Persondataforordningen

En vigtig dato - 25. maj 2018.

Den ny EU persondataforordning er vedtaget og træder i kraft den 25. maj 2018.  Persondataforordningen afløser den danske persondatalov, der har været gældende i Danmark siden 2000.  Alle EU medlemslande er forpligtet af EU retten til at lade deres nationale persondataregler afløse af persondataforordningens regler. Det betyder jo så, at der fremover vil gælde ens regler om persondatabeskyttelse i hele EU.

Hastig teknologisk udvikling og globalisering er årsagen

Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget betydeligt. Teknologien giver både private selskaber og offentlige myndigheder mulighed for at udnytte personoplysninger i hidtil udset omfang.  For at den globale økonomi kan udvikle sig er det vigtigt, at der er tillid til, at fysiske personer har (én eller anden form for) kontrol over deres personoplysninger.

Teknologineutral beskyttelse –i register

Beskyttelsen skal være teknologineutral og omfatte såvel automatisk som manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt i eller vil blive indeholdt i et register.  Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier er derfor næppe omfattet af persondataforordningens anvendelsesområde. Forordningen kommer ej heller til at gælde for en fysisk persons behandling af oplysninger under en rent personlig eller familiemæssig aktivitet uden forbindelse til kommerciel aktivitet.

Udtrykkeligt angivet og legitimt formål

Som i den nuværende persondatalov er enhver behandling af oplysninger om en identificeret, eller en person, der direkte eller indirekte er identificerbar, omfattet af EU-persondataforordningen. Den dataansvarlige er ansvarlig for at få indført nødvendige tekniske og organisatoriske foranstaltninger, der kan sikre, at reglerne overholdes. 

Fra maj næste år vil der være 3 typer af virksomheder. Dem, der ikke overholder reglerne. Dem, der overholder reglerne. Og dem, der kan dokumentere, at de overholder dem fordi, der efter et forarbejde er indført skriftlige procedurer, der er instrueret