Sådan bliver din virksomhed klartilathåndtere
PERSONDATA efterdenyeregler!
Deterdefærrestevirksomheder,derkenderEU-forordningensnye kravtilbehandlingafpersonoplysninger.Vihåberderfor,atdenne pjecekanværemedtilatgiveetlidtklarerebilledeaf,hvordandusomvirksomhedslederskalforholdedigtildenyeregler,oghvordandukanstrukturerearbejdetmedattilpasseorganisationentildenyelovkrav.
2
Tiltrodsfor,atdennyeEU-forordningførsttræderikraft i2018,erdetpåhøjetid,atvirksomhederbegynderat forberedesigpå,hvordanpersondata,herunderoplysningerommedarbejdere,kundermv.skalhåndteresifremtiden.
Fornoglevirksomhederkanarbejdetmedatimplementerenyeprocedurerforhåndteringafpersonhenførbaredataværeganskeomfattende.Forandreeromstillingenmindretidskrævende.
Uansethvoromfattendeomstillingsprocessenerforvirksomheden,anbefalervi,atvirksomhedsledelsengiveropgavenprioritetogafsætterdenødvendigeressourcer.
Fakta:
Den 25.maj2018iværksætteshåndhævelsenafennyperson-dataforordning,somerstatterdennuværendepersondatalov.Forordningenindeholdernyereglerforbehandlingafperson-oplysninger,ogdetbetyder,atvirksomhederogoffentlige myndigheder,derbeskæftigersigmedpersondata,skal efterlevenye,skærpedekrav.
PersondataforordningenfårvirkningiheleEU. Bøderammenforovertrædelseafdenyereglerhævestil EUR20.000.000eller4%afenvirksomhedsglobaleårlige omsætning.
Dennyeforordningomfatter,ligesomdegældenderegler, enhverbehandlingafpersonhenførbaredata,herunder navn,mailadresser,fødselsdatoer,CV’er,CPR-numreosv.
OMSTILLING TIL NYE SKÆRPEDE PERSONDATAREGLER -GIVOPGAVENPRIORITET
3
Pånuværendetidspunkterdethovedsageligpersondata-loven,derindeholderkravenetildanskevirksomhedersbehandlingafpersonoplysninger.
Gældende regler - eksempler:
Enhverbehandling(dvs.altfraindtastningtilsletning)kræverhjemmel,f.eks.iformafetsamtykkeelleretlovgrundlag.
Enhverbehandlingskalopfyldenoglegrundlæggendekrav,f.eks atderikkeindsamlesflereoplysningerendnødvendigtogikkei længeretidendnødvendigt. Denregistreredeharenrækkerettigheder,f.eks.kravpåatblive oplystomenhverbehandlingogfåindsigtioplysningeromsigselv. Kravtilaftalegrundlagetmellemdendataansvarlige(typiskden virksomhed,somindsamleroplysninger)ogdatabehandleren (typiskenIT-leverandør). Kravtilsikkerhedsforholdene,bådeorganisatoriskogteknisk. VissekravvedoverførselafdatatillandeudenforEU.
VIRKSOMHEDENSFORPLIGTELSERIDAG
4
Enstordelafdenyeregler,somtræderikrafti2018, udgørskærpelseriforholdtildegældenderegler.Et megetcentraltkravertileksempel,atallevirksomhederfremoverskalhaveoverblikoverdendatabehandling, derforetagesivirksomheden.Idenforbindelseskalderudarbejdesskriftligdokumentationfor,hvilketiltagvirk-somhedenvilforetageforatoverholdedenyeregler.
Datatilsynetsharudarbejdet12spørgsmål,somendata-ansvarligvirksomhedsomminimumbørkunnesvarepå foratleveoptildenyeregler.Spørgsmålenefinderdu bagerstidennepjece.
De væsentligste ændringer:
Skærpedekravtilvirksomhedersfokuspåogoverblikoverderes behandlingafpersonoplysninger. Skærpedekravtildokumentation(persondatapolitik,organisa- toriskforankring,procedureveddatabrud,risikovurderingerved nyetiltagosv.). KontrolbesøgogstikprøverfremforanmeldelsetilDatatilsynet. Skærpedekravtilvirksomhedensorganisatoriskeogtekniske foranstaltninger(IT-systemerskalf.eks.indrettesefterprincip-perneom”PrivacybyDesign”og”PrivacybyDefault”).
