29. maj 2018

5 skarpe om persondataforordningen (GDPR)

Den 25. maj 2016 blev den nye persondataforordning (GDPR) fra EU vedtaget. Den trådte i kraft den 25. maj 2018 og indgår i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder.

Nis Peter Dall, partner og advokat i Bird & Bird, giver her et lynoverblik over de nye regler.

1. Hvilke virksomheder er omfattet af de nye regler?

Som udgangspunkt vil de nye regler finde anvendelse på alle, der foretager behandling af personoplysninger, dvs. både offentlige myndigheder, organisationer og virksomheder. Også virksomheder uden for EU kan blive omfattet, bl.a. hvis de tilbyder varer eller tjenester til borgere i EU. Dette er en vigtig nyskabelse i forhold til forordningens rækkevidde. De nye regler favner altså bredt, og reelt vil alle virksomheder skulle forholde sig til de nye regler.

2. Hvad er de vigtigste ændringer, du som virksomhed skal være klar til at overholde, 25. maj 2018?

Helt overordnet kan man sige, at man som virksomhed skal være forberedt på, at persondataforordningen vil medføre et større ansvar og flere forpligtelser i forbindelse med behandlingen af personoplysninger. Et par af de vigtigste ændringer her, må siges at være det udvidede dokumentationskrav og kravet om "privacy by design"/"privacy by default". Desuden vil nogle virksomheder skulle udpege eller ansætte en såkaldt DPO, når Forordningen træder i kraft. Derudover medfører Forordningen en styrkelse af de registreredes rettigheder, hvilket man som virksomhed også skal være forberedt på og klar til at overholde, som fx "retten til at blive glemt" og "retten til dataportabilitet.

3. Hvilke muligheder er der for en særlig national fortolkning af Persondataforordningen, og hvad kan vi forvente os i en dansk sammenhæng?

Der er et vidt råderum for medlemsstaterne til at opretholde og indføre nationale regler om behandling af personoplysninger på en række områder. På sundhedsområdet og ansættelsesretsområdet forventes, at der vil være særlig dansk lovgivning, der skal tages højde for. Det vil i den sammenhæng også få stor betydning, hvordan de andre EU-medlemslande fortolker forordningens bestemmelser.

4. Hvor ville du anbefale, at virksomheder starter, når arbejdet med efterlevelsen af Persondataforordningen sættes i gang?

Jeg vil anbefale, at man som virksomhed begynder med at få skabt et overblik, en såkaldt "mapping", af de personoplysninger, som virksomheden behandler, og hvad man bruger personoplysningerne til. Det omfatter blandt andet, at man får kortlagt virksomhedens dataflows, således at man finder ud af, hvor data kommer fra, hvordan de bevæger sig rundt i virksomheden eller koncernen, og hvilke tredjeparter de sendes til, herunder om de behandles for virksomheden af tredjemand eller sendes til udlandet. Samtidig bør de fundne data klassificeres som følsomme/ikke følsomme oplysninger. Det er selvfølgelig afhængigt af virksomheden, men erfaringsmæssigt kan en sådan "mapping" være et ganske omfattende stykke arbejde. Det er derfor vigtigt, at virksomhederne kommer i gang i så god tid som muligt og får afsat de fornødne ressourcer til arbejdet, samt at ledelsen giver opbakning til projektet.

5. Hvilke roller bør man få defineret i organisationen?

Jeg anbefaler ofte, at man får nedsat en styregruppe eller et antal "key stake holders", som er ansvarlige for at drive compliancearbejdet. Den eller de relevante personer kan udnævnes internt, fx vil en virksomhedsjurist eller en CIO være oplagt at have med i styregruppen. Det kan selvfølgelig også være nødvendigt at hente ressourcer udefra til at assistere, men det vil komme an på den enkelte virksomhed.

Har du brug for hjælp?

Bliv introduceret for EU’s Persondataforordning og lær at koble forordningens krav til standarden for informationssikkerhed, ISO/IEC 27001.