Sådan bliver din virksomhed klar til at håndtere PERSONDATA. efter de nye regler!

Relaterede dokumenter
Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Overblik over persondataforordningen. v/advokat Jesper Løffler Nielsen

Persondataforordningen...den nye erklæringsstandard

Persondataforordningen. Henrik Aslund Pedersen Partner

NYE REGLER FOR HÅNDTERING AF PERSONDATA

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Plesner Certifikat i Persondataret

Databeskyttelsesdagen

Er I klar til den nye persondataforordning?

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Workshop om persondataforordningen

Det skal du have styr pa inden 2018

Lever din myndighed op til persondatalovens krav?

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Plesner Certifikat i Persondataret

Birgitte Toxværd Bruun & Hjejle

Persondataforordningen. Nye regler om persondata

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

General Data Protection Regulation

Data Protection Officer Til lægemiddelindustrien og sundhedssektoren

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Vejledning om informationssikkerhed


PERSONDATAREGLERNE MOCH STANDARDKURSUS. Persondata reglerne ET KURSUS OM BEHANDLING AF PERSONOPLYSNINGER

Bliv klar til Persondataforordningen

Introduktion til persondataforordning

Bilag A Databehandleraftale pr

September Indledning

Undervisningsplan for certifikat i persondataret

Persondatalovens dokumentationskrav

Rollen som DPO. September 2016

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Overblik over persondataforordningen

EU Persondataforordningen, skærpet krav til sikkerheden om data

Ny persondataforordning

Brud på datasikkerheden

Transkript:

Sådan bliver din virksomhed klar til at håndtere PERSONDATA efter de nye regler!

2 Det er de færreste virksomheder, der kender EU-forordningens nye krav til behandling af personoplysninger. Vi håber derfor, at denne pjece kan være med til at give et lidt klarere billede af, hvordan du som virksomhedsleder skal forholde dig til de nye regler, og hvordan du kan strukturere arbejdet med at tilpasse organisationen til de nye lovkrav.

OMSTILLING TIL NYE SKÆRPEDE PERSONDATAREGLER - GIV OPGAVEN PRIORITET Til trods for, at den nye EU-forordning først træder i kraft i 2018, er det på høje tid, at virksomheder begynder at forberede sig på, hvordan persondata, herunder oplysninger om medarbejdere, kunder mv. skal håndteres i fremtiden. For nogle virksomheder kan arbejdet med at implementere nye procedurer for håndtering af personhenførbare data være ganske omfattende. For andre er omstillingen mindre tidskrævende. Uanset hvor omfattende omstillingsprocessen er for virksomheden, anbefaler vi, at virksomhedsledelsen giver opgaven prioritet og afsætter de nødvendige ressourcer. Fakta: Den 25. maj 2018 iværksættes håndhævelsen af en ny persondataforordning, som erstatter den nuværende persondatalov. Forordningen indeholder nye regler for behandling af personoplysninger, og det betyder, at virksomheder og offentlige myndigheder, der beskæftiger sig med persondata, skal efterleve nye, skærpede krav. Persondataforordningen får virkning i hele EU. Bøderammen for overtrædelse af de nye regler hæves til EUR 20.000.000 eller 4% af en virksomheds globale årlige omsætning. Den nye forordning omfatter, ligesom de gældende regler, enhver behandling af personhenførbare data, herunder navn, mailadresser, fødselsdatoer, CV er, CPR-numre osv. 3

VIRKSOMHEDENS FORPLIGTELSER I DAG På nuværende tidspunkt er det hovedsagelig persondataloven, der indeholder kravene til danske virksomheders behandling af personoplysninger. Gældende regler - eksempler: Enhver behandling (dvs. alt fra indtastning til sletning) kræver hjemmel, f.eks. i form af et samtykke eller et lovgrundlag. Enhver behandling skal opfylde nogle grundlæggende krav, f.eks at der ikke indsamles flere oplysninger end nødvendigt og ikke i længere tid end nødvendigt. Den registrerede har en række rettigheder, f.eks. krav på at blive oplyst om enhver behandling og få indsigt i oplysninger om sig selv. Krav til aftalegrundlaget mellem den dataansvarlige (typisk den virksomhed, som indsamler oplysninger) og databehandleren (typisk en IT-leverandør). Krav til sikkerhedsforholdene, både organisatorisk og teknisk. Visse krav ved overførsel af data til lande uden for EU. 4

