I slutningen af maj 2018 træder EU’s persondataforordning i kraft. Det betyder, at virksomheder, foreninger og offentlige myndigheder skal forholde sig til en række ændringer og nye krav set i forhold til den eksisterende datalovgivning.
Stort set alle foreninger, myndigheder og virksomheder vil blive berørt af de ændringer, som den nye EU-forordning fører med sig.
De grundlæggede principper i den nye dataforordning består af en række rettigheder og pligter.
Alle persondata tilhører som udgangspunkt den registrerede person - det uanset om man er kunde eller ansat i en virksomhed.
Rettigheder til de registrerede
Det betyder, at den enkelte har ret til at få oplyst, hvilke informationer der er registreret om vedkommende, har ret til at få berigtiget forkerte informationer, ret til at få slettet informationer, hvis der ikke er hjemmel til at gemme dem og endelig at få disse informationer overført til en ny leverandør i et format som kan læses af den nye leverandør. Dette skal altsammen ske indenfor en række tidsfrister.
Pligter til myndigheder og virksomheder:
- Myndigheder og virksomheder har fremadrettet pligt til at
- informere den enkelte om, hvad der er registreret om denne
- ændre forkerte oplysninger hvis anfordret af den registrede.
- slette informationer hvis der ikke er en hjemmel til at opbevare dem
- informere datatilsynet og alle berørte personer med det samme ved eventuelle sikkerhedsbrister. Dette skal ske efter bestemte retningslinjer.
Der er en lang række punkter, man skal have styr på, når EU’s persondataforordning træder i kraft og gøres til en del af gældende dansk lovgivning.
- Man skal have styr på, hvor organisationens persondata er placeret rent fysisk
- Man skal vide, om man har rollen som databehandler eller dataansvarlig, og hvilket ansvar, det medfører.
- Man skal have kendskab til reglerne for at ansætte en DPO (Data Protection Officer) og ligeledes have kenskab til dennes arbejdsopgaver.
- Man skal sikre sig, at der er indgået databehandleraftaler med eksterne leverandører.
- Man skal vide, at man skal oplyse om formålet med indsamlingen af persondata.
- Man skal have samtykke fra personer, som man indsamler persondata om.
- Man skal have styr på, hvilke data, en person har krav på at få overført til eksempelvis en konkurrent. Man skal også have styr på, at man udleverer data i et korrekt format.
- Man skal have styr på reglerne om retten til at blive glemt. Man skal også kende reglerne for hvornår man fortsat kan behandle persondata.
- Man skal have styr på, hvad man har pligt til at foretage sig og hvem man skal underrette ved brud på datasikkerheden.
- Man skal kendskab til kravene til privacy-by-default/privacy-by-design.
- Man skal have udarbejdet en beskrivelse af Impact Assesment.
- Man skal være i stand til at dokumentere, at man overholder persondataforordningen.
Hvornår må en virksomhed eller myndighed behandle persondata?
Det må en virksomhed eller myndighederne kun gøre, når der er hjemmel herfor.
Hjemmelsgrundlaget afhænger af typen at personoplysninger. Forordningen skelner mellem almindelige personoplysninger og følsomme personoplysninger.
Er der tale om almindelige personoplysninger, kan hjemmelsgrundlaget være:
- Den registrerede har givet samtykke til registrering
- Registreringen og behandlingen af data er afgørende for, at den dataansvarlige kan forfølge sine legitime interesser og at disse interesser vejer tungere end den registreredes interesse i at få slettet sine data.
- Registrering og behandlingen af persondata er en nødvendighed for at en kontrakt eller en eksisterende kunderelation kan gennemføres eller opretholdes.
Er der tale om følsomme personoplysninger er hjemmelsgrundlaget, at personen har givet udtrykkeligt samtykke.
Hvis en myndighed eller virksomhed ønsker at behandle persondata ud over det formål, som den registrerede har givet samtykke til, skal der indhentes et nyt samtykke fra den registrerede.