Hvorfor?

Hvorfor have fokus op Persondataforordning 679/2016
Persondataforordningen træder i kraft den 25 maj 2018, og gælder for alle virksomheder i EU og EØS. Forordningen ønsker at beskytte alle EU borgere, og fastslår at alle informationer om en fysisk person til enhver tid tilhører den fysiske person. Dvs. at en fysisk person kan kræve at virksomheden retter eller sletter alle informationer som virksomheden har om vedkommende, med mindre virksomheden har anden lovhjemmel (f.eks. indberetning af skat …) der kræver at virksomheden skal gemme oplysninger i et antal år.
En fysisk person har til enhver tid ret til, at få indsigt i, hvilke data der opbevares om vedkommende, hvor længe disse virksomheden opbevare og med hvilken lovhjemmel. Denne ret gælder alle data om vedkommende.
Derudover er det forbudt at opbevare almindelige persondata og følsomme persondata udenfor EU med mindre, at det er et godkendt tredje land. I dag er der meget få lande der er godkendte. For eksempel Grønland er IKKE med i EU, og er dags dato IKKE godkendt tredje land.

Hvad?

Hvad skal der gøres for at overholde Persondataforordning 679/2016
Persondataforordning 679/2016 er afløser for den i dag gældende ”Data Protection Directive 95/46/EC”
Der skal tages stilling til hvem der er dataansvarlig (en fra den øverste ledelse, normalt formand for bestyrelsen eller den administrerende direktør) og om der eventuelt skal udpeges en DPO (Data Protection Officer).
Der skal udarbejdes en procedurebeskrivelse for alle arbejdsgange omkring persondata og alle personer i virksomheden der arbejder med persondata skal introduceres i de relevante procedure før arbejdet påbegyndes.
Der skal indgås skriftlige aftaler med alle virksomheder og personer der opbevare eller behandler persondata for virksomheden. Hvis der f.eks. bruges ekstern virksomhed til behandling af lønudbetalinger, eller hvis du har placeret din server hos en hostings udbyder, herunder er det vigtigt at underleverandører garanterer at virksomhedens persondata aldrig placeres udenfor EU.
En forordning er en EU lov der er gældende i alle EU og EØS lande fra ikrafttrædelsesdatoen. Det er i sidste ende EU (afløseren af Artikel 29-gruppen) der afgør om, der skal udskrives en bøde, samt hvor stor den skal være. I Danmark fører Datatilsynet kontrol med virksomheder på vegne af EU.

 

Hvordan?

Hvordan kan I komme i mål med Persondataforordning 679/2016
Til at starte med er det vigtigt at gøre sig klart, at det ikke er et IT projekt, men et ledelsesprojekt, hvor IT er en del af projektet. Derfor er det vitalt, at ledelsen er med i projektet fra starten og udøver en aktiv rolle.
Projektet bør starte med, at finde de rigtige personer der skal deltage i projektet og derefter lokaliserer hvor i virksomheden man opbevarer persondata og afgøre hvilken type disse data er, hvilken behandling der fortages med disse data og hvilken lovhjemmel der er for at opbevare og behandle data.
Næste step er at udføre en GAP analyse, dvs. afklare hvad der skal ændres for, at overholde forordningen og hvordan det skal udføres.
Forordningen kræver at der passes godt på persondata i virksomheden, under hensyntagen til virksomhedens størrelse.
Projektet skal slutte med, at dokumenterer hvordan og hvorfor persondata behandles, hvad virksomheden gør for at den til enhver tid overholder forordningen. Denne dokumentation skal ajourføres ved en ændring i en behandling eller hvis der er en ny dataansvarlig eller en ny DPO. Den skal ajourføres mindst en gang årligt.
Ønsker du at læse mere om Persondataforordningen klik her.

Hvad nu hvis?

Hvad nu hvis virksomheden ikke har dokumenteret persondatabehandlingen
Hvis virksomheden har data om 1 fysisk person, der er EU borger, og denne person har bestemt sig for at chikanerer din virksomhed, har personen ret til at indberette din virksomhed for ikke at ville overholde forordningen, hvis virksomheden ikke udleverer alle personoplysninger indenfor 4 uger. Ved gentagne indberetninger øges risikoen for, at Datatilsynet beder virksomheden om at sende dokumentation for, at der er styr på behandling af persondata.
Forordningen kan udløse meget store bøder, på op til 4% af virksomhedens omsætning. Hvis virksomheden ikke har styr på dokumentationen, er der stor risiko for at Datatilsynet er tvungent til at udskrive en bøde.
EU har med Forordningen gjort det klart, at man kræver at Forordningen overholdes. Hvis en virksomhed ikke overholder Forordningen, skal Datatilsynet udskrive en bøde der kan mærkes af virksomheden. For at sikre at bøderne kan mærkes har EU det sidste ord, hvis de mener, at et givent land udskriver for små bøder.

 

  

GDPR LINKS:

SCROLL TO TOP