Sådan bliver din virksomhed klartilathåndtere

PERSONDATA efterdenyeregler!

Deterdefærrestevirksomheder,derkenderEU-forordningensnye kravtilbehandlingafpersonoplysninger.Vihåberderfor,atdenne pjecekanværemedtilatgiveetlidtklarerebilledeaf,hvordandusomvirksomhedslederskalforholdedigtildenyeregler,oghvordandukanstrukturerearbejdetmedattilpasseorganisationentildenyelovkrav.

2

Tiltrodsfor,atdennyeEU-forordningførsttræderikraft i2018,erdetpåhøjetid,atvirksomhederbegynderat forberedesigpå,hvordanpersondata,herunderoplysningerommedarbejdere,kundermv.skalhåndteresifremtiden.

Fornoglevirksomhederkanarbejdetmedatimplementerenyeprocedurerforhåndteringafpersonhenførbaredataværeganskeomfattende.Forandreeromstillingenmindretidskrævende.

Uansethvoromfattendeomstillingsprocessenerforvirksomheden,anbefalervi,atvirksomhedsledelsengiveropgavenprioritetogafsætterdenødvendigeressourcer.

Fakta:

Den 25.maj2018iværksætteshåndhævelsenafennyperson-dataforordning,somerstatterdennuværendepersondatalov.Forordningenindeholdernyereglerforbehandlingafperson-oplysninger,ogdetbetyder,atvirksomhederogoffentlige myndigheder,derbeskæftigersigmedpersondata,skal efterlevenye,skærpedekrav.

PersondataforordningenfårvirkningiheleEU. Bøderammenforovertrædelseafdenyereglerhævestil EUR20.000.000eller4%afenvirksomhedsglobaleårlige omsætning.

Dennyeforordningomfatter,ligesomdegældenderegler, enhverbehandlingafpersonhenførbaredata,herunder navn,mailadresser,fødselsdatoer,CV’er,CPR-numreosv.

OMSTILLING TIL NYE SKÆRPEDE PERSONDATAREGLER -GIVOPGAVENPRIORITET

3

Pånuværendetidspunkterdethovedsageligpersondata-loven,derindeholderkravenetildanskevirksomhedersbehandlingafpersonoplysninger.

Gældende regler - eksempler:

Enhverbehandling(dvs.altfraindtastningtilsletning)kræverhjemmel,f.eks.iformafetsamtykkeelleretlovgrundlag.

Enhverbehandlingskalopfyldenoglegrundlæggendekrav,f.eks atderikkeindsamlesflereoplysningerendnødvendigtogikkei længeretidendnødvendigt. Denregistreredeharenrækkerettigheder,f.eks.kravpåatblive oplystomenhverbehandlingogfåindsigtioplysningeromsigselv. Kravtilaftalegrundlagetmellemdendataansvarlige(typiskden virksomhed,somindsamleroplysninger)ogdatabehandleren (typiskenIT-leverandør). Kravtilsikkerhedsforholdene,bådeorganisatoriskogteknisk. VissekravvedoverførselafdatatillandeudenforEU.

VIRKSOMHEDENSFORPLIGTELSERIDAG

4

Enstordelafdenyeregler,somtræderikrafti2018, udgørskærpelseriforholdtildegældenderegler.Et megetcentraltkravertileksempel,atallevirksomhederfremoverskalhaveoverblikoverdendatabehandling, derforetagesivirksomheden.Idenforbindelseskalderudarbejdesskriftligdokumentationfor,hvilketiltagvirk-somhedenvilforetageforatoverholdedenyeregler.

Datatilsynetsharudarbejdet12spørgsmål,somendata-ansvarligvirksomhedsomminimumbørkunnesvarepå foratleveoptildenyeregler.Spørgsmålenefinderdu bagerstidennepjece.

De væsentligste ændringer:

Skærpedekravtilvirksomhedersfokuspåogoverblikoverderes behandlingafpersonoplysninger. Skærpedekravtildokumentation(persondatapolitik,organisa- toriskforankring,procedureveddatabrud,risikovurderingerved nyetiltagosv.). KontrolbesøgogstikprøverfremforanmeldelsetilDatatilsynet. Skærpedekravtilvirksomhedensorganisatoriskeogtekniske foranstaltninger(IT-systemerskalf.eks.indrettesefterprincip-perneom”PrivacybyDesign”og”PrivacybyDefault”).

