PERSONDATAFORORDNINGEN ER DIN ORGANISATION KLAR TIL DEN NYE VIRKELIGHED?
PERSONDATA I NYE RAMMER... PERSONDATAFORORDNINGEN ER EN REALITET. DERMED BØR VIRKSOM- HEDER OG OFFENTLIGE MYNDIGHEDER NU BEGYNDE AT INDRETTE SIG PÅ DEN NYE PERSONDATARETLIGE VIRKELIGHED. FOR SELVOM FORORDNINGEN FØRST TRÆDER I KRAFT I 2018, ER DET BESTEMT IKKE FOR TIDLIGT AT GÅ I GANG MED AT FÅ STYR PÅ PROCESSERNE. HELDIGVIS ER DER I DEN NYE FOR- ORDNING EN DEL, DER MINDER OM DE PRINCIPPER, VI I FORVEJEN KENDER FRA PERSONDATALOVEN. MEN DER ER OGSÅ NYSKABELSER. OG FREM FOR ALT LÆGGES DER OP TIL, AT SANKTIONERNE OVER FOR FEJL PÅ DET PER- SONDATARETLIGE OMRÅDE SKAL VÆRE LANGT STØRRE, END HVAD VI HIDTIL HAR SET. DERFOR ER DER GOD GRUND TIL AT VÆRE SKARP PÅ DE NYE REGLER FRA STARTEN OGSÅ SELVOM ALLE DETALJERNE OMKRING DET NYE REGEL- SÆT ENDNU IKKE ER PÅ PLADS.
ELSEBETH AAES-JØRGENSEN Partner (LL.M) Elsebeth er en af Norrbom Vindings mest benyttede procedureadvokater uanset om temaet er et generelt ansættelsesretligt spørgsmål, samspillet mellem ansættelsesret og offentlig ret eller forskelsbehandling. Også persondataretten har gennem mange år været et af Elsebeths arbejdsområder. Faktisk er Elsebeth en af de få advokater i Danmark, der har ført en persondataretlig sag i Højesteret. Udover de nævnte arbejdsområder dækker Elsebeth pensionsspørgsmål og ansættelse af udenlandsk arbejdskraft. JENS HARKOV HANSEN Advokat (CIPP/E) Persondata er Jens domæne hos Norrbom Vinding. Både gennem sin tidligere ansættelse i Data tilsynet, i sin tid i Justitsministeriet og senest ved sin internationale certificering har Jens erhvervet sig en persondataretlig viden på højt niveau. Dertil kommer betydelig undervisnings erfaring inden for området. Herudover rådgiver Jens generelt inden for det ansættelsesretlige område, særligt i relation til individuelle ansættelsesforhold. Jens varetager desuden et eksternt lektorat ved Københavns Universitet. SØREN EEG HANSEN Advokat Søren har været hos Norrbom Vinding siden 2010 og bistår i det daglige både offentlige myndigheder og større offentlige virksomheder. Derudover har Søren et indgående kenskab til de særlige forhold i praksis sektoren. Også arbejdsgiveres håndtering af medarbejdernes immaterielle rettigheder bl.a. i forhold til de mange nye kommunikationsplatforme er Sørens domæne. Derfor er det helt naturligt for Søren også at have styr på persondataretten. RASMUS LINDING Advokat Rasmus juridiske karriere tog sit afsæt i Justitsministeriet og strafferetten, inden han i 2013 besluttede sig for at sætte kursen mod Norrbom Vinding, hvor han siden har fokuseret på arbejds- og ansættelsesretten på det offentlige område. Ikke mindst medarbejderes og andres adfærd på de sociale medier og grænserne for, hvad man må skrive om andre, er Rasmus force. Dette fundament gør det oplagt, at Rasmus også er en del af vores persondatateam. SARA BALDUS Advokat Sara er yngste advokat i persondatateamet men hun har til gengæld en lang historik hos Norrbom Vinding, hvor hun startede i 2007. Sara har løbende gennem sin tid hos Norrbom Vinding gravet sig dybere ned i persondataretten, som hun kontinuerligt har beskæftiget sig med, siden hun startede.
HVORDAN KOMMER VI I GANG? At få overblik over de persondata, I som virksomhed eller myndighed ligger inde med, er ikke nødvendigvis let. Men der er ingen vej udenom for det er her, det hele starter. Om I har persondata, er ikke spørgsmålet. For det har I som minimum i HR. For hvor der er medarbejdere, er der også persondata. Så det rigtige spørgsmål at stille er i stedet: Hvor har vi persondata ud over i HR? Ligger vores organisation inde med kundeoplysninger? Patientoplysninger? Borgeroplysninger? Formentlig er der persondata flere steder i organisationen, end man lige regner med. Det næste skridt er at få overblik over, hvilke oplysninger der er tale om. Er det almindelige oplysninger? Eller følsomme oplysninger? Formentlig ligger de fleste inde med begge dele. Overblikket over, hvordan I behandler oplysningerne, vil være naturligt som næste step i processen. Her skal man også huske at få afdækket, i hvilket omfang persondata forlader huset, så der er behov for at overveje databehandleraftaler eller andet. Men så er forarbejdet til at få styr på persondataflowet også gjort og I kan begynde at forholde jer til, om det, I gør, er godt nok eller om der skal strammes op et eller flere steder. HVAD SKAL VI HAVE STYR PÅ? Det korte svar er: Alle de persondata, som I har i huset eller som andre har eller har adgang til på jeres vegne. For når man har persondata, har man også ansvar for at passe på dem, så de ikke falder i forkerte hænder. Også selvom data ikke fysisk er på virksomhedens eller myndighedens egen adresse. Og jo flere data I har, des mere er der naturligvis at holde styr på. It-sikkerheden skal være på plads. Men den kan ikke stå alene. For hvad hjælper firewalls, krypteringer og andre teknikaliteter, hvis ikke medarbejderne behandler organisa tionens persondata med lige så stor omhu? Derfor skal procedurer og retningslinjer være på plads, så der ikke rundt omkring i mangel af bedre udvikles hjemmestrikkede arbejdsgange, som ikke i tilstrækkelig grad lever op til den persondataretlige standard, der skal være i organisationen. Men det er ikke gjort med at udarbejde procedurer og retningslinjer. For uden forankring hos de relevante med arbejdere risikerer de beskrevne rutiner at ende som tomme ord på organisationens intranet. Så implementeringsfasen skal der også styr på og den efterfølgende vedligeholdelse af rutinerne må heller ikke glemmes. Endelig er der beredskabet, hvis det alligevel går galt. For uanset hvor godt, man har forsøgt at gardere sig, er diverse it-sikkerhedsforanstaltninger og retningslinjer for medarbejderne ingen garanti mod at miste data. Derfor bør beredskabet være på plads, så alle ved, hvem der gør hvad, når det uforudsete opstår.