NYE SKÆRPEDE PERSONDATAREGLER En stor del af de nye regler, som træder i kraft i 2018, udgør skærpelser i forhold til de gældende regler. Et meget centralt krav er til eksempel, at alle virksomheder fremover skal have overblik over den databehandling, der foretages i virksomheden. I den forbindelse skal der udarbejdes skriftlig dokumentation for, hvilke tiltag virksomheden vil foretage for at overholde de nye regler. Datatilsynets har udarbejdet 12 spørgsmål, som en dataansvarlig virksomhed som minimum bør kunne svare på for at leve op til de nye regler. Spørgsmålene finder du bagerst i denne pjece. De væsentligste ændringer: Skærpede krav til virksomheders fokus på og overblik over deres behandling af personoplysninger. Skærpede krav til dokumentation (persondatapolitik, organisatorisk forankring, procedure ved databrud, risikovurderinger ved nye tiltag osv.). Kontrolbesøg og stikprøver frem for anmeldelse til Datatilsynet. Skærpede krav til virksomhedens organisatoriske og tekniske foranstaltninger (IT-systemer skal indrettes efter principperne om Privacy by Design og Privacy by Default ). Visse virksomheder har pligt til at udpege en intern eller ekstern persondataretsekspert med ansvar for virksomhedens behandling ( Data Protection Officer ). Der vil som udgangspunkt være pligt til at anmelde brud på datasikkerheden inden for 72 timer. Databehandlere (herunder mange IT-leverandører) får et mere selvstændigt ansvar. Ændrede reglerne om grænseoverskridende behandlinger (herunder ift. reglernes anvendelsesområde, one-stop-shop for behandlingen af klagesager mv.). 5

Når EU-forordningen træder i kraft, hæves bøderammen for overtrædelse af de nye persondataregler til EUR 20.000.000 eller 4% af en virksomheds globale årlige omsætning.

ER REGLERNE RELEVANTE FOR DIN VIRKSOMHED? For langt de fleste virksomheder vil svaret være ja, i hvert fald for de virksomheder, hvor der er ansatte medarbejdere. Det er derfor oftest mere et spørgsmål om, hvilke oplysninger der behandles, hvem der har adgang til dem, hvordan de behandles, til hvilke formål osv. Mange virksomhedsledere vil formentlig blive overrasket over, hvor mange steder i organisationen der sker en behandling, som falder ind under persondatareglerne. Eksempelvis kan kontaktoplysninger på ansatte hos virksomhedens leverandører, virksomhedsnavne for personligt ejede selskaber, registrering af brugeres besøg på virksomhedens hjemmeside mv. efter omstændighederne være omfattet. Mange forskellige aspekter spiller ind på, hvor stor en opgave der ligger foran virksomheden, når de nye procedurer skal kortlægges og implementeres. På de næste sider har vi forsøgt at opstille nogle overordnede retningslinjer for forskellige typer af virksomheder. For nogle virksomheder medfører omstillingen til de nye persondataregler et omfattende compliancearbejde, mens arbejdet med at omstille sig er mere begrænset i andre virksomheder. 7

BEHOVET FOR COMPLIANCE VARIERER FRA VIRKSOMHED TIL VIRKSOMHED Mange forskellige aspekter har indflydelse på, hvor tidskrævende det bliver for den enkelte virksomhed at leve op til de skærpede regler. Nedenfor har vi opstillet nogle overordnede (og forsimplede) retningslinjer for, hvor omfattende en opgave virksomhederne står overfor. HURTIG OMSTILLING Har hidtil haft stor fokus på håndtering af persondata efter de gældende regler Lille virksomhed B2B marked Ingen eller ét simpelt IT-system Behandler kun alm. personoplysninger Opererer kun på det danske marked Al databehandling sker internt TIDSKRÆVENDE OMSTILLING Håndtering af persondata efter gældende regler har hidtil haft begrænset bevågenhed Stor virksomhed B2C marked Flere IT-systemer, som er integreret Behandler følsomme oplysninger (race, religion, helbredsoplysninger mv.) Grænseoverskridende salg, drift mv. Eksterne aktører har delt eller delvist adgang til virksomhedens data (IT-leverandører, marketingvirkssomheder, myndigheder m.fl.) 8

