Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Forberedelse forud for EU’s Persondataforordning, som finder anvendelse fra den 25. maj 2018

Bird & Bird
03/11/2016
231
Forberedelse forud for EU’s Persondataforordning, som finder anvendelse fra den 25. maj 2018
Bird & Bird logo
Datatilsynet har udarbejdet et dokument indeholdende 12 spørgsmål, som dataansvarlige med fordel kan forholde sig til i forbindelse med den nye Persondataforordning.


Den nye Persondataforordning vil have direkte virkning i Danmark, hvilket indebærer, at hverken Danmark eller andre medlemslande i EU må eller kan foretage implementeringer eller ændringer i Forordningen. Medlemslandene må heller ikke gennem fortolkning begrænse eller ændre Forordningens regler. På den baggrund er Danmark forpligtet til at indrette dansk lovgivning i overensstemmelse med de nye regler, der finder anvendelse fra den 25. maj 2018.


Forordningen indfører en række helt nye bestemmelser, der i det væsentligste medfører, at databehandlere vil få større forpligtelser, at de registrerede får udvidet deres rettigheder og at de nationale tilsynsmyndigheder vil få skærpede håndhævelsesmuligheder. Det er derfor vigtigt, at dataansvarlige får styr på de nye regler og iværksætter foranstaltninger, der sikrer overholdelse af Forordningens regler. Datatilsynet har i den forbindelse udarbejdet et dokument, som dataansvarlige kan anvende som tjekliste, når de skal skabe sig et overblik over hovedforskellene mellem den nuværende lovgivning og den nye Persondataforordning for at kunne forstå, hvordan det vil påvirke virksomheden.

Datatilsynets 12 spørgsmål - tjeklisten

  1. Kendskab til den nye Persondataforordning:Datatilsynet understreger først og fremmest vigtigheden af, at den dataansvarlige sikrer, at beslutningstagere og nøglepersoner i virksomheden er bevidste om de nye regler. Virksomheder bør i god tid iværksætte undersøgelser om, hvordan Forordningen vil påvirke virksomheden samt afsætte de fornødne ressourcer hertil.

  2. Få styr på hvilke personoplysninger virksomheden behandler: span>Datatilsynet opfordrer virksomhederne til at undersøge, hvilke oplysninger der behandles, hvor oplysninger kommer fra og hvem oplysningerne deles med.

  3. Gennemgang af information, som virksomheden giver de registrerede:For at sikre overholdelse af Persondataforordningen er det vigtigt, at virksomheden opfylder de øgede krav om tilstrækkelig information omkring behandlingsgrundlag, behandlingstid og klagemuligheder til de registrerede. Det skal endvidere pointeres, at denne information skal være kortfattet, letforståelig, i et tydeligt og enkelt sprog.

  4. Gennemgang af rutiner til sikring af de registreredes rettigheder:De registreredes rettigheder styrkes og skærpes ved persondataforordningen. Virksomhederne bør derfor have styr på sine rutiner og procedurer, som skal sikre overholdelse af disse rettigheder. Særligt retten til dataportabilitet nødvendiggør, at virksomheden er i besiddelse af fornødne tekniske løsninger hertil.

  5. Retligt grundlag for behandling af persondata:Persondataforordningen medfører et krav om, at databehandlere skal informere de registrerede om det retlige grundlag for indsamlingen af oplysninger. De registreredes rettigheder varierer alt afhængig af det retlige grundlag for behandlingen. Virksomheder må derfor foretage en analyse, hvor det undersøges, hvilke kategorier af personoplysninger der behandles, og dokumentere konklusionerne herpå.

  6. Indhentelse af samtykke:Dataansvarlige skal kunne dokumentere, at der er givet et gyldigt samtykke til, at personlige oplysninger gøres til genstand for behandling. Virksomhederne bør forholde sig til interne procedurer for indhentelse, opbevaring og dokumentation af samtykke. Desuden må virksomheden sikre, at dennes systemer lever op til forordningens krav.

  7. Personoplysninger om børn:Forordningen yder en særlig beskyttelse af personoplysninger om børn, særligt ved informationsudveksling på sociale netværk. Databehandlere må sikre, at virksomhedens systemer og procedurer varetager børns særlige beskyttelsesværdige stilling ved indhentelse af samtykke fra forældremyndighedshaver.

