Er du klar til den nye Persondataforordning?

Transkript

1 Er du klar til den nye Persondataforordning? Her er 6 punkter, du skal være opmærksom på

2 Persondataforordningen træder i kraft den 25. maj De nye regler for håndtering af persondata kommer til at stille nye krav til alle virksomheder, offentlige myndigheder, foreninger og andre, der er i berøring med personoplysninger. Er du klar over, hvad det kommer til at betyde for din virksomhed? Hos IT Relation er vi ikke jurister, men vi har stor erfaring med at håndtere personoplysninger for os selv og vores kunder. I det følgende kan du læse om seks af de punkter, du skal være på fornavn med inden det bliver den 25. maj Vend Persondataforordningen til din fordel tænk compliance! Måske er du allerede lidt træt ved tanken om de ændringer, Persondataforordningen medfører. Men i stedet for at fokusere på de negative aspekter ved den nye Persondataforordning vil vi opfordre dig til at se mulighederne i forandringen. Din evne til at få implementeret de nye ændringer vil uden tvivl blive et konkurrenceparameter for din virksomhed inden for den nærmeste fremtid. Du kan blive valgt fra af kunder, samarbejdspartnere og potentielle medarbejdere, hvis du ikke formår at leve op til de nye regler i Persondataforordningen. Men samtidig kan du også skille dig positivt ud og komme foran dine konkurrenter, hvis du lykkes med at implementere de nye forordninger uden problemer. Det er i virkeligheden op til dig selv. Med det stigende fokus på datasikkerhed er dette et område, der kommer til at fylde mere og mere. Hvis du ikke allerede er i gang med at forberede dig til Persondataforordningen, er det derfor ved at være på tide at komme i gang. Side 2 / 11 DK-7400 DK-2900 DK-2300 S

3 01 Vigtig skelnen: Forskel på almindelige og følsomme personoplysninger Personoplysninger er kernen i den nye persondataforordning. Men hvad er personoplysninger helt nøjagtigt? I sin bredeste definition er personoplysninger enhver information om en identificeret eller identificerbar person. Det vil sige oplysninger om alt fra navn og bopæl til etnisk oprindelse og seksuel orientering. Hvilken type oplysninger håndterer du? Denne type oplysninger skal beskyttes, så de ikke bliver offentligt tilgængelige. Det er du som virksomhed eller offentlig institution forpligtet til at sørge for. For at kunne leve op til dit ansvar skal du være bevidst om karakteren af den eller de typer af personoplysninger, du håndterer. Den nye persondataforordning skelner mellem almindelige og følsomme personoplysninger. Eksempler på almindelige personoplysninger: Navn Adresse Telefonnummer Familie Fødselsdato Uddannelse og beskæftigelse Bolig Bil Eksamener Løn og skat Væsentlige sociale problemer Eksempler på følsomme personoplysninger: Race Etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Genetiske og biometriske data Helbredsoplysninger Seksuelle forhold og seksuel orientering Få kortlagt din behandling af personoplysninger For at blive klar til persondataforordningen er det vigtigt, at I som privat virksomhed eller offentlig institution afsætter den nødvendige tid til at kortlægge, hvilken type personoplysninger I behandler i dag. Det kan hurtigt blive en tidskrævende opgave, da det typisk indebærer, at medarbejdere fra alle grene af organisationen inddrages, så I er sikre på, at behandlingen af personoplysninger i praksis lever op til jeres ønskede standard. Det gælder ikke mindst medarbejdere, der til dagligt har fingrene nede i den udførende del. Side 3 / 11 DK-7400 DK-2900 DK-2300 S

4 Kortlægningen skal give svar på: Hvilke typer personoplysninger indsamler I? Hvorfra indsamler I jeres personoplysninger? Hvordan indsamler I jeres personoplysninger? Videregiver I jeres personoplysninger og i så fald til hvem? Hvor og hvordan gemmer (og sikrer) I jeres indsamlede personoplysninger? Hvordan bruger I jeres personoplysninger? Og hvad har I af fremtidige planer for brug af dem? Har I styr på, hvordan og evt. hvornår I sletter personoplysningerne? Side 4 / 11 DK-7400 DK-2900 DK-2300 S

