Er I klar til den nye persondataforordning (GDPR)?

posted in: Alle Blogs | 0

Nye og endnu strammere krav er på vej til Danmark – og resten af Europa for den sags skyld, med den nye persondataforordning, General Data Protection Regulation (GDPR), træder i kraft fra d. 25. maj 2018.

En Data Protection Officer (DPO) bliver dermed en obligatorisk del af alle virksomheder, der håndterer persondata inden for EU og har flere end 200 ansatte i organisationen. Loven er også gældende for virksomheder uden for EU, såfremt de tilbyder varer eller tjenester til EU-borgere.

 

Så tænker du måske: hvad kommer det til at betyde for mig og min virksomhed? Det vil vi forsøge at give dig overblikket over her:

  • Væsentligt forhøjet bødeniveau: Når de nye regler træder i kraft i 2018, vil der kunne udstedes administrative bøder på op til € 20 mio. eller 4 % af virksomhedens/koncernens globale omsætning. Det er en meget stor forhøjelse af bødeniveauet i forhold til, hvad der i dag gælder i Danmark.
  • Samtykke: Der kommer skærpede krav til samtykke fra den registrerede person, når der registreres oplysninger om medarbejdere eller jobansøgere. Reglerne kommer til at afhænge af den danske implementering af reglerne, f.eks. i forhold muligheden for at indhente straffeattester.
  • Databeskyttelsesansvarlig: Offentlige og visse private virksomheder skal udpege en databeskyttelsesansvarlig (en såkaldt DPO). Det kan enten være en medarbejder eller en ekstern person. Er det en medarbejder, vil vedkommende være omfattet af forordningens regler om afskedigelsesbeskyttelse.
  • One-stop-shop for koncerner: Dette skulle give en enklere persondataproces for virksomheder med aktiviteter i flere lande.
  • Virksomheder skal informere relevante myndigheder om brud på datasikkerheden.
  • Forældresamtykke: Udbydere af sociale medier og andre informationssamfundstjenester skal have forældresamtykke for at kunne behandle oplysninger om børn under 16 år. Medlemsstaterne kan vælge at sænke denne alder til 13 år
  • Flere rettigheder til de registrerede: Styrkelse af den registreredes rettigheder, herunder blandt andet “Right-to-be-forgotten”
  • Accountability: Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne

 

Hvad er en Data Protection Officer?

En Data Protection Officers (DPO) varetager en uafhængig og uvildig rolle i forhold til databeskyttelse. En af DPO’s primære roller er at sikre datasikkerheden i virksomheden. Dette betyder blandt andet, at DPO’en er den primære kontaktperson for tilsynsmyndigheder og registrerede personer, der ønsker information vedrørende deres persondata.

 

Hvem skal have en DPO?

Kan du genkende din virksomhed i et af nedenstående områder så skal i have en DPO

  • Alle offentlige myndigheder samt virksomheder, der støttes finansielt af staten
  • Private virksomheder, hvis enten den dataansvarlige eller databehandleren har en kerneaktivitet bestående af:
    • Behandling af personoplysninger, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang
    • Behandling i stort omfang af følsomme oplysninger eller oplysninger om strafbare forhold

 

Hvad skal en DPO lave?

En DPO har en lang række af opgaver i forbindelse med virksomheden databeskyttelse. Ansvarsområderne består blandt andet af:

  • Involvering i alle spørgsmål vedr. beskyttelse af persondata
  • Oplyse og rådgive dem, der behandler personoplysninger om krav efter forordningen
  • Løbende kontrollere, at virksomheden er i compliance
  • Håndtere registrerede personers forespørgsler vedr. deres persondata
  • Yde vejledning om DPIA og overvåge implementering af de tiltag, analysen giver anledning til
  • Kontaktperson for tilsynsmyndigheden
  • Er ansvarlig for at overvåge datalæk, og give besked til relevante myndigheder om eventuelle læk af persondata
  • Dokumentation af offentlige og lovgivningsmæssige krav til bortskaffelse og destruktion af data, samt tilgang til data

 

Hvilke skridt har du brug for at tage for at sikre, at din virksomhed overholder de nye Data Privacy regler?

Data er en af virksomhedens mest værdifulde aktiver. Det vigtigste skridt, der skal tages, er at sikre, at medarbejderne har gennemført den nødvendige uddannelse. Kombinationen af en IAPP Certified Information Privacy Professional/Europe (CIPP/EU) og Certified Information Privacy Manager (CIPM) eller kombinationskurset Certified Information Privacy Professional and Manager prep course (CIPPE-CIPM) er det, der skal til for at medarbejderne er klædt rigtigt på.

Del denne side:

Leave a Reply