Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Forberedelse forud for EU’s Persondataforordning, som finder anvendelse fra den 25. maj 2018

Bird & Bird
03/11/2016
Forberedelse forud for EU’s Persondataforordning, som finder anvendelse fra den 25. maj 2018
Datatilsynet har udarbejdet et dokument indeholdende 12 spørgsmål, som dataansvarlige med fordel kan forholde sig til i forbindelse med den nye Persondataforordning.


Den nye Persondataforordning vil have direkte virkning i Danmark, hvilket indebærer, at hverken Danmark eller andre medlemslande i EU må eller kan foretage implementeringer eller ændringer i Forordningen. Medlemslandene må heller ikke gennem fortolkning begrænse eller ændre Forordningens regler. På den baggrund er Danmark forpligtet til at indrette dansk lovgivning i overensstemmelse med de nye regler, der finder anvendelse fra den 25. maj 2018.


Forordningen indfører en række helt nye bestemmelser, der i det væsentligste medfører, at databehandlere vil få større forpligtelser, at de registrerede får udvidet deres rettigheder og at de nationale tilsynsmyndigheder vil få skærpede håndhævelsesmuligheder. Det er derfor vigtigt, at dataansvarlige får styr på de nye regler og iværksætter foranstaltninger, der sikrer overholdelse af Forordningens regler. Datatilsynet har i den forbindelse udarbejdet et dokument, som dataansvarlige kan anvende som tjekliste, når de skal skabe sig et overblik over hovedforskellene mellem den nuværende lovgivning og den nye Persondataforordning for at kunne forstå, hvordan det vil påvirke virksomheden.

Datatilsynets 12 spørgsmål - tjeklisten

  1. Kendskab til den nye Persondataforordning:Datatilsynet understreger først og fremmest vigtigheden af, at den dataansvarlige sikrer, at beslutningstagere og nøglepersoner i virksomheden er bevidste om de nye regler. Virksomheder bør i god tid iværksætte undersøgelser om, hvordan Forordningen vil påvirke virksomheden samt afsætte de fornødne ressourcer hertil.

  2. Få styr på hvilke personoplysninger virksomheden behandler: span>Datatilsynet opfordrer virksomhederne til at undersøge, hvilke oplysninger der behandles, hvor oplysninger kommer fra og hvem oplysningerne deles med.

  3. Gennemgang af information, som virksomheden giver de registrerede:For at sikre overholdelse af Persondataforordningen er det vigtigt, at virksomheden opfylder de øgede krav om tilstrækkelig information omkring behandlingsgrundlag, behandlingstid og klagemuligheder til de registrerede. Det skal endvidere pointeres, at denne information skal være kortfattet, letforståelig, i et tydeligt og enkelt sprog.

  4. Gennemgang af rutiner til sikring af de registreredes rettigheder:De registreredes rettigheder styrkes og skærpes ved persondataforordningen. Virksomhederne bør derfor have styr på sine rutiner og procedurer, som skal sikre overholdelse af disse rettigheder. Særligt retten til dataportabilitet nødvendiggør, at virksomheden er i besiddelse af fornødne tekniske løsninger hertil.

  5. Retligt grundlag for behandling af persondata:Persondataforordningen medfører et krav om, at databehandlere skal informere de registrerede om det retlige grundlag for indsamlingen af oplysninger. De registreredes rettigheder varierer alt afhængig af det retlige grundlag for behandlingen. Virksomheder må derfor foretage en analyse, hvor det undersøges, hvilke kategorier af personoplysninger der behandles, og dokumentere konklusionerne herpå.

  6. Indhentelse af samtykke:Dataansvarlige skal kunne dokumentere, at der er givet et gyldigt samtykke til, at personlige oplysninger gøres til genstand for behandling. Virksomhederne bør forholde sig til interne procedurer for indhentelse, opbevaring og dokumentation af samtykke. Desuden må virksomheden sikre, at dennes systemer lever op til forordningens krav.