  8. Procedurer i tilfælde af brud på persondatasikkerheden:Virksomhederne er underlagt en forpligtelse til at dokumentere alle slags brud på persondatasikkerheden og må sørge for at anmelde bruddet inden for 72 timer. I visse tilfælde må anmeldelse endda ske uden unødig forsinkelse, hvis der er høj risiko forbundet for en fysisk person. Virksomheden bør forholde sig til, at denne har de fornødne procedurer på plads for at opdage, rapportere og undersøge brud på sikkerheden.

  9. Særlige risikoforbundne databehandlinger:I visse tilfælde er virksomhederne pålagt at foretage en konsekvensanalyse vedrørende databeskyttelse. Dette er særligt tilfældet, hvis der i stort omfang behandles følsomme oplysninger. Analysen må indeholde en systematisk beskrivelse af alle behandlingsaktiviteter, nødvendighedsvurdering, proportionalitetsvurdering og risikovurdering samt en handlingsplan for, hvorledes konstaterede risici imødegås.  Virksomheden skal derfor forholde sig til, om der sker behandling af personoplysninger, som er forbundet med særlige risici for den registrerede.

  10. Databeskyttelse i it-systemer (privacy by design):Databehandleres it-systemer skal være gearet til at kunne efterleve de skærpede regler. Det grundlæggende princip inden for databeskyttelse er, at der ikke indsamles for megen unødvendig persondata. Virksomheden bør forholde sig til, at nuværende eller fremtidige it-systemer opfylder alle persondataforordningens krav.

  11. Databeskyttelsesrådgiver (DPO):Visse organisationer er forpligtet til at udpege en databeskyttelsesrådgiver på baggrund af faglige kvalifikationer og evnen til at udføre opgaverne stillet af forordningen. Virksomheden skal forholde sig til, om denne er underlagt en forpligtelse til at udpege en DPO, og i så fald, om virksomheden råder over en tilstrækkelig kvalificeret kandidat.

  12. One-Stop-Shop – erhvervsvirksomhed i flere lande:Såfremt virksomheden driver virksomhed i flere EU-lande, må virksomheden, i kraft af One-stop-shop-princippet, forholde sig til hvilken tilsynsmyndighed, der har ansvaret for at føre tilsyn med virksomheden på tværs af EU. Som hovedregel vil tilsynsmyndigheden, hvor virksomhedens effektive ledelse er placeret, være den ansvarlige. Virksomheden kan derfor være nødsaget til at foretage en kortlægning af, i hvilken medlemsstat virksomheden træffer sine betydningsfulde beslutninger.

    Hvis du har lyst til at læse mere omkring Datatilsynets 12 spørgsmål, kan dokumentet findes her.


For yderligere information omkring Persondataforordningen kan der henvises til den seneste relevante litteratur på området, herunder bl.a. "Persondataforordningen – en håndbog for praktikere" af Amalie Langebæk, Jesper Langemark & Nis Peter Dall samt "Den nye persondataret – Persondataforordningen" af Peter Blume.







 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 29.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
K04: Ny standardkontrakt for it-drift langt om længe offentliggjort
K04: Ny standardkontrakt for it-drift langt om længe offentliggjort
01/09/2020
IT- og telekommunikation
Digitaliseringsstyrelsen lancerer ny standard it-driftsaftale
Digitaliseringsstyrelsen lancerer ny standard it-driftsaftale
31/08/2020
IT- og telekommunikation, Kontraktret
Ny statslig standard­kontrakt for IT-driftsydelser offentlig­gjort
Ny statslig standard­kontrakt for IT-driftsydelser offentlig­gjort
27/08/2020
IT- og telekommunikation, Kontraktret
Ny telelov skal sikre bedre vilkår for konkurrencen på telemarkedet og skabe ny, digital infrastruktur
Ny telelov skal sikre bedre vilkår for konkurrencen på telemarkedet og skabe ny, digital infrastruktur
30/06/2020
IT- og telekommunikation
COVID-19: Særlige forhold for IT-virksomheder
COVID-19: Særlige forhold for IT-virksomheder
16/03/2020
IT- og telekommunikation
Nye krav til cybersikkerhed i staten – få et overblik her
Nye krav til cybersikkerhed i staten – få et overblik her
04/11/2019
IT- og telekommunikation
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted