Har du styr på EU's regler om persondata?

Hvad ved du om dine medarbejdere? Og hvad med dine kunder, dine leverandører og dine samarbejdspartnere? Data er en råvare, der giver viden, skaber forretning og muligheder – og hver dag afleverer kunder og brugere milliarder af personlige data.

Data gør, at mange virksomheder kender deres kunders indkøbsvaner og stort set kan forudsige det næste køb. Data giver virksomheden et fuldt overblik over medarbejdernes adresser, kontakt- og bankoplysninger - og meget mere.

Har du et navn eller en e-mail registreret i din virksomhed, er du omfattet af EU’s persondataforordning, der træder i kraft d. 25. maj 2018.

Kort fortalt er persondataforordningen et forsøg på at give forbrugere og brugere kontrol over deres data ved at stille skrappere til virksomheder, organisationer og myndigheders håndtering af data.

Hvad skal du som virksomhed være opmærksom på?

Der er flere ting, som du som virksomhed skal være opmærksom på i forhold til persondataforordningen – blandet andet:

Samtykke
Persondataforordningen stiller ikke et generelt krav om, at der skal indhentes samtykke fra den registrerede person for at behandling kan ske, når der blot registreres ganske almindelige personoplysninger som navn, adresse og e-mailadresse.
Behandler du følsomme data, dvs. oplysninger om race, religion, politisk tilhørsforhold eller helbredsoplysninger, skal virksomheden indhente samtykke. Ønsker du at sælge oplysninger om forbrugere (kunder) videre til tredjepart, kræver dette som hovedregel også forbrugerens samtykke.

Væsentligt forhøjet bødeniveau
Når de nye regler træder i kraft, vil der kunne blive udstedt bøder på op til € 20 mio. eller 4 procent af virksomhedens eller koncernens globale omsætning. Det er en meget høj forøgelse af bødeniveauet i forhold til de regler, der i dag gælder i Danmark, hvor den højeste bøde for at overtræde persondataloven har været på 25.000 kr.

Databeskyttelsesansvarlig – DPO
Offentlige og visse private virksomheder skal udpege en databeskyttelsesansvarlig – en såkaldt DPO (data protection officer). Det kan være en medarbejder eller en ekstern person, der har til opgave at sikre, at virksomhedens behandling af persondata, systemer og aktiviteter overholder lovgivningen.

Er den databeskyttelsesansvarlige en medarbejder, vil vedkommende være omfattet af forordningens regler om afskedigelsesbeskyttelse.

One-stop-shop for koncerner
One-stop-shop for koncerner vil blive etableret for at give en enklere persondataproces for virksomheder med aktiviteter i flere lande. One-stop-shop fungerer som én indgang for virksomheder og forbrugere, så det er nemmere at få kortlagt hvilket datatilsyn, der håndhæver reglerne i det pågældende land.

Brud på datasikkerhed skal indrapporteres indenfor 72 timer
Virksomheder skal informere lokale tilsynsmyndigheder om et databrud indenfor 72 timer efter, at et sådan har fundet sted. Det betyder bl.a., at virksomheden skal have klare processer for, hvordan den håndterer hacking og andre sikkerhedsbrud.

NB: Forordningen åbner for muligheden for en række nationale tiltag, og derfor er rækkevidden fortsat svær at vurdere.

De endelige regler bliver en sammensmeltning af forordningen, national lovgivning og codes of conduct. Det færdige resultat ser vi ikke, før Danmark har implementeret de dele af forordningen, som giver pligt eller mulighed for supplerende lovgivning.

Det er dog vigtigt, at du som virksomhed sørger for at forberede dig bedst muligt, så du kan efterleve lovgivningen, når den træder i kraft.

Skal du bruge en databehandleraftale?
Dansk Erhverv og IT-Branchen har udarbejdet en standardkontrakt for en databehandleraftale. Alle medlemsvirksomheder kan gratis downloade Databehandleraftalen og tilpasse den efter behov.