Vissevirksomhederharpligttilatudpegeeninternellerekstern persondataretsekspertmedansvarforvirksomhedensbehandling(”DataProtectionOfficer”).
Dervilsomudgangspunktværepligttilatanmeldebrudpå datasikkerhedenindenfor72timer. Databehandlere(herundermangeIT-leverandører)fåretmere selvstændigtansvar. Ændredereglerneomgrænseoverskridendebehandlinger (herunderift.reglernesanvendelsesområde,”one-stop-shop” forbehandlingenafklagesagermv.).
NYE SKÆRPEDE PERSONDATAREGLER
5
NårEU-forordningentræderikraft,hævesbøderammenforovertrædelse afdenyepersondatareglertilEUR20.000.000eller4%afenvirksomheds globaleårligeomsætning.
Forlangtdeflestevirksomhedervilsvaretvære”ja”, ihvertfaldfordevirksomheder,hvordereransattemed- arbejdere.Deterderforoftestmereetspørgsmålom, hvilkeoplysningerderbehandles,hvemderharadgangtildem,hvordandebehandles,tilhvilkeformålosv.Mangevirksomhedslederevilformentligbliveoverrasketover,hvormangestederiorganisationenderskerenbehandling,somfalderindunderpersondatareglerne.Eksempelviskankontaktoplysningerpåansattehosvirksomhedensleveran-dører,virksomhedsnavneforpersonligtejedeselskaber, registreringafbrugeresbesøgpåvirksomhedenshjemme-sidemv.efteromstændighederneværeomfattet.
Mangeforskelligeaspekterspillerindpå,hvorstorenop-gavederliggerforanvirksomheden,nårdenyeprocedurerskalkortlæggesogimplementeres. Pådenæstesiderharviforsøgtatopstillenogleover-ordnederetningslinjerforforskelligetyperafvirksomheder.Fornoglevirksomhedermedføreromstillingentildenyepersondataregleretomfattendecompliancearbejde,mensarbejdetmedatomstillesigermerebegrænsetiandrevirksomheder.
ERREGLERNERELEVANTEFORDINVIRKSOMHED?
7
Mangeforskelligeaspekterharindflydelsepå,hvortidskrævendedetbliverfordenenkeltevirksomhedatleveoptildeskærpederegler.Nedenforharviopstilletnogleoverordnede(ogforsimplede)retningslinjerfor,hvoromfattendeenopgavevirksomhederneståroverfor.
BEHOVETFORCOMPLIANCEVARIERER FRAVIRKSOMHEDTILVIRKSOMHED
HURTIG OMSTILLING TIDSKRÆVENDE OMSTILLING
Harhidtilhaftstorfokuspåhåndtering afpersondataefterdegældenderegler
Håndteringafpersondataeftergældende reglerharhidtilhaftbegrænsetbevågenhed
Lille virksomhed Storvirksomhed
B2B marked B2Cmarked
IngenellerétsimpeltIT-system FlereIT-systemer,somerintegreret
Behandlerkunalm.personoplysninger Behandlerfølsommeoplysninger (race,religion,helbredsoplysningermv.)
Operererkunpådetdanskemarked Grænseoverskridendesalg,driftmv.
Aldatabehandlingskerinternt Eksterneaktørerhardeltellerdelvistadgangtilvirksomhedensdata(IT-leverandører,marketingvirkssomheder,myndighederm.fl.)
8
Nedenforerillustrerettrearketypevirksomheder,hvorvirksomhedAharetmegetbegrænsetbehovfor compliancearbejde,mensvirksomhedCharetomfattendecompliancearbejdeforansig.
TRE EKSEMPLER
Håndværkervirksomhed
Fåansatte
B2B
Simpeltbogføringssystem
Overholdergældende persondataregler
Storproduktionsvirksomhed
Over100ansatte
B2B
FlereintegreredeITsystemer,f.eks.CRM
Eksternhosting
Afdelingeriflerelande
Harikkehidtilhaftfokuspå persondatareglerne
Udlejningsvirksomhedmedmangeboliglejemål
FlereintegreredeIT-systemer
Eksternhostingoglønadministration
Behandlerfølsommeoplysningerog CPR-numre
Anvendereksterntbureautilhåndter-ingafmarkedsføringpr.mail.
Harikkehidtilhaftfokuspå persondatareglerne
VIRKSOMHED A VIRKSOMHED B VIRKSOMHED C
INTET/BEGRÆNSET OMFATTENDE
BEHOV FOR COMPLIANCE
9
Trodsvirksomhedernesforskellighederdernoglefælles retningslinjerfor,hvordanarbejdetmedatoverholdede nyepersondatareglerkangribesan.
Dethandlerførstogfremmestomatskabeoverblikovervirksomhedensdatabehandling,analyserepotentiellerisiciogmanglendeoverholdelseafreglerne,identificereind-sats-områder,fastlæggeansvarsfordelinginterntogeksternt,dokumentationafrelevanteskridttilbrugforudlevering tilmyndighederogsidstmenikkemindstforankringi organisationen–herunderretningslinjerforuddannelse afmedarbejdere.Bagerstipjecenfinderduenskabelon tilenprojektplanfortilrettelæggelsenafdeseksfaser beskrevether.
VEJENTILLOVLIG HÅNDTERINGAF PERSONDATA
Faser: 1. Overblik Detførsteskridteratfåoverblikoverdenopgave,somdenkon-kretevirksomhedståroverfor,herunderhvilkeinterne/eksterneressourcerderkræves.
2. Kortlægning af persondatabehandling Denyereglerforudsætter,atvirksomhederharoverblikoverhvilkepersondata,derbehandlesoghvordan. 3. Analysér potentielle risici Nårvirksomhedenspersondatabehandlingerkortlagt,iværksættesenundersøgelseafomvirksomhedenleveroptildenyeperson-dataregler.
4. Fastlæg indsatsområder Næstefaseeratfastlæggehvilkeindsatsområder,derskalarbejdesmedforatoverholdedenyeregler.Eksemplerpåindsatsområdererudarbejdelseafnødvendigdokumentation,uddannelseafmed- arbejdere,ændringeriadgangsforholdtilIT-systemermv.
5. Implementering Nåralleindsatsområdererbeskrevet,anbefalervi,atvirksom-hedenudarbejderenhandlingsplanmedbeskrivelseafdeenkelteindsatsområder,angivelseafhvemdereransvarligfor,atopgavenudføressamtentidsplanfor,hvornåropgavenskalværeudført.
6. Løbende kontrol Arbejdetmedatkørevirksomhedenistillingtilatoverholdede nyepersondatareglererikkeeténgangsprojekt,somslutterden 25.maj2018.Denyereglerkræverblandtandetenløbende dokumentation,udarbejdelseafenkonsekvensanalysevedhøjrisikobehandlinger,anmeldelsespligtveddatabrud,revision afpolitikkerogretningslinjeroghåndteringafklager.
10
LØBENDE KONTROL
OVERBLIK OVER COMPLIANCE-OPGAVEN
Skab overblik over hvilke persondata
virksomheden behandler
Analyser potentielle risici
FASTLÆG INDSATSOMRÅDER
Implementering
Udarbejd en handlings- og tidsplan for gennemførelse
af alle indsatsområder
11
FocusAdvokateranbefaler,atvirksomhedenlæggeren planfor,hvordanorganisationenbliverkørtistilling,så medarbejdernekanhåndterepersonhenførbaredata efterdenyeregler.
Indsatsområdernekanværevidtforskelligefravirksomhedtilvirksomhed,ogskaliøvrigtsesisammenhængmedvirksomhedensIT-strategiogøvrigetiltag.IdenforbindelsebistårFocusAdvokatergernemedrådgivning.Vikanf.eks.kommeudivirksomhedenogholderetoplægomdenyepersondataregler,derertilpassetdinvirksomhedsbehov.Viarrangererogsågerneenworkshopforvirksomhedensnøglemedarbejdere,hvorhelecompliancearbejdetkanbliveskudtigang.Efterbehovassisterervimedaltlige fraplanlægningtilanalysearbejdeogkonkreteopgaversomf.eks.skriftligdokumentation.FocusAdvokaterkanogsåvaretagetilrettelæggelsenafvirksomhedenstotalecompliance-projekt,herunderinddragelseaføvrige rådgivere(f.eks.IT-sikkerhedseksperter),valgafløsning tildokumentationsopgaven,udpegningafDPOosv.
Tilbud på rådgivning:
Kortoplægomdenyepersondatareglertilpassetvirksomhedens behov.Kr.10.000ex.moms. ½dagsworkshopmednøglemedarbejdere. Formål:Skabeoverblikogplanlæggearbejdetmedcompliance- arbejdet.Kr.30.000ex.moms. Udarbejdelseafanalyserapportmedbeskrivelseafnødvendige tiltagforatblivecompliant.Indhenttilbud. Fuldtcomplianceforløbskræddersyettilvirksomheden. Indhenttilbud.
KontaktHvisduvilvidemereom,hvordandugørdinvirksomhed klartilathåndterepersondataefterdenyeregler,erdu velkommentilatsendeenmailtiladvokatJesperLøfflerNielsen: [email protected].
Erduinteresseretiatdeltageivoreskommendepersondata- seminarerellermodtagenyhederompersondataforordningen, såsendenmailtilMetteJuhl,[email protected].
BEHOVFORRÅDGIVNING?
12
JESPERLØFFLERNIELSEN Advokat(L),Ph.D.
JesperLøfflerNielsensprimærespecialeerIT-ret,herunderIT-kontrakter,rettighedsspørgsmåliforholdtilsoftware,persondata,e-handeloginternetmarkedsføringsamttvistervedr.IT-projekterogdomænenavne.
Ijuni2016færdiggjordeJesperLøfflerNielsenet3årigtErhvervs-PhD-forløb,hvorhanharforsketiIT-ret.
JespererogsåmedstifterafSyddanskPersondataretligtNetværk,oghanunderviserpå“CertifikatiPersondataret”påSDU.
Kontakt hos Focus Advokater:
AdvokatJesperLøfflerNielsenMail:[email protected].
HVISDUVILVIDEMERE
13
Datatilsynetharopstillet12spørgsmål,en dataansvarligvirksomhedsomminimumbørkunnesvarepåforatleveoptildenyeregler:
1. Harjeresorganisationkendskabtildennye databeskyttelsesforordning?
2. HvilkepersonoplysningerbehandlerI?
3. HvilkeninformationgiverIderegistrerede?
4. HvordanopfylderIderegistreredesrettigheder?
5. PåhvilketretligtgrundlagbehandlerI personoplysninger?
6. HvordanindhenterIsamtykke?
7. BehandlerIpersonoplysningerombørn?
DATATILSYNETS12SPØRGSMÅL
Læs hele vejledningen på www.datatilsynet.dk
8. HvadskalIgørevedbrudpåpersondata-sikkerheden?
9. Erjeresbehandlingerforbundetmedsærligerisici?
10. HarIindtænktdatabeskyttelseijeres it-systemer?
11. Hvemeransvarligfordatabeskyttelsesspørgsmålijeresorganisation?
12. DriverIvirksomhediflerelande?
14
FASE KONKRETE TILTAGINTERNE/EKSTERNE RESSOURCER TIDSPLAN TOVHOLDER
Overblikog planlægning
Kortlægningaf databehandling
Analyseaf potentiellerisici
Fastlægge indsatsområder
Implementering/ handlingsplan
Løbendekontrol
SKABELONTILPROJEKTPLAN
15
ODENSE ∙ Englandsgade 25 ∙ DK-5100 Odense C ∙ Tel. +45 63 14 20 20 KOLDING∙Toldbodgade10,4∙DK-6000Kolding∙Tel.+4575712020KØBENHAVN∙Amaliegade40B∙DK-1256KøbenhavnK∙Tel.+4563142020HAMBORG∙DänischeAdvokaten∙Mittelweg161∙D-20148Hamburg∙Tel.+4940249192
focus-advokater.dk