TRE EKSEMPLER Nedenfor er illustreret tre arketype virksomheder, hvor virksomhed A har et meget begrænset behov for compliancearbejde, mens virksomhed C har et omfattende compliancearbejde foran sig. VIRKSOMHED A VIRKSOMHED B VIRKSOMHED C Håndværkervirksomhed Få ansatte B2B Simpelt bogføringssystem Overholder gældende persondataregler Stor produktionsvirksomhed Over 100 ansatte B2B Flere integrerede IT systemer, f.eks. CRM Ekstern hosting Afdelinger i flere lande Har ikke hidtil haft fokus på persondatareglerne Udlejningsvirksomhed med mange boliglejemål Flere integrerede IT-systemer Ekstern hosting og lønadministration Behandler følsomme oplysninger og CPR-numre Anvender eksternt bureau til håndtering af markedsføring pr. mail. Har ikke hidtil haft fokus på persondatareglerne INTET/BEGRÆNSET BEHOV FOR COMPLIANCE OMFATTENDE 9

VEJEN TIL LOVLIG HÅNDTERING AF PERSONDATA Faser: 1. Overblik Det første skridt er at få overblik over den opgave, som den konkrete virksomhed står overfor, herunder hvilke interne/eksterne ressourcer der kræves. 2. Kortlægning af persondatabehandling De nye regler forudsætter, at virksomheder har overblik over hvilke persondata, der behandles og hvordan. Trods virksomhedernes forskellighed er der nogle fælles retningslinjer for, hvordan arbejdet med at overholde de nye persondataregler kan gribes an. Det handler først og fremmest om at skabe overblik over virksomhedens databehandling, analysere potentielle risici og manglende overholdelse af reglerne, identificere indsats-områder, fastlægge ansvarsfordeling internt og eksternt, dokumentation af relevante skridt til brug for udlevering til myndigheder og sidst men ikke mindst forankring i organisationen herunder retningslinjer for uddannelse af med arbejdere. Bagerst i pjecen finder du en skabelon til en projektplan for tilrettelæggelsen af de seks faser beskrevet her. 3. Analysér potentielle risici Når virksomhedens persondatabehandling er kortlagt, iværksættes en undersøgelse af om virksomheden lever op til de nye persondataregler. 4. Fastlæg indsatsområder Næste fase er at fastlægge hvilke indsatsområder, der skal arbejdes med for at overholde de nye regler. Eksempler på indsatsområder er udarbejdelse af nødvendig dokumentation, uddannelse af medarbejdere, ændringer i adgangsforhold til IT-systemer mv. 5. Implementering Når alle indsatsområder er beskrevet, anbefaler vi, at virksomheden udarbejder en handlingsplan med beskrivelse af de enkelte indsatsområder, angivelse af hvem der er ansvarlig for, at opgaven udføres samt en tidsplan for, hvornår opgaven skal være udført. 6. Løbende kontrol Arbejdet med at køre virksomheden i stilling til at overholde de nye persondataregler er ikke et éngangsprojekt, som slutter den 25. maj 2018. De nye regler kræver blandt andet en løbende dokumentation, udarbejdelse af en konsekvensanalyse ved højrisiko behandlinger, anmeldelsespligt ved databrud, revision af politikker og retningslinjer og håndtering af klager. 10

OVERBLIK OVER COMPLIANCE-OPGAVEN Skab overblik over hvilke persondata virksomheden behandler Analyser potentielle risici FASTLÆG INDSATSOMRÅDER Implementering Udarbejd en handlings- og tidsplan for gennemførelse af alle indsatsområder LØBENDE KONTROL 11

BEHOV FOR RÅDGIVNING? Focus Advokater anbefaler, at virksomheden lægger en plan for, hvordan organisationen bliver kørt i stilling, så medarbejderne kan håndtere personhenførbare data efter de nye regler. Indsatsområderne kan være vidt forskellige fra virksomhed til virksomhed, og skal i øvrigt ses i sammenhæng med virksomhedens IT-strategi og øvrige tiltag. I den forbindelse bistår Focus Advokater gerne med rådgivning. Vi kan f.eks. komme ud i virksomheden og holder et oplæg om de nye persondataregler, der er tilpasset din virksomheds behov. Vi arrangerer også gerne en workshop for virksomhedens nøglemedarbejdere, hvor hele compliancearbejdet kan blive skudt i gang. Efter behov assisterer vi med alt lige fra planlægning til analysearbejde og konkrete opgaver som f.eks. skriftlig dokumentation. Tilbud på rådgivning: Kort oplæg om de nye persondataregler tilpasset virksomhedens behov. Kr. 10.000 ex. moms. ½ dags workshop med nøglemedarbejdere. Formål: Skabe overblik og planlægge arbejdet med compliancearbejdet. Kr. 30.000 ex. moms. Udarbejdelse af analyserapport med beskrivelse af nødvendige tiltag for at blive compliant. Indhent tilbud. Fuldt complianceforløb skræddersyet til virksomheden. Indhent tilbud. Kontakt Hvis du vil vide mere om, hvordan du gør din virksomhed klar til at håndtere persondata efter de nye regler, er du velkommen til at sende en mail til advokat Jesper Løffler Nielsen: jln@focus-advokater.dk. Er du interesseret i at deltage i vores kommende persondataseminarer eller modtage nyheder om persondataforordningen, så send en mail til Mette Juhl, mj@focus-advokater.dk. 12

HVIS DU VIL VIDE MERE JESPER LØFFLER NILSEN Advokat (L), Ph.D. Jesper Løffler Nielsens primære speciale er IT-ret, herunder IT-kontrakter, rettighedsspørgsmål i forhold til software, persondata, e-handel og internetmarkedsføring samt tvister vedr. IT-projekter og domænenavne. Kontakt hos Focus Advokater: Advokat Jesper Løffler Nielsen Mail: jln@focus-advokater.dk Tlf. 63 14 45 11. I juni 2016 færdiggjorde Jesper Løffler Nielsen et 3 årigt Erhvervs-PhD-forløb, hvor han har forsket i IT-ret. Jesper er også medstifter af Syddansk Persondataretligt Netværk, og han underviser på Certifikat i Persondataret på SDU. 13

DATATILSYNETS 12 SPØRGSMÅL Datatilsynet har opstillet 12 spørgsmål, en data ansvarlig virksomhed som minimum bør kunne svare på for at leve op til de nye regler: 1. Har jeres organisation kendskab til den nye data beskyttelsesforordning? 2. Hvilke personoplysninger behandler I? 3. Hvilken information giver I de registrerede? 4. Hvordan opfylder I de registreredes rettigheder? 5. På hvilket retligt grundlag behandler I personoplysninger? 6. Hvordan indhenter I samtykke? 7. Behandler I personoplysninger om børn? 8. Hvad skal I gøre ved brud på persondatasikkerheden? 9. Er jeres behandlinger forbundet med særlige risici? 10. Har I indtænkt databeskyttelse i jeres it-systemer? 11. Hvem er ansvarlig for databeskyttelses spørgsmål i jeres organisation? 12. Driver I virksomhed i flere lande? Læs mere på www.datatilsynet.dk 14

SKABELON TIL PROJEKTPLAN FASE Overblik og planlægning Kortlægning af databehandling Analyse af potentielle risici Fastlægge indsatsområder Implementering/ handlingsplan KONKRETE TILTAG INTERNE/EKSTERNE RESSOURCER TIDSPLAN TOVHOLDER Løbende kontrol 15

focus-advokater.dk ODENSE Englandsgade 25 DK-5100 Odense C Tel. +45 63 14 20 20 KOLDING Toldbodgade 10,4 DK-6000 Kolding Tel. +45 75 71 20 20 KØBENHAVN Amaliegade 40 B DK-1256 København K Tel. +45 63 14 20 20 HAMBORG Dänische Advokaten Mittelweg 161 D-20148 Hamburg Tel. +49 40 24 91 92

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback