Persondataforordningen, som mange kalder den i daglig tale, hedder reelt Databeskyttelsesforordningen. For ikke at skabe for meget forvirring omtaler vi i denne artikel Databeskyttelsesforordningen som Persondataforordningen.
Området med databeskyttelse er reguleret af Persondataforordningen og persondataloven – men hvad betyder det egentligt?
Virksomhedsejer stiller oftest spørgsmål som: ’’Overholder vi mon kravene i forhold til Persondataforordning og national lovgivning?’’ Svaret vil højest sandsynligt være ”Nej – ikke i fuld udstrækning”. Dette skyldes blandt andet, at der hele tiden sker udvikling på området.
Vi har for længst placeret skæringsdatoen den 25 maj 2018, hvor EU Persondataforordningen trådte i kraft, men spørgsmål om, hvordan reglerne efterleves er fortsat aktuelle.
Men selv om det for nogle virksomheder kan virke som en stor mundfuld, at skulle efterleve det nye regelsæt, er opgaven ikke uoverkommelig, hvis den gribes metodisk og systematisk an.
Hvornår startede snakken om persondata?
Vi skal tilbage til 1998, hvor det nuværende EU-direktiv om persondatabeskyttelse blev taget i anvendelse. Lovgivningen i et direktiv har ikke direkte virkning i medlemsstaterne, så først efter vedtagelsen af direktivet, skulle der ske regulering i de nationale lovgivninger. Persondataloven trådte i Danmark i kraft i juli 2000. I persondatalovens levetid er der kun foretaget få lovmæssige ændringer, og der har kun været få sager, som ikke har fået tilkendt betydelig opmærksomhed. Den nye lovgivning består af Persondataforordningen, hvilket betyder, at lovgivningen finder direkte anvendelse i alle medlemsstater.
Ønsket om mere kontrol over egne data
Baggrunden for Persondataforordningen var et ønske om mere kontrol over egne data. I januar 2012 fremlagde Europa-Kommissionen et forslag til en persondatareform, der skulle tilgodese et behov for øget harmonisering af reglerne i EU. Dette lå til grund i et ønske om, at kunne understøtte det digitale indre marked. Desuden var der et behov for at styrke de registreredes rettigheder, ved at give dem større kontrol over egne data i takt med den øgede informationsteknologi. Kommissionens forslag gav anledning til en omfattende diskussion imellem Europa Parlamentet, de nationale regeringer og Kommissionen. Persondataforordningen bygger på velkendte principper, og blev ikke helt så vidtgående en reform, som Kommissionen lagde op til fra start af. Den indeholder dog en række væsentlig nye elementer og skærpede regler, der gør, at den nye Persondataforordning omtales som en milepæl i EU-Persondataretten.
Hvad er en forordning?
Det, at der er tale om en Forordning og ikke et direktiv betyder, at reglerne gælder direkte og ensartet i alle lande, hvilket bevirker, at de 99 Artikler som Persondataforordningen indeholder, skal efterleves af alle EU lande, uden undtagelse.
Der er dog en fælles opfattelse af, at Persondataforordningen efterlader mange huller og uafklarede spørgsmål, som i sidste ende vil blive afgjort på EU-domstolenes bord.
Persondataforordningen rummer også muligheder for at fastsætte nationale særregler på en række områder. I Danmark udfyldes disse huller af databeskyttelsesloven.
Den overordnede forståelsesramme
Persondataforordningen indeholder mange krav til, hvordan virksomheden skal beskytte og behandle persondata. Disse krav skal i fremtiden udmøntes i processer og politikker, der skal fungere i virksomheden på tværs af IT, jura, de enkelte afdelinger og ledelsen i virksomheden.
Virksomheden er underlagt en oplysningspligt i forhold til alle de personer, hvor der behandles personoplysninger på. Virksomheden skal blandt andet oplyse om, formålet med behandlingen, varigheden samt hvis oplysningerne deles med andre parter. Oplysningspligten gælder både internt og eksternt, og omfatter derfor både kunder, potentielle kunder, medarbejdere, leverandører mm.
Topledelsen er ansvarlig
Helt grundlæggende forudsætter en optimal implementering en stor ledelsesmæssige forståelse og prioritering af opgaven. Det er topledelsen, der som dataansvarlige vil have det overordnede ansvar for at udstikke retningslinjerne for håndtering af virksomhedens persondata, herunder også på den systemmæssige side.
Der er måske ikke så meget nyt i at sikre, at man passer på virksomhedens data. Men med Persondataforordningen, kommer der ligeledes stor opmærksomhed på persondata, som virksomheden behandler.
Et krav i Persondataforordningen er, at virksomheden skal kunne klarlægge, hvordan virksomheden behandler personoplysninger, herunder ligeledes hvor og hvordan disse opbevares. Ligeledes skal virksomheden tage stilling til, hvem der har tilgang til personoplysningerne. Efterfølgende skal virksomheden sikre, at de beskrevne processer efterleves i praksis.
Det er i den sammenhæng vigtigt at huske, at en god persondatapraksis ikke kan fungere med kun én person i spidsen. Det kræver, at organisationen eller virksomheden er med på idéen, og at der er en stærk forankring hos ledelsen og den projektleder, der får til opgave at få projektet kørt rigtigt i stilling.
Et opstarts tjek
Persondataforordningen bygger på samme princip, som vi kender fra Persondataloven, nemlig princippet for god databehandling: Det betyder, at:
- Der skal være tale om lovlig, retfærdig og gennemsigtig behandling.
- Formålet med behandlingen af personoplysninger skal være udtrykkeligt angivet og legitimt. Senere må behandlingen ikke være uforeneligt med det oprindelige formål.
- Personoplysningerne, skal være tilstrækkelige, relevante og begrænset til det nødvendige.
- Personoplysningerne skal være korrekte og om nødvendigt ajourførte.
- Personoplysninger må kun opbevares, så længe det er nødvendigt.
- Den dataansvarlige er ansvarlig for behandlingen.
Læs også Databeskyttelsesforordningen - hvad handler den om? Her beskrives formålet bag Databeskyttelsesforordningen, og dermed også hvilke anvendelsesområder Databeskyttelsesforordningen dækker over.