5 02 Få afklaret din rolle: Er du dataansvarlig eller databehandler? Stort set alle virksomheder, organisationer, foreninger og offentlige myndigheder håndterer personoplysninger af den ene eller anden art. Det kan være informationer om ansatte, kunder, medlemmer eller borgere. Når du håndterer andre menneskers personoplysninger, er du ansvarlig herfor. Men din ansvarsgrad afhænger af, om du optræder som dataansvarlig eller databehandler. Hvad er forskellen? Den dataansvarlige afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Databehandleren derimod behandler personlige oplysninger på vegne af den dataansvarlige. Hvor ligger ansvaret? Den dataansvarlige er (som navnet antyder) altid den ansvarshavende part i sidste ende. Man kan sammenligne det med et arbejdsgiver-medarbejder -forhold. En arbejdsgiver står altid til regnskab for sine medarbejderes gøren og laden også selvom medarbejderen handler i strid med loven (bevidst eller ubevidst) på egen hånd. Sådan forholder det sig også i samarbejdet mellem den dataansvarlige og databehandleren, når det kommer til at overholde reglerne for behandling af personoplysninger. I praksis kan en databehandler eksempelvis være en virksomhed, der varetager it-systemet for en anden virksomhed eller offentlig myndighed. Eller det kan være et bureau, der står for markedsføringen på vegne af en virksomhed. Forholdet mellem dataansvarlig og databehandler kan dog hurtigt blive yderligere kompliceret, da databehandleren selv kan benytte sig af databehandlere i dette tilfælde underdatabehandlere i forbindelse med opgaverne, de udfører for den dataansvarlige. Eksempel på forhold mellem dataansvarlig, databehandler og underdatabehandler Bureau til at stå for markedsføring (Databehandler) Moderselskab (Dataansvarlig) Datterselskab Står for koncern web (Databehandler) Backup provider Hjemmeside host (Underbehandler) (Underdatabehandler) Side 5 / 11 DK-7400 DK-2900 DK-2300 S

6 Vigtigt: Få styr på dine databehandleraftaler Hvis du er dataansvarlig, er det derfor vigtigt, at du går dine databehandleraftaler igennem og eventuelt får opdateret dem, så de lever op til reglerne i Persondataforordningen. Som dataansvarlig er du i sidste ende hovedansvarlig for din databehandlers omgang med dine indsamlede personoplysninger. Det gælder også, hvis fejlen er placeret hos en underdatabehandler. Databehandlere risikerer sagsanlæg Som databehandler er du dog ikke fri for ansvar. Er du eksempelvis til stor skade for en dataansvarlig virksomhed, kan denne virksomhed fremsætte krav mod dig. Det gælder også, hvis fejlen er begået hos en af dine underdatabehandlere. Derfor skal du som databehandler sikre, at dine underdatabehandlere forpligter sig til at leve op til de samme krav, som du er bundet af i forholdet til den dataansvarlige. Eksempel på ansvarsfordeling Dataansvarlig Databehandler Under databehandler I forbindelse med en opgave for den dataansvarlige gør databehandleren brug af en underdatabehandler. Underdatabehandleren handler i strid med Persondataforordningens regler og kompromitterer den dataansvarlige. Den dataansvarlige kan rette et eventuelt krav mod både databehandleren og underdatabehandleren. Side 6 / 11 DK-7400 DK-2900 DK-2300 S

7 03 Skærpede krav for behandling af personlige oplysninger om medarbejdere og ansøgere Alle virksomheder opbevarer personoplysninger om deres medarbejdere og potentielle medarbejdere. Det er nødvendigt bl.a. for at kunne udbetale løn eller kontakte interessante ansøgere. Den nye Persondataforordning får betydning for, hvordan virksomheder må behandle personlige oplysninger om medarbejdere og ansøgere. Ansøgere De fleste virksomheder modtager ansøgninger fra potentielle medarbejdere. Det kan enten være opfordrede eller uopfordrede ansøgninger. I disse ansøgninger vil der ofte forekomme personoplysninger som fx navn, adresse, telefonnummer og mailadresse. De informationer må du gerne bruge eksempelvis til at kontakte en ansøger med henblik på en samtale. Du må dog ikke opbevare ansøgningen til senere brug, med mindre du informerer vedkommende om det og samtidig tilbyder muligheden for at takke nej. Ansatte Har du styr på, hvilke personoplysninger du må indhente om dine medarbejdere? Nogle oplysninger er du nødt til at være i besiddelse af for fx at kunne udbetale løn. Andre oplysninger det der er i Persondataforordningen kaldes følsomme oplysninger kræver et udtrykkeligt samtykke fra medarbejderen. Det kan være oplysninger om helbred, race, trosforhold, fagforening og politisk overbevisning. Enkelte følsomme personoplysninger om medarbejderne er din virksomhed dog nødt til at indsamle. Det drejer sig især om registrering af fravær på grund af sygdom. Medarbejdere er ikke forpligtet til at oplyse om karakteren af deres sygdom, selvom de fleste oplyser det frivilligt særligt i forbindelse med længerevarende sygdomsforløb. Tidligere ansatte Hvad gør du med de personlige oplysninger, du er i besiddelse af, når en medarbejder ophører med at arbejde i virksomheden? Persondataforordningen gør det klart, at du kun må holde på personlige oplysninger om tidligere ansatte, hvis der er et klart og sagligt formål med det. Det kan være nødvendigt at opbevare oplysninger om tidligere medarbejdere for at leve op til retlige krav fx i forbindelse med aflønning efter fritstilling. Men det springende punkt er, at der er et udtrykkeligt formål med opbevaringen. Side 7 / 11 DK-7400 DK-2900 DK-2300 S

8 04 Nyt krav om en Data Protection Officer gælder det for dig? Med indførelsen af Persondataforordningen bliver det for visse offentlige instanser og større private virksomheder et krav at udpege en såkaldt Data Protection Officer (DPO) det man på dansk kan kalde en databeskyttelsesrådgiver. Kravet kan gælde både for dataansvarlige og databehandlere. Den vigtigste opgave for databeskyttelsesrådgiveren er at sikre de registreredes rettigheder. Gælder kravet for dig? Alle offentlige myndigheder undtagen domstolene er forpligtet til at udpege en databeskyttelsesrådgiver. Det samme er private virksomheder, hvis kerneaktivitet består i at behandle personoplysninger eller som behandler personoplysninger i stort omfang. Endelig gælder kravet også for private virksomheder, der gør sig i regelmæssig og/eller systematisk overvågning af personer og/eller indsamling af personlige oplysninger, herunder bl.a. strafbare forhold.* Hvilken rolle skal en databeskyttelsesrådgiver spille? DPO en skal deltage i alle spørgsmål vedrørende behandling af personlige oplysninger. Generelt medvirke til at øge vidensniveauet om databeskyttelse på arbejdspladsen. Agere som kontaktperson for myndigheder og datasubjekter i spørgsmål om behandling af personoplysninger. Føre tilsyn med implementering og overholdelse af procedurer, sikkerhedskrav, risikovurderinger mm. Du lever op til kravene, hvis din databeskyttelsesrådgiver: Er fastansat eller udfører sit job som ekstern konsulent. Hvis din databeskyttelsesrådgiver er ansat i en fast stilling, må han/hun gerne udføre andet arbejde i virksomheden, så længe det ikke resulterer i interessekonflikter i forhold til den rådgivende rolle. Flere offentlige myndigheder eller private virksomheder må gerne dele en databeskyttelsesrådgiver det kan fx være tilfældet i en koncern med flere virksomheder eller datterselskaber. Varetager sin rolle uafhængigt og uden restriktioner fra virksomhedens side. Der må således ikke opstå interessekonflikter, der kommer i vejen for databeskyttelsesrådgiverens arbejde. Ligeledes må den databeskyttelsesansvarlige ikke blive fyret eller straffet for at udføre sit arbejde som databeskyttelsesrådgiver. Rapporterer direkte til ledelsen. Herunder informerer og rådgiver om forpligtelserne i forhold til forordningen. Er udpeget på grundlag af faglige kvalifikationer. Er involveret og har adgang til alle situationer vedrørende beskyttelse af persondata. Kan udføre sine opgaver i fortrolighed. Samarbejder med den lokale databeskyttelsesmyndighed (i Danmark er det Datatilsynet) og fungerer som kontaktperson for samme myndighed i forbindelse med spørgsmål om behandling af persondata. *I et tidligere udkast af forordningen har kravet om en DPO været afhængig af virksomhedens størrelse. Det krav eksisterer ikke længere. Side 8 / 11 DK-7400 DK-2900 DK-2300 S

9 05 Nye regler i tilfælde af sikkerhedsbrud Den nye Persondataforordning stiller krav om, at der ved brud på sikkerheden hos private virksomheder eller offentlige myndigheder, der behandler personoplysninger, skal ske henvendelse til den nationale persondatamyndighed (Datatilsynet) inden for 72 timer efter sikkerhedsbruddet. Dette tiltag er en af de største ændringer i forhold til den nuværende Persondatalov. Det kan betyde et stort tab af virksomhedens eller myndighedens anseelse blandt kunder, borgere eller samarbejdspartnere, når der skal meldes offentligt ud ved brud på sikkerheden. IT-sikkerhed er et meget omdiskuteret emne i disse år og vil med al sandsynlighed være det i årene fremover. Det skyldes bl.a. den voldsomme stigning i datatyveri og IT-kriminalitet, som flere og flere virksomheder oplever. Derfor er offentlige indrømmelser af brud på sikkerheden noget, de færreste virksomheder eller offentlige myndigheder ønsker at blive nødsaget til. Sådan sker brud på sikkerheden oftest Organisatoriske fejl: Manglende kommunikation og aftaler mellem dataansvarlig og databehandler Menneskelige fejl: Offentliggørelse af personoplysninger som følge af manglende viden hos de ansatte. Fejl i IT-løsningen: Manglende kryptering af formularer i forbindelse med indsendelse af personoplysninger. IT-kriminalitet: Datatyveri, hackerangreb og lignende. Skrappere sanktioner Et af de mest markante tiltag i den nye Persondataforordning er den massive stigning i størrelsen på bødestraffen, hvis du overtræder forordningens bestemmelser. Hvor bøderne i dag ligger i størrelsesordenen kr. kan bøderne i fremtiden udgøre op til 4% af din omsætning og maksimalt 20 mio. euro. Så store bødestraffe er det nok de færreste virksomheder, der vil blive udsat for, men det giver en indikation af, at det generelle bødeniveau vil stige markant. Side 9 / 11 DK-7400 DK-2900 DK-2300 S

10 06 Skærpede samtykkekrav Grundlæggende gælder der de samme krav til samtykke efter Persondataforordningen træder i kraft, som der gør nu. Det vil sige, at et samtykke fra den registrerede skal være udtrykkeligt og ikke stiltiende eller underforstået. Som virksomhed eller offentlig myndighed, der indsamler personoplysninger, skal I derfor gøre det klart: Hvilken type data der indsamles Hvem der foretager indsamlingen Til hvilket formål informationerne indsamles En ny ting ved Persondataforordningen er dog, at de registrerede skal informeres om, at de har ret til at trække deres samtykke tilbage og at det samtidig skal være let for de registrerede personer at foretage tilbagetrækningen af samtykket. Andre skærpede krav til samtykke er, at: En dataansvarlig skal til enhver tid kunne dokumentere at have modtaget et bestemt samtykke til behandling af personoplysninger. Børn under 16 år kan ikke give et gyldigt samtykke her skal der indhentes samtykke fra en forælder. Hvis samtykket indhentes ved hjælp af en skriftlig erklæring, der indeholder anden information det kunne eksempelvis være en ansættelseskontrakt skal samtykkeerklæringen være tydeligt adskilt fra resten. Lever dine nuværende samtykkeerklæringer op til kravene? I forbindelse med overgangen til den nye Persondataforordning er det vigtigt at have styr på, om de samtykkeerklæringer I benytter jer af i dag, lever op til de nye krav. Hvis det ikke er tilfældet, kan I nemlig blive nødt til at indhente nye samtykkeerklæringer for at kunne tilpasse jer de nye krav. Ny regel: Retten til at blive glemt Som noget nyt har registrerede ret til at blive glemt. Det vil sige, at den dataansvarlige er forpligtet til at slette data, hvis: Formålet med registreringen er opfyldt Et datasubjekt tilbagekalder sit samtykke Behandlingen af data er ulovlig Sletningen er nødvendig af lovmæssige årsager Den registrerede er under 16 år Side 10 / 11 DK-7400 DK-2900 DK-2300 S

11 Vil du vide mere om Persondataforordningen? Snak med Hverdagens IT Superhelte. Vi hjælper dig gerne med at blive klar til de nye regler. Thomas Møller Jensen Team Manager, Sales DK-7400 DK-2900 DK-2300 S