EU-Persondataforordningen – hvad handler det egentlig om?

Hvad handler persondataforordningen om

Mange virksomhedsejere vil i de kommende måneder stille sig selv spørgsmålet ”Overholder vi mon kravene i den nye EU Persondataforordning?”.

Svaret vil højest sandsynligt være ”Nej – ikke i fuld udstrækning”.

 

I takt med at vi nærmer os skæringsdatoen – den 25. maj 2018, hvor EU Persondataforordningen træder i kraft – vil spørgsmålet om ”Hvad skal vi gøre for at efterleve reglerne”, presse sig mere og mere på. Men selv om det for nogle virksomheder kan virke som en stor mundfuld, at skulle efterleve det nye regelsæt, er opgaven ikke uoverkommelig, hvis den gribes metodisk og systematisk an.

 

I denne artikel giver PersondataSupport sit bud på:

  1. hvad EU-Persondataforordningen egentlig handler om, og
  2. hvad den kommer til at betyde for de danske virksomheder.

 

Hvornår startede snakken om persondata?

Vi skal tilbage til 1998, hvor det nuværende EU-direktiv om persondatabeskyttelse blev taget i anvendelse. Dette direktiv blev derefter reguleret i de nationale lovgivninger, og i Danmark trådte Persondataloven i kraft i juli 2000. Det er meget begrænset, hvad der er blevet ændret i loven, siden den blev implementeret. Men det er også en lov, der har levet ”det stille liv” uden ret mange sager og ret meget opmærksomhed. Det bliver med sikkerhed meget anderledes med den nye Persondataforordning!

 

Ønsket om mere kontrol over egne data

I januar 2012 fremlagde Europa-Kommissionen et forslag til en persondatareform, der skulle tilgodese et behov for øget harmonisering af reglerne i EU. Dette lå til grund i et ønske om, at kunne understøtte det digitale indre marked. Desuden var der et behov for at styrke de registreredes rettigheder, ved at give dem større kontrol over egne data i takt med den øgede informationsteknologi. Kommissionens forslag gav anledning til en omfattende diskussion imellem Europa Parlamentet, de nationale regeringer og Kommissionen.

 

Der skulle gå næsten 4 år, før der kunne opnås politisk enighed om en tekst – den blev gjort offentligt kendt i december 2015. Denne tekst er siden blevet finpudset og endeligt vedtaget i april 2016 med en 2-årige implementeringsfrist.

 

Det betyder derfor, at den danske Persondatalov sammen med EU-Persondatadirektivet er gældende ret indtil forordningen får virkning i maj 2018.

 

Forordningen bygger på velkendte principper, og blev ikke helt så vidtgående en reform, som Kommissionen lagde op til fra start af. Den indeholder dog en række væsentlig nye elementer og skærpede regler, der gør, at den nye Persondataforordning omtales som en milepæl i EU-Persondataretten.

 

Hvad er en forordning?

Det, at der er tale om en Forordning og ikke et direktiv betyder, at reglerne gælder direkte og ensartet i alle lande, hvilket bevirker, at de 99 Artikler som Forordningen indeholder, skal efterleves af alle EU lande, uden undtagelse.

 

Der er dog en fælles opfattelse af, at Forordningen efterlader mange huller og uafklarede spørgsmål, som i sidste ende sikkert vil lande til afgørelse på EU-domstolenes bord.

 

Forordningen rummer dog også muligheder for at fastsætte nationale særregler på en række områder. I Danmark er Justitsministeriets Databeskyttelseskontor trukket i arbejdstøjet, og er dermed i gang med at vurdere behovet for tilpasning af den danske lovgivning.

 

Lovpakken forventes at blive præsenteret i oktober 2017 og forventes vedtaget og træde i kraft samtidig med forordningen.

 

Hvad den kommer til at indeholde er pt. uafklaret, men en ting er sikkert – lovgivningsarbejdet har været længe undervejs.

Hvad er persondataforordningen

Den overordnede forståelsesramme

Persondataforordningen indeholder mange krav til, hvordan virksomheden skal beskytte og behandle persondata. Disse krav skal i fremtiden udmøntes i processer og politikker, der skal fungere i virksomheden på tværs af IT, jura, de enkelte afdelinger og ledelsen i virksomheden.

 

Topledelsen er ansvarlig

Helt grundlæggende forudsætter en optimal implementering en stor ledelsesmæssige forståelse og prioritering af opgaven. Det er topledelsen, der som dataansvarlige vil have det overordnede ansvar for at udstikke retningslinjerne for håndtering af virksomhedens persondata, herunder også på den systemmæssige side.

 

Der er måske ikke så meget nyt i at sikre, at man passer på virksomhedens data.

 

Det nye er bl.a., at der er krav om, at det skal kunne beskrives, hvad der skal gøres for at passe på dataene, inden man gør det. Og efterfølgende skal det også sikres, hvordan egne processer så efterleves i praksis.

 

Det er i den sammenhæng vigtigt at huske, at en god persondatapraksis ikke kan fungere med kun én person i spidsen. Det kræver, at organisationen er med på idéen, og at der er en stærk forankring hos ledelsen og den projektleder, der får til opgave at få projektet kørt rigtigt i stilling.

Et opstarts tjek

Persondataforordningen bygger på samme princip, som vi kender fra Persondataloven, nemlig princippet for god databehandling: Det betyder, at:

  • der skal være tale om lovlig, retfærdig og gennemsigtig behandling.
  • formålet med behandlingen skal være udtrykkeligt angivet og legitimt. Senere må behandlingen ikke være uforeneligt med det oprindelige formål.
  • personoplysningerne, skal være tilstrækkelige, relevante og begrænset til det nødvendige.
  • personoplysningerne skal være korrekte og om nødvendigt ajourførte.
  • personoplysninger må kun opbevares, så længe det er nødvendigt.
  • den dataansvarlige er ansvarlig for behandlingen.

Efterlever I reglerne i EU Persondataforordningen?

Download tjeklisten og få et overordnet overblik over om I som virksomhed allerede nu, overholder den nye EU Persondataforordning.

Alle virksomheder skal efterleve reglerne i EU Persondataforordningen, så viser tjeklisten at det modsatte er tilfældet, er det en god ide at tage kontakt til en af konsulenterne i PersondataSupport og aftale et uforpligtende møde, hvor vi kan fortælle, hvordan I kommer i gang og får optimal løsning.

Lene Lundquist, tlf.: 2463 9591 – mail: llu@pds.as
Per Løkken, tlf.: 2331 5014 – mail: pl@pds.as

JA TAK, jeg vil gerne have tjeklisten sendt til min mail.

Ved at udfylde formularen får du adgang til et download med tjeklisten. Samtidig tilmelder du dig vores nyhedsbrev med information om persondataforordningen og aktuelle tilbud fra PersondataSupport.