HVEM SKAL TAGE SIG AF DET?. Når forordningen træder i kraft, skal alle offentlige myndigheder og nogle private virksomheder have en DPO en Data Protection Officer (eller på dansk: databeskyttelsesmedarbejder). Men der er naturligvis intet i vejen for at udpege en DPO, selvom forordningen ikke stiller krav om det. Hvem DPO en skal være, afhænger af, hvilke persondata I har. Nogle vil mene, at it-forstand er centralt. Andre vil tænke, at en juridisk basis er nødvendig. Mens andre igen vil vælge en mere businessorienteret forankring i organisationen ud fra et risikoperspektiv. Forordningen stiller ikke specifikke krav til DPO ens baggrund. Men den stiller krav om, at DPO en skal være ordentligt funderet inden for sit felt: persondataretten. Uanset om I skal have en DPO eller ej og uanset DPO ens baggrund ligger én ting dog fast: En DPO gør det ikke alene. For hvis ikke persondataarbejdet forankres grundigt de steder i organisationen, der véd, hvordan netop jeres persondata behandles, kommer man ikke i mål. DPO en skal jo kunne få de nødvendige oplysninger hos de medarbejdere, der ved noget om de enkelte delprocesser. Men hvor det vil være bedst at placere persondataansvaret, afhænger af, hvordan det persondataretlige landkort ser ud for netop jeres organisation. HVAD ER TIDSHORISONTEN? Persondataforordningen træder først i kraft i 2018. Men vores anbefaling er, at både virksomheder og offentlige myndigheder allerede nu går i gang med at skabe sig overblikket over persondataflowet i huset. For i 2018 skal der være orden i penalhuset, hvis ikke hammeren skal falde. Og hvis der både skal etableres en organisatorisk struktur omkring persondataarbejdet og udarbejdes procedurer og retningslinjer, er det ikke for tidligt at gå i gang. Der bliver nemlig nok at holde styr på i de kommende år. Nok ligger den retlige ramme fast i form af forordningen. Men der udestår et stort arbejde med at tilpasse dansk lovgivning til denne ramme og tilsvarende er det forventningen, at rammen gradvist konkretiseres gennem supplerende retningslinjer på EU-plan. Så der vil løbende være behov at følge med i den persondataretlige udvikling.
HVAD KAN NORRBOM VINDING HJÆLPE MED?...... Vi er der for jer på rejsen og det er helt op til jer, om det skal være os, der samler trådene eller om vi skal være livlinen, I tager fat i, når det kniber Vi har et særligt team med specialviden om persondata. Dermed kan I være sikre på, at vi altid er der, når I har brug for os Vi har erfaring med at tilrettelægge og holde snor i processen med at kortlægge organisationens persondata Vi kan påtage os opgaven som ekstern DPO Vi kender det persondataretlige regelsæt både det nuværende og det, der kommer. Så vi ved, hvilke processer og retningslinjer der skal til og derfor kan vi komme med konkrete forslag til, hvordan I får håndteret netop jeres persondataretlige udfordringer Vi rådgiver på daglig basis virksomheder og offentlige myndigheder om persondata både generelt og om samspillet mellem HR-juraen og persondataretten Vi har erfaring med etablering af whistleblowerordninger, kontakt til Datatilsynet, udarbejdelse af databehandleraftaler, håndtering af konkrete persondataretlige spørgsmål etc. Vi har et enestående netværk, som gør, at vi hele tiden kan være ajour med den seneste udvikling på området nationalt og internationalt Vi forestår kurser med særlige persondataretlige emner som tema både i eget regi og hos andre kursusudbydere Kort sagt: Vi har den juridiske ekspertise, der skal til og er det naturlige førstevalg, når der skal styr på persondata
NORRBOM VINDING FACTS Norrbom Vinding rådgiver offentlige og private virksomheder inden for alle dele af arbejds- og ansættelsesretten. Men vi gør mere end det. Vi giver råd, der ikke kun er optimale i forhold til juraen. Men som også varetager alle andre relationer, som har betydning for den enkelte klient. Vi har en stærk international profil og et tæt samarbejde med specialister som os selv i alliancen Ius Laboris, Global Human Resources Lawyers. Derfor er vi de største i Skandinavien og Danmarks førende inden for HR-jura.. Norrbom Vinding Amerikakaj Dampfærgevej 26 2100 København Ø Tel. +45 35 25 39 40 info@norrbomvinding.com www.norrbomvinding.com