EU har som bekendt længe arbejdet med vedtagelsen af en ny Forordning, som har til formål at modernisere persondataområdet, herunder ensrette reglerne på tværs af EU. De nugældende regler er fra 1995, og er vedtaget lang tid før Facebook og andre sociale medier så dagens lys.
Der er således bred enighed om, at der er behov for en opgradering af beskyttelsen af individets rettigheder i relation til persondata. Ordlyden af Forordningen forhandles stadig på EU-plan, og der forventes enighed i begyndelsen af 2016 samt ikrafttræden to år senere. Dette kan forekomme som lang tid, men disse regler vil på en lang række områder indføre så gennemgribende ændringer, at man skal påbegynde sin forberedelse allerede nu.
DELACOUR anbefaler alle virksomheder at få afdækket, hvordan de nye regler påvirker virksomhedens processer, samarbejdsaftaler og organisation, og hvordan disse forhold ændres, således at virksomheden er i stand til at overholde de nye og skærpede krav.
Den nye EU-Forordning vil bl.a. indføre regler eller skærpelser på følgende områder:
- Begrebet ”persondata” udvides til at omfatte alt om en fysisk person.
- Øgede retskrav for borgerne, f.eks. retten til at blive glemt samt øget ret til indsigt og berigtigelse.
- Bødeniveauet for overtrædelser øges drastisk, formentlig til 2% eller 5% af virksomhedens globale koncernomsætning.
- Pligt for (større) virksomheder til at ansætte en Data Privacy Officer.
- Solidarisk ansvar for den dataansvarlige og databehandleren i visse sammenhænge.
- Centraliseret anmeldelsesprocedure.
- Begrænsning af mulighederne for at anvende ”samtykke” og ”legitim interesse” som hjemmel til databehandling.
- Pligt til notifikation i tilfælde af datatab eller sikkerhedsbrud.
- De såkaldte Binding Corporate Rules blive den nye ”golden standard” og hjemmel for overførsel af data på tværs af landegrænser inden for koncerner.
Binding Corporate Rules
De virksomheder, som i vidt omfang inden for koncernen overfører persondata om medarbejdere eller kunder ind og ud af EU, vil fremover skulle forholde sig til, hvordan dette kan ske i overensstemmelse med de nye regler. Alt tyder som nævnt på, at de såkaldte Binding Corporate Rules (BCR) fremover vil være ”nøglen” til, at virksomheder frit kan udveksle data inden for koncernen.
BCR er regler (et rammeværk), der vedtages for en koncern, der har virksomheder i flere lande. Reglerne skal være bindende for samtlige enheder og virksomheder i koncernen. Det kan være en større opgave for den enkelte virksomhed at få godkendt sit rammeværk hos datamyndighederne, ikke mindst fordi den faktuelle afdækning af virksomheders data flow og processer kan være særdeles tidskrævende.
Derfor anbefales det i god tid at begynde processen med at etablere BCR i virksomheden. Hvis du vil vide mere om reglerne og processerne for at indføre BCR, er du velkommen til at kontakte DELACOURs persondata-team.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
-medium.jpg)
-medium.jpg)
