EU Persondataforordning – Nye regler for behandling af data

En ny EU Persondataforordning er trådt i kraft, og det skal de danske virksomheder være klar til at følge. Læs generelt om reglerne her.

Mange virksomheder har sikkert hørt om den nye EU Persondataforordning, der er en ny datalov for hvordan virksomheder skal behandle personlige data. Den gamle persondatalov gælder stadig, men der er kommet en del nye regler ovenpå. Den afløser det gamle databeskyttelsesdirektiv, der netop blev gennemført ved persondataloven.

Hvorfor ny datalov?

Når kunder udveksler personlige oplysninger med en virksomhed, er det selvsagt vigtigt at de data bliver godt beskyttet, og kun brugt efter hensigten. Den nye persondataforordning, der også kaldes for Forordning (EU) 2016/679, har til formål at styrke beskyttelsen af data og at harmonisere dem så det bliver mere ens i EU.

Dataregler er altså regler der bestemmer hvilke data du må opbevare, hvor længe du må opbevare dem og hvem du må udveksle disse data med. Som virksomhed er det selvfølgelig relevant at behandle personlige data, og det kan også være relevant at udveksle dem med en 3. part, som for eksempel en anden leverandør.

Som virksomhed kommer du ikke udenom at skulle sætte dig ind i EU’s Persondataforordning. Den gælder nemlig alle virksomheder i EU, samt alle virksomheder uden for EU der handler med EU-borgere. Deadlinen for at sætte sig ind i den er 25. maj 2018, hvor den for alvor ruller ud.

Hvad skal du være opmærksom på?

Du skal være opmærksom på at indføre meget mere dokumentation, når du behandler persondata. Hver gang du behandler personlige oplysninger, skal du kunne dokumentere:

  • Hvor du har oplysningerne fra
  • Hvorfor har du dem
  • Henvisning til hvor i loven du har lov til at have dem

Du skal altså kunne dokumentere at du har styr på hvilke personlige data du må behandle, hvor du har dem fra og med hvilket formål.

Et andet krav (data protection by design) er at de systemer du bruger til at behandle personlige oplysninger skal være designet, så de automatisk overholder reglerne. Hvis for eksempel der i loven er et krav om at nogle bestemte oplysninger kun må gemmes 6 måneder, så skal dit IT system altså automatisk slette dem efter 6 måneder. Det betyder dog ikke at du skal bygge dine eksisterende systemer om, men når du fremadrettet ændrer i systemet eller indfører nye systemer skal disse regler være overholdt.

For nogle virksomheder der som kerneaktivitet behandler persondata, skal der også være en dataansvarlig person. Men dette vil ikke gælde de fleste mindre virksomheder.

Grundlæggende set er følgende princippet værd at tjekke om du overholder i din virksomhed:

  • Du skal have styr på hvilke persondata du har og hvorfor du har dem.
  • Du må kun opbevare data der har et konkret aktuelt formål.
  • Du må ikke indsamle data til senere brug.
  • Du skal have samtykke til at indsamle data.
  • Du skal informere om at et samtykke kan trækkes tilbage igen.
  • Sker der et brud på sikkerheden skal Datatilsynet underrettes.

Vær også opmærksom på at dine ansatte og kunder har nogle rettigheder til at få indsigt i data, såsom at få at vide hvilke data der er registreret om dem, at få information om at der indsamles data og at få slettet eller rettet oplysninger der ikke er rigtige.

Hvad sker der hvis jeg ikke implementerer reglerne?

Du kan som virksomhed selvfølgelig vælge at ignorere den nye EU Persondataforordning. Men hvis du gør det, kan du risikere store bøder. Du kan faktisk få bøder op til 4 procent af din omsætning eller maksimalt 20 millioner euro.

Læs mere

Jeg vil anbefale dig at sætte dig ind i den nye Persondataforordning, og du kan bl.a. læse mere på de links der er her nedenunder. Det her var lidt min egen gennemgang af hvad jeg har læst om persondataforordningen, men det er vigtigt at du sætter dig grundigt ind i emnet. Du er også velkommen til at stille spørgsmål i kommentarerne.

Der vil i de kommende måneder komme nye vejledninger for implementeringen af forordningen, og dem vil jeg også indskrive i denne artikel eller i nye artikler. Hvis du synes der mangler noget, er du derfor også velkommen til at skrive en kommentar.

0 0 votes
Article Rating

Andreas Andersen

Forfatter og grundlægger af IT-blogger.dk, der har blogget om IT-emner siden 2012. Findes på Mastodon på @aphandersen@ansico.dk

Abonner
Giv besked ved
guest

0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x