29. maj 2018
Nis Peter Dall, partner og advokat i Bird & Bird, giver her et lynoverblik over de nye regler.
Som udgangspunkt vil de nye regler finde anvendelse på alle, der foretager behandling af personoplysninger, dvs. både offentlige myndigheder, organisationer og virksomheder. Også virksomheder uden for EU kan blive omfattet, bl.a. hvis de tilbyder varer eller tjenester til borgere i EU. Dette er en vigtig nyskabelse i forhold til forordningens rækkevidde. De nye regler favner altså bredt, og reelt vil alle virksomheder skulle forholde sig til de nye regler.
Helt overordnet kan man sige, at man som virksomhed skal være forberedt på, at persondataforordningen vil medføre et større ansvar og flere forpligtelser i forbindelse med behandlingen af personoplysninger. Et par af de vigtigste ændringer her, må siges at være det udvidede dokumentationskrav og kravet om "privacy by design"/"privacy by default". Desuden vil nogle virksomheder skulle udpege eller ansætte en såkaldt DPO, når Forordningen træder i kraft. Derudover medfører Forordningen en styrkelse af de registreredes rettigheder, hvilket man som virksomhed også skal være forberedt på og klar til at overholde, som fx "retten til at blive glemt" og "retten til dataportabilitet.
Der er et vidt råderum for medlemsstaterne til at opretholde og indføre nationale regler om behandling af personoplysninger på en række områder. På sundhedsområdet og ansættelsesretsområdet forventes, at der vil være særlig dansk lovgivning, der skal tages højde for. Det vil i den sammenhæng også få stor betydning, hvordan de andre EU-medlemslande fortolker forordningens bestemmelser.
Jeg vil anbefale, at man som virksomhed begynder med at få skabt et overblik, en såkaldt "mapping", af de personoplysninger, som virksomheden behandler, og hvad man bruger personoplysningerne til. Det omfatter blandt andet, at man får kortlagt virksomhedens dataflows, således at man finder ud af, hvor data kommer fra, hvordan de bevæger sig rundt i virksomheden eller koncernen, og hvilke tredjeparter de sendes til, herunder om de behandles for virksomheden af tredjemand eller sendes til udlandet. Samtidig bør de fundne data klassificeres som følsomme/ikke følsomme oplysninger. Det er selvfølgelig afhængigt af virksomheden, men erfaringsmæssigt kan en sådan "mapping" være et ganske omfattende stykke arbejde. Det er derfor vigtigt, at virksomhederne kommer i gang i så god tid som muligt og får afsat de fornødne ressourcer til arbejdet, samt at ledelsen giver opbakning til projektet.
Jeg anbefaler ofte, at man får nedsat en styregruppe eller et antal "key stake holders", som er ansvarlige for at drive compliancearbejdet. Den eller de relevante personer kan udnævnes internt, fx vil en virksomhedsjurist eller en CIO være oplagt at have med i styregruppen. Det kan selvfølgelig også være nødvendigt at hente ressourcer udefra til at assistere, men det vil komme an på den enkelte virksomhed.
Bliv introduceret for EU’s Persondataforordning og lær at koble forordningens krav til standarden for informationssikkerhed, ISO/IEC 27001.
Få en introduktion til en helt ny guide, der skal hjælpe SMV’er med at håndtere de lovkrav, der kommer fra EU i forhold til cyber- og informationssikkerhed.
Med de mange cyberangreb på virksomheder, der har digitaliseret deres forretning, er cybersikkerhed blevet en nødvendig faktor. Alligevel mangler mange små og mellemstore virksomheder ressourcer og ekspertise til at tackle emnet, især med de nye l...
Torsdag den 3. oktober afholdt Dansk Standard for tredje gang den populære DS Cyberdag – en begivenhed, der tiltrak over 600 deltagere (fysisk og online) fra både private virksomheder og offentlige organisationer. Den store interesse for DS Cyberd...
Se eller gense webinaret om de nye standarder under radioudstyrsdirektivet, hvor vi sætter fokus på, hvordan de styrker cybersikkerheden.