Vissevirksomhederharpligttilatudpegeeninternellerekstern persondataretsekspertmedansvarforvirksomhedensbehandling(”DataProtectionOfficer”).

Dervilsomudgangspunktværepligttilatanmeldebrudpå datasikkerhedenindenfor72timer. Databehandlere(herundermangeIT-leverandører)fåretmere selvstændigtansvar. Ændredereglerneomgrænseoverskridendebehandlinger (herunderift.reglernesanvendelsesområde,”one-stop-shop” forbehandlingenafklagesagermv.).

NYE SKÆRPEDE PERSONDATAREGLER

5

NårEU-forordningentræderikraft,hævesbøderammenforovertrædelse afdenyepersondatareglertilEUR20.000.000eller4%afenvirksomheds globaleårligeomsætning.

Forlangtdeflestevirksomhedervilsvaretvære”ja”, ihvertfaldfordevirksomheder,hvordereransattemed- arbejdere.Deterderforoftestmereetspørgsmålom, hvilkeoplysningerderbehandles,hvemderharadgangtildem,hvordandebehandles,tilhvilkeformålosv.Mangevirksomhedslederevilformentligbliveoverrasketover,hvormangestederiorganisationenderskerenbehandling,somfalderindunderpersondatareglerne.Eksempelviskankontaktoplysningerpåansattehosvirksomhedensleveran-dører,virksomhedsnavneforpersonligtejedeselskaber, registreringafbrugeresbesøgpåvirksomhedenshjemme-sidemv.efteromstændighederneværeomfattet.

Mangeforskelligeaspekterspillerindpå,hvorstorenop-gavederliggerforanvirksomheden,nårdenyeprocedurerskalkortlæggesogimplementeres. Pådenæstesiderharviforsøgtatopstillenogleover-ordnederetningslinjerforforskelligetyperafvirksomheder.Fornoglevirksomhedermedføreromstillingentildenyepersondataregleretomfattendecompliancearbejde,mensarbejdetmedatomstillesigermerebegrænsetiandrevirksomheder.

ERREGLERNERELEVANTEFORDINVIRKSOMHED?

7

Mangeforskelligeaspekterharindflydelsepå,hvortidskrævendedetbliverfordenenkeltevirksomhedatleveoptildeskærpederegler.Nedenforharviopstilletnogleoverordnede(ogforsimplede)retningslinjerfor,hvoromfattendeenopgavevirksomhederneståroverfor.

BEHOVETFORCOMPLIANCEVARIERER FRAVIRKSOMHEDTILVIRKSOMHED

HURTIG OMSTILLING TIDSKRÆVENDE OMSTILLING

Harhidtilhaftstorfokuspåhåndtering afpersondataefterdegældenderegler

Håndteringafpersondataeftergældende reglerharhidtilhaftbegrænsetbevågenhed

Lille virksomhed Storvirksomhed

B2B marked B2Cmarked

IngenellerétsimpeltIT-system FlereIT-systemer,somerintegreret

Behandlerkunalm.personoplysninger Behandlerfølsommeoplysninger (race,religion,helbredsoplysningermv.)

Operererkunpådetdanskemarked Grænseoverskridendesalg,driftmv.

Aldatabehandlingskerinternt Eksterneaktørerhardeltellerdelvistadgangtilvirksomhedensdata(IT-leverandører,marketingvirkssomheder,myndighederm.fl.)

8

Nedenforerillustrerettrearketypevirksomheder,hvorvirksomhedAharetmegetbegrænsetbehovfor compliancearbejde,mensvirksomhedCharetomfattendecompliancearbejdeforansig.

TRE EKSEMPLER

Håndværkervirksomhed

Fåansatte

B2B

Simpeltbogføringssystem

Overholdergældende persondataregler

Storproduktionsvirksomhed

Over100ansatte

B2B

FlereintegreredeITsystemer,f.eks.CRM

Eksternhosting

Afdelingeriflerelande

Harikkehidtilhaftfokuspå persondatareglerne

Udlejningsvirksomhedmedmangeboliglejemål

FlereintegreredeIT-systemer

Eksternhostingoglønadministration

Behandlerfølsommeoplysningerog CPR-numre

Anvendereksterntbureautilhåndter-ingafmarkedsføringpr.mail.

