILTAG INTERNE/EKSTERNE RESSOURCER TIDSPLAN TOVHOLDER Løbende kontrol 15

16 focus-advokater.dk ODENSE Englandsgade 25 DK-5100 Odense C Tel KOLDING Toldbodgade 10,4 DK-6000 Kolding Tel KØBENHAVN Amaliegade 40 B DK-1256 København K Tel HAMBORG Dänische Advokaten Mittelweg 161 D Hamburg Tel