mail@stormadvokatfirma.dk | 72 30 12 05 | Vi har åbent man-tors 8-16, fre 8-15
STORM > Nyheder > GDPR > Har du styr på den nye persondataforordning?
Behandling af personfølsomme oplysninger

Har du styr på den nye persondataforordning?

Der er omfattende ændringer i reglerne om persondata på vej. Hvem skal være databeskyttelsesrådgiver i din virksomhed og hvordan får du lavet konsekvensanalyser? Det er blot nogle af de emner, virksomhederne skal have taget stilling til.

Denne artikel omhandler et udsnit af de omfattende regelændringer indenfor persondataområdet, som træder i kraft med persondataforordningen den 25. maj 2018. Artiklen fokuserer på databeskyttelsesrådgivere og krav om konsekvensanalyser indenfor private virksomheder. Du får et indblik i hvad problemet er, hvordan du kan løse det og hvad konsekvensen er, hvis du ikke løser problemet.

Databeskyttelsesrådgiver

Lige nu skal virksomheder ikke udpege en såkaldt databeskyttelsesrådgiver (DPO). Persondataforordningen stiller nye krav om det. Visse virksomheder skal derfor udpege en databeskyttelsesrådgiver i fremtiden.

Problemet ved at udpege en databeskyttelsesrådgiver er, at det ofte er forbundet med udgifter, og derfor ikke altid er i virksomhedens interesse. For visse mindre virksomheder kan det også være et uforholdsmæssigt arbejde i forhold til den risiko, som virksomheden skal håndtere. Heldigvis er det ikke alle virksomheder, som får pligt til at udpege en databeskyttelsesrådgiver.

Persondataforordningen stiller tre betingelser for pligten til at udpege en databeskyttelsesrådgiver:

  • For det første skal behandling af personoplysninger være en del af virksomhedens kerneaktivitet.
  • For det andet skal der behandles personoplysninger i et stort omfang.
  • For det tredje skal virksomheden enten regelmæssigt og systematisk overvåge personer, eller behandle særlige kategorier af følsomme oplysninger i stort omfang.

De virksomheder, som skal have en databeskyttelsesrådgiver, får mulighed for at udpege en fælles databeskyttelsesrådgiver for flere virksomheder.

For nogle virksomheder kan problemet med udpegning af databeskyttelsesrådgivere løses allerede ved, at virksomheden undersøger og får klarhed over, om virksomheden overhovedet har pligt til at udpege en. For andre virksomheder kan problemet løses ved udlicitering til en ekstern, fælles databeskyttelsesrådgiver.

Det er naturligvis altid en mulighed at udpege en databeskyttelsesrådgiver, også selvom der ikke er en pligt hertil. Hvis det sker bør virksomheden være særligt opmærksom på, at databeskyttelsesrådgiverens arbejde lever op til kravene i persondataforordningen.

Konsekvensanalyser

En konsekvensanalyse, eller en såkaldt Data Protection Impact Assessment (DPIA), er en analyse af de risici og konsekvenser, som følger med, når virksomhedens aktiviteter involverer behandling af personoplysninger. Konsekvensanalysen er ikke en nyskabelse i sig selv, for Datatilsynet har tidligere anbefalet analysen.

Det nye består i at der med de nye regler stilles udtrykkeligt krav om, at virksomheder i visse tilfælde skal foretage konsekvensanalyser. Det er i denne forbindelse afgørende, om en given behandling af personoplysninger medfører en høj risiko for fysiske personers rettigheder. Der skal således foretages en konsekvensanalyse, hvis behandlingen medfører en høj risiko for, at persondataforordningens regler ikke overholdes.

Problemet ved at foretage en konsekvensanalyse er typisk, at mange virksomheder ikke ved med sikkerhed hvornår risikoen er ”høj”. Desuden kan selv velforberedte virksomheder være i tvivl om præcist hvordan en konsekvensanalyse skal udføres og hvad den som minimum skal indeholde.
Endelig forudsætter konsekvensanalysen, at virksomheden allerede har et overblik over sine datastrømme og behandlinger.

Det er naturligvis ikke muligt at vurdere risikoen ved behandling af persondata, hvis man ikke har kendskab til, hvilke behandlinger af personoplysninger, der foretages i virksomheden.

De mest grundlæggende punkter resumeres kort her.
Ved vurdering af om risikoen er høj bør der især lægges vægt på anvendelse af ny teknologi, karakteren, omfanget, sammenhængen og formålet med behandlingen, mængden af oplysninger der behandles, konsekvenserne for den registrerede ved sikkerhedsbrud mv.

Konsekvensanalysen bør især omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af risiciene, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af persondataforordningens regler.

Endeligt kan konsekvensanalysen med fordel baseres på den obligatoriske fortegning over behandlingsaktiviteter, som indføres for nogle virksomheder med persondataforordningens nye regler.

Straf eller rådgivning

Når forordningen er trådt i kraft, kan virksomheder der tilsidesætter sine pligter vedrørende data-beskyttelsesrådgivere eller konsekvensanalyser straffes med bøde på op til 10.000.000 euro eller op til 2 % af den globale årlige omsætning.

Vi anbefaler, at virksomheden tager kontakt til en professionel rådgiver. Det giver en større tryghed og et bedre resultat for de virksomheder, der ikke selv arbejder med compliance som en del af virksomhedens kernekompetence. Læs mere

Virksomheder der selv ønsker at foretage de relevante analyser kan finde vejledning, dels i persondataforordningen og Artikel-29 Gruppens nye retningslinjer, dels i den nye betænkning nr. 1565 udgivet af justitsministeriet, og dels i de mange branchepublikationer, som behandler emnet.