Harikkehidtilhaftfokuspå persondatareglerne

VIRKSOMHED A VIRKSOMHED B VIRKSOMHED C

INTET/BEGRÆNSET OMFATTENDE

BEHOV FOR COMPLIANCE

9

Trodsvirksomhedernesforskellighederdernoglefælles retningslinjerfor,hvordanarbejdetmedatoverholdede nyepersondatareglerkangribesan.

Dethandlerførstogfremmestomatskabeoverblikovervirksomhedensdatabehandling,analyserepotentiellerisiciogmanglendeoverholdelseafreglerne,identificereind-sats-områder,fastlæggeansvarsfordelinginterntogeksternt,dokumentationafrelevanteskridttilbrugforudlevering tilmyndighederogsidstmenikkemindstforankringi organisationen–herunderretningslinjerforuddannelse afmedarbejdere.Bagerstipjecenfinderduenskabelon tilenprojektplanfortilrettelæggelsenafdeseksfaser beskrevether.

VEJENTILLOVLIG HÅNDTERINGAF PERSONDATA

Faser: 1. Overblik Detførsteskridteratfåoverblikoverdenopgave,somdenkon-kretevirksomhedståroverfor,herunderhvilkeinterne/eksterneressourcerderkræves.

2. Kortlægning af persondatabehandling Denyereglerforudsætter,atvirksomhederharoverblikoverhvilkepersondata,derbehandlesoghvordan. 3. Analysér potentielle risici Nårvirksomhedenspersondatabehandlingerkortlagt,iværksættesenundersøgelseafomvirksomhedenleveroptildenyeperson-dataregler.

4. Fastlæg indsatsområder Næstefaseeratfastlæggehvilkeindsatsområder,derskalarbejdesmedforatoverholdedenyeregler.Eksemplerpåindsatsområdererudarbejdelseafnødvendigdokumentation,uddannelseafmed- arbejdere,ændringeriadgangsforholdtilIT-systemermv.

5. Implementering Nåralleindsatsområdererbeskrevet,anbefalervi,atvirksom-hedenudarbejderenhandlingsplanmedbeskrivelseafdeenkelteindsatsområder,angivelseafhvemdereransvarligfor,atopgavenudføressamtentidsplanfor,hvornåropgavenskalværeudført.

6. Løbende kontrol Arbejdetmedatkørevirksomhedenistillingtilatoverholdede nyepersondatareglererikkeeténgangsprojekt,somslutterden 25.maj2018.Denyereglerkræverblandtandetenløbende dokumentation,udarbejdelseafenkonsekvensanalysevedhøjrisikobehandlinger,anmeldelsespligtveddatabrud,revision afpolitikkerogretningslinjeroghåndteringafklager.

10

LØBENDE KONTROL

OVERBLIK OVER COMPLIANCE-OPGAVEN

Skab overblik over hvilke persondata

virksomheden behandler

Analyser potentielle risici

FASTLÆG INDSATSOMRÅDER

Implementering

Udarbejd en handlings- og tidsplan for gennemførelse

af alle indsatsområder

11

FocusAdvokateranbefaler,atvirksomhedenlæggeren planfor,hvordanorganisationenbliverkørtistilling,så medarbejdernekanhåndterepersonhenførbaredata efterdenyeregler.

Indsatsområdernekanværevidtforskelligefravirksomhedtilvirksomhed,ogskaliøvrigtsesisammenhængmedvirksomhedensIT-strategiogøvrigetiltag.IdenforbindelsebistårFocusAdvokatergernemedrådgivning.Vikanf.eks.kommeudivirksomhedenogholderetoplægomdenyepersondataregler,derertilpassetdinvirksomhedsbehov.Viarrangererogsågerneenworkshopforvirksomhedensnøglemedarbejdere,hvorhelecompliancearbejdetkanbliveskudtigang.Efterbehovassisterervimedaltlige fraplanlægningtilanalysearbejdeogkonkreteopgaversomf.eks.skriftligdokumentation.FocusAdvokaterkanogsåvaretagetilrettelæggelsenafvirksomhedenstotalecompliance-projekt,herunderinddragelseaføvrige rådgivere(f.eks.IT-sikkerhedseksperter),valgafløsning tildokumentationsopgaven,udpegningafDPOosv.