  7. Personoplysninger om børn:Forordningen yder en særlig beskyttelse af personoplysninger om børn, særligt ved informationsudveksling på sociale netværk. Databehandlere må sikre, at virksomhedens systemer og procedurer varetager børns særlige beskyttelsesværdige stilling ved indhentelse af samtykke fra forældremyndighedshaver.

  8. Procedurer i tilfælde af brud på persondatasikkerheden:Virksomhederne er underlagt en forpligtelse til at dokumentere alle slags brud på persondatasikkerheden og må sørge for at anmelde bruddet inden for 72 timer. I visse tilfælde må anmeldelse endda ske uden unødig forsinkelse, hvis der er høj risiko forbundet for en fysisk person. Virksomheden bør forholde sig til, at denne har de fornødne procedurer på plads for at opdage, rapportere og undersøge brud på sikkerheden.

  9. Særlige risikoforbundne databehandlinger:I visse tilfælde er virksomhederne pålagt at foretage en konsekvensanalyse vedrørende databeskyttelse. Dette er særligt tilfældet, hvis der i stort omfang behandles følsomme oplysninger. Analysen må indeholde en systematisk beskrivelse af alle behandlingsaktiviteter, nødvendighedsvurdering, proportionalitetsvurdering og risikovurdering samt en handlingsplan for, hvorledes konstaterede risici imødegås.  Virksomheden skal derfor forholde sig til, om der sker behandling af personoplysninger, som er forbundet med særlige risici for den registrerede.

  10. Databeskyttelse i it-systemer (privacy by design):Databehandleres it-systemer skal være gearet til at kunne efterleve de skærpede regler. Det grundlæggende princip inden for databeskyttelse er, at der ikke indsamles for megen unødvendig persondata. Virksomheden bør forholde sig til, at nuværende eller fremtidige it-systemer opfylder alle persondataforordningens krav.

  11. Databeskyttelsesrådgiver (DPO):Visse organisationer er forpligtet til at udpege en databeskyttelsesrådgiver på baggrund af faglige kvalifikationer og evnen til at udføre opgaverne stillet af forordningen. Virksomheden skal forholde sig til, om denne er underlagt en forpligtelse til at udpege en DPO, og i så fald, om virksomheden råder over en tilstrækkelig kvalificeret kandidat.

  12. One-Stop-Shop – erhvervsvirksomhed i flere lande:Såfremt virksomheden driver virksomhed i flere EU-lande, må virksomheden, i kraft af One-stop-shop-princippet, forholde sig til hvilken tilsynsmyndighed, der har ansvaret for at føre tilsyn med virksomheden på tværs af EU. Som hovedregel vil tilsynsmyndigheden, hvor virksomhedens effektive ledelse er placeret, være den ansvarlige. Virksomheden kan derfor være nødsaget til at foretage en kortlægning af, i hvilken medlemsstat virksomheden træffer sine betydningsfulde beslutninger.

    Hvis du har lyst til at læse mere omkring Datatilsynets 12 spørgsmål, kan dokumentet findes her.


For yderligere information omkring Persondataforordningen kan der henvises til den seneste relevante litteratur på området, herunder bl.a. "Persondataforordningen – en håndbog for praktikere" af Amalie Langebæk, Jesper Langemark & Nis Peter Dall samt "Den nye persondataret – Persondataforordningen" af Peter Blume.







 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Artikler, der kunne være relevante for dig
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
EUs nye AI-forordning (AI Act) vedtages snart
EUs nye AI-forordning (AI Act) vedtages snart
26/04/2024
EU-ret, IT- og telekommunikation, Øvrige
Når klagen ikke er helt på plads
Når klagen ikke er helt på plads
21/05/2024
Udbud, IT- og telekommunikation
AI-forordningen endelig vedtaget i EU
AI-forordningen endelig vedtaget i EU
28/05/2024
EU-ret, Immaterialret, Persondata, IT- og telekommunikation
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
11/07/2024
EU-ret, IT- og telekommunikation, Øvrige
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
12/08/2024
IT- og telekommunikation, Kontraktret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted