Ny persondataforordning skærper virksomhedernes forpligtelser

EU har vedtaget Persondataforordningen, der træder i kraft den 25. maj 2018. Persondataforordningen introducerer en række nye forpligtelser i forbindelse med virksomheders og offentlige myndigheders behandling af personoplysninger. Formålet med forordningen er at skabe en harmonisering af EU medlemsstaternes praksis samt give de registrerede større beskyttelse af deres personlige oplysninger.

Forordningens artikler står imidlertid ikke alene, idet den på nuværende tidspunkt suppleres af danske lovforarbejder, der tæller en omfattende betænkning, lovforslag til den nye Databeskyttelseslov samt fire vejledninger fra Datatilsynet.

Højere bødestraf som motivation
Det følger af betænkningen, at det danske bødeniveau for overtrædelse af persondataretten vil blive forøget væsentligt, som følge af forordningens formål om harmonisering, idet de danske bøder ikke tilnærmelsesvist er samstemmende med de øvrige medlemsstater. Bødeniveauet, som har været hyppigt omtalt i medierne, er dog ikke den eneste sanktion, idet lovforslaget tillige indeholder bestemmelse om fængselsstraf op til 6 måneder.

Samtlige virksomheder og offentlige myndigheder skal af den grund implementere tekniske og organisatoriske beskyttelsesforanstaltninger forinden forordningens ikrafttræden, da de i modsat fald risikerer bl.a. fængsels- eller bødestraf samt erstatningskrav. Dertil skal redegøres for interne processer, der skal udmunde i en persondatapolitik og foranstaltninger, der sikre en kontinuerlig overholdelse af henholdsvis forordning samt Databeskyttelseslov.

Herefter vil de fleste formentlig tænke, at virksomheden enten vil være i mål eller meget langt i forhold til forordningens krav. Faktum: Desværre ikke.

Som eksempel på en af hovedændringerne er, at indholdskravene til den dataansvarlige oplysningspligt skærpes ved indsamling af personoplysningerne, således at den registrerede kan bedømme behandlingen på et bedre oplyst grundlag.  Dette medfører, at virksomheden senest på tidspunktet for indsamlingen af personoplysninger, skal oplyse den registrerede om en lang række forhold, fx den registreredes rettigheder, hvem der behandler oplysninger og hvor længe oplysningerne opbevares. Såfremt dette ikke er udført eller oplysningen ikke overholder de fastsatte indholdskrav, vil bødeniveauet blive udmålt efter det høje bødeniveau, dvs. op til € 20.000.000 eller 4 % af den globale omsætning.

Dette er blot en brøkdel af de forpligtelser, som henholdsvis dataansvarlige samt databehandleren skal overholde, idet bl.a. databehandleraftaler skal indgås, samtykker skal indhentes, det skal undersøges, om der skal udpeges en DPO (Databeskyttelsesrådgiver samt udarbejdes en konsekvensanalyse, der skal indgås tillæg til ansættelseskontrakter m.v. En lang række forhold, foranstaltninger samt processer, der skal defineres, implementeres og dokumenteres forinden forordningens ikrafttræden.

Såfremt du har spørgsmål til artiklen, eller i relation til persondataret er du velkommen til at kontakte LOU Advokater på telefon 70 300 500 eller personadata@lou.dk.