Persondata – nye regler og store bøder på vej

Af Thomas Munk Rasmussen - advokat hos Bech-Bruun

Fra maj 2018 er der skærpede krav til virksomheder, der behandler personoplysninger - krav, som virksomhederne bør forberede sig på allerede nu.

Den 14. april 2016 blev den europæiske persondataforordning vedtaget. Når forordningen træder endeligt i kraft den 25. maj 2018, erstattes det nugældende persondatadirektiv, som i Danmark er implementeret gennem persondataloven. Med forordningen følger en række skærpede krav til virksomheder og myndigheder, der behandler personoplysninger. De fleste berørte organisationer vil have brug for denne tid til at blive klar.

Persondataforordningen har været undervejs siden januar 2012 og blev endeligt vedtaget den 14. april 2016. De europæiske datatilsyn kan begynde at håndhæve forordningen fra den 25. maj 2018.

En forordning har direkte virkning i EU’s medlemsstater. Derfor må dansk ret ikke afvige fra persondataforordningen, medmindre der udtrykkeligt er adgang til dette. Medlemsstaterne har imidlertid på en række områder givet adgang til at vedtage eller fastholde nationale særregler. Dette vil desværre fortsat bidrage til en vis uensartet retstilstand i EU på området til gene for virksomheder med grænseoverskridende aktiviteter.

På flere områder er de eksisterende persondataregler i persondatadirektivet videreført, men med forordningen følger dog en række ændringer, som vil få stor betydning.

Væsentlige ændringer

Nogle af de væsentligste ændringer i forordningen angår:

  • Oplysningskategorierne
  • Skærpede krav til samtykke
  • The ”right to be forgotten”
  • ’Accountability’-krav (dokumentationskrav)
  • Konsekvensanalyse (Privacy Impact Assessment)
  • Krav til databehandlere
  • Anmeldelse ved sikkerhedsbrud
  • Data Protection Officer (DPO)
  • Sanktioner

Oplysningskategorier

I dag opererer den danske persondatalov med tre typer af personoplysninger: almindelige personoplysninger, følsomme personoplysninger og semi-følsomme personoplysninger.

Med persondataforordningen opdeles alene i kategorierne: almindelige personoplysninger og ’særlige kategorier af personoplysninger’. Oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold, som i dag udgør semi-følsomme oplysninger, kategoriseres fremover som almindelige personoplysninger. 

Skærpede krav til samtykke

Forordningen skærper kravene til et gyldigt samtykke. Der kræves et udtrykkeligt samtykke til behandling af følsomme oplysninger.

En dataansvarlig skal desuden altid kunne dokumentere, at der er afgivet samtykke, og samtykke vil ikke være et lovligt behandlingsgrundlag, hvis der er en klar ubalance mellem den registrerede og den dataansvarlige. Det er desuden et krav, at det skal være lige så let at trække et samtykke tilbage som at afgive det.

Hvis et samtykke indhentes igennem en skriftlig erklæring – for eksempel en ansættelseskontrakt eller en privacy policy – skal samtykkeanmodningen adskilles tydeligt fra øvrigt indhold.

”Right to be forgotten”

Eller ret til sletning, som det hedder i den danske version af forordningen, er meget omtalt, men er faktisk ikke en ny opfindelse. Allerede i dag har en registreret person i et vist omfang ret til at få slettet oplysninger, som er registreret om vedkommende.

Fremover skal oplysninger slettes, blandt andet når oplysningerne ikke længere er nødvendige i forhold til formålet med indsamlingen. Dette kan blandt andet være, hvis den registrerede tilbagekalder sit samtykke, eller hvis den registrerede modsætter sig behandlingen, og der ikke er tungtvejende legitime grunde til at fortsætte behandlingen.

Accountability (dokumentationskrav)

Generelt bliver dokumentationskravene for dataansvarlige og databehandlere væsentligt skærpede efter forordningen.

Dataansvarlige skal fremadrettet kunne dokumentere compliance med forordningen. Derudover skal både dataansvarlige og databehandlere, som har mere end 250 ansatte, føre en egentlig fortegnelse over behandling af personoplysninger.

Opfyldelsen af disse dokumentationskrav kan for mange virksomheder være en omfattende og tidskrævende opgave, som allerede nu bør påbegyndes.   

Konsekvensanalyse (Privacy Impact Assessment)

Både dataansvarlige og databehandlere skal vænne sig til at lave konsekvensanalyse – Privacy Impact Assessment – i forbindelse med nye behandlinger af personoplysninger, som indebærer risici for registreredes rettigheder og frihedsrettigheder i medfør af behandlingens karakter, omfang eller formål. For eksempel på grund af den teknologi der tages i brug.

Forordningen stiller visse minimumskrav til analysen.

Viser analysen en stor risiko for de registreredes rettigheder, skal Datatilsynet tages i ed i en såkaldt forudgående høring.

Krav til databehandlere

Databehandlere bliver underlagt strengere krav, end de i dag er efter persondataloven.

Dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier for implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker i overensstemmelse med forordningens krav og sikrer beskyttelse af den registreredes rettigheder. Databehandlere skal med andre ord sikre, at de kan give disse garantier for at holde på kunderne.

Det er stadig den dataansvarlige, der er ansvarlig for at indgå en tilstrækkelig databehandleraftale. Databehandleren er dog ansvarlig for at indhente den dataansvarliges samtykke, hvis oplysninger overlades til andre/nye underdatabehandlere, indgåelse af underdatabehandleraftaler med disse, samt sikring af at underdatabehandleren opfylder sine forpligtelser.

Anmeldelse af sikkerhedsbrud

Efter forordningen skal der ved sikkerhedsbrud ske anmeldelse til tilsynsmyndigheden, inden 72 timer efter sikkerhedsbruddet er kommet til kundskab, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.

Hvis et sikkerhedsbrud indebærer en høj risiko for de registreredes rettigheder, skal de pågældende underrettes uden ugrundet ophold. En databehandler skal desuden underrette den dataansvarlige om et sikkerhedsbrud uden ugrundet ophold. 

Data Protection Officer (DPO)

Visse dataansvarlige og databehandlere skal fremover have en DPO – en databeskyttelsesrådgiver - på lønningslisten. Kravet gælder for alle offentlige myndigheder og private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering. Kravet om en DPO gælder ligeledes for private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger.

Selv om en organisation ikke formelt skal have en DPO, vil det dog for langt de fleste organisationer være relevant at forankre arbejdet med at sikre compliance med persondataforordningen hos en ”DPO”/databeskyttelsesansvarlig, idet dette kan være altafgørende for forløbet, hvis tilsynsmyndigheden kommer på inspektion.

Sanktioner

Den ændring, der har påkaldt sig mest opmærksomhed, er den markante forhøjelse af bødeniveauet for overtrædelse af persondatareglerne eller for manglende overholdelse af et påbud fra en tilsynsmyndighed. Fra 25. maj 2018 risikerer virksomheder således bøder på op til 20 millioner euro eller fire procent af virksomhedens/koncernens samlede årlige globale omsætning, såfremt det beløb er højere end 20 millioner euro.

Hvordan bliver organisationen klar til persondataforordningen?

Overblik over behandling af personoplysninger og sikring af compliance kan for mange virksomheder være en omfattende og tidskrævende opgave. Virksomheder bør derfor allerede nu begynde at indrette sig i overensstemmelse med kravene i forordningen, således at der skabes et overblik over det persondataretlige compliance-niveau, inden forordningen endeligt kan håndhæves. Det kræver ledelsesopbakning, prioritering og allokering af de fornødne ressourcer.

Et compliance-projekt skal tilpasses den enkelte organisations behov, fokusområder og kultur, herunder i forhold til ansatte, kunder/forbrugere og koncernforhold. Der er ikke en ’one size fits all’ løsning. Inden et compliance-projekt iværksættes, er det dog vigtigt grundigt at klarlægge behovet og prioriteringen af interne og eksterne ressourcer, samt hvilken tidshorisont man arbejder ud fra. Mange virksomheder vil tillige have behov for at alliere sig med en ekstern rådgiver for at have tilstrækkelig viden og ekspertise til rådighed og tillige ekstra ’arme og ben’ til at drive projektet.

Et compliance-projekt kan have mange positive virkninger, idet man reducerer risikoen for bøder og dårlig medieomtale væsentligt, ligesom man internt i virksomheden får dokumenteret organisationens datastrømme, hvilket ofte fører til en klarhed over, hvor i organisationen processer kan optimeres eller forenkles.

Endelig bliver persondata compliance fremadrettet endnu et vigtigt konkurrenceparameter i forhold til kunder, samarbejdspartenere, investorer med videre.


Denne artikel bringes i samarbejde med FSR - Danske revisorer, som er en af CA's samarbejdspartnere. Artiklen har tidligere været bragt i deres magasin Signatur.