Tilbud på rådgivning:

Kortoplægomdenyepersondatareglertilpassetvirksomhedens behov.Kr.10.000ex.moms. ½dagsworkshopmednøglemedarbejdere. Formål:Skabeoverblikogplanlæggearbejdetmedcompliance- arbejdet.Kr.30.000ex.moms. Udarbejdelseafanalyserapportmedbeskrivelseafnødvendige tiltagforatblivecompliant.Indhenttilbud. Fuldtcomplianceforløbskræddersyettilvirksomheden. Indhenttilbud.

KontaktHvisduvilvidemereom,hvordandugørdinvirksomhed klartilathåndterepersondataefterdenyeregler,erdu velkommentilatsendeenmailtiladvokatJesperLøfflerNielsen: jln@focus-advokater.dk.

Erduinteresseretiatdeltageivoreskommendepersondata- seminarerellermodtagenyhederompersondataforordningen, såsendenmailtilMetteJuhl,mj@focus-advokater.dk.

BEHOVFORRÅDGIVNING?

12

JESPERLØFFLERNIELSEN Advokat(L),Ph.D.

JesperLøfflerNielsensprimærespecialeerIT-ret,herunderIT-kontrakter,rettighedsspørgsmåliforholdtilsoftware,persondata,e-handeloginternetmarkedsføringsamttvistervedr.IT-projekterogdomænenavne.

Ijuni2016færdiggjordeJesperLøfflerNielsenet3årigtErhvervs-PhD-forløb,hvorhanharforsketiIT-ret.

JespererogsåmedstifterafSyddanskPersondataretligtNetværk,oghanunderviserpå“CertifikatiPersondataret”påSDU.

Kontakt hos Focus Advokater:

AdvokatJesperLøfflerNielsenMail:jln@focus-advokater.dkTlf.63144511.

HVISDUVILVIDEMERE

13

Datatilsynetharopstillet12spørgsmål,en dataansvarligvirksomhedsomminimumbørkunnesvarepåforatleveoptildenyeregler:

1. Harjeresorganisationkendskabtildennye databeskyttelsesforordning?

2. HvilkepersonoplysningerbehandlerI?

3. HvilkeninformationgiverIderegistrerede?

4. HvordanopfylderIderegistreredesrettigheder?

5. PåhvilketretligtgrundlagbehandlerI personoplysninger?

6. HvordanindhenterIsamtykke?

7. BehandlerIpersonoplysningerombørn?

DATATILSYNETS12SPØRGSMÅL

Læs hele vejledningen på www.datatilsynet.dk

8. HvadskalIgørevedbrudpåpersondata-sikkerheden?

9. Erjeresbehandlingerforbundetmedsærligerisici?

10. HarIindtænktdatabeskyttelseijeres it-systemer?

11. Hvemeransvarligfordatabeskyttelsesspørgsmålijeresorganisation?

12. DriverIvirksomhediflerelande?

14

FASE KONKRETE TILTAGINTERNE/EKSTERNE RESSOURCER TIDSPLAN TOVHOLDER

Overblikog planlægning

Kortlægningaf databehandling

Analyseaf potentiellerisici

Fastlægge indsatsområder

Implementering/ handlingsplan

Løbendekontrol

SKABELONTILPROJEKTPLAN

15

ODENSE ∙ Englandsgade 25 ∙ DK-5100 Odense C ∙ Tel. +45 63 14 20 20 KOLDING∙Toldbodgade10,4∙DK-6000Kolding∙Tel.+4575712020KØBENHAVN∙Amaliegade40B∙DK-1256KøbenhavnK∙Tel.+4563142020HAMBORG∙DänischeAdvokaten∙Mittelweg161∙D-20148Hamburg∙Tel.+4940249192

focus-advokater.dk