Persondataforordningen

Inden udgangen af 2015 opnåedes enighed om det nærmere indhold af persondataforordningen. Persondataforordningen kan generelt siges at have til formål at skærpe kravene til virksomheder, der behandler persondata og bedre sikre enkeltpersoners rettigheder.

Hvem er omfattet?
Alle virksomheder, der behandler persondata om EU-borgere, uanset om disse er bosiddende i et EU-land eller ej, er omfattet af den nye persondataforordning.

Hvilke ændringer medfører persondataforordningen?
Det er ikke muligt på nuværende tidspunkt at opridse alle de ændringer, men af indgribende ændringer kan nævnes følgende:

Der gives flere rettigheder til enkeltpersoner, idet disse nu har en ’right to be forgotten’, der kort sagt betyder en ret til at få alt data virksomheden har på personen slettet. Derudover har enkeltpersoner ret til ved begæring, at få indsigt i virksomhedens behandling af dennes persondata. Denne begæring skal svares inden for 4 uger uden omkostninger for enkeltpersonen og på en klar og forståelig måde.

Derudover strammes kravene til virksomheders generelle behandling af persondata, ligesom der indføres flere nye tiltag, der skal være med til at sikre dette, eksempelvis:

• Alvorlige brud på persondatasikkerheden skal anmeldes til de nationale tilsynsmyndigheder inden for 72 timer. I Danmark er rette tilsynsmyndighed Datatilsynet.
• Arbejder din virksomhed med personfølsomme oplysninger som kerneområde, skal der udpeges en såkaldt Data Protection Officer (DPO).
• Alle systemer skal indrettes således, at der ikke registreres personoplysninger, før de skal bruges.

Herudover kan det generelt nævnes, at kravene til dokumentation er blevet strammere.

Hvordan skal virksomheder forholde sig til det?
Forordningen er ikke trådt i kraft endnu, men i betragtning af, at arbejdet har været i gang siden starten af 2011, synes det usandsynligt, at en endelig vedtagelse ikke skulle ske. Når der sker endelig vedtagelse, vil dette være startskuddet for en toårsfrist, der giver virksomheder tid til at omstille sig inden, forordningen træder i kraft.

Det betyder, at de fleste virksomheder allerede nu skal begynde at indstille sig på en overhaling af deres persondatapolitik og behandling af persondata, så den er i overensstemmelse med forordningen. Lever virksomheden ikke op til kravene, eller på anden måde gør brud på persondataforordningen, kan risikeres, at der skal betales op mod 20 mio. euro eller 4 % af koncernens samlede omsætning i bøde.

Det anbefales, at alle virksomheder foretager en grundig undersøgelse af deres persondatapolitik, og behandling af persondata for at afgøre på hvilke områder, der skal foretages ændringer for at sikre overensstemmelse med forordningen. Begynder denne proces tidligt, vil det også betyde at overgangen til de skærpede krav forløber så smertefrit som det nu kan lade sig gøre.

Såfremt du har spørgsmål til ovenstående, er du meget velkommen til at kontakte LOU Advokatfirma enten på info@louadvokatfirma.dk eller på tel. 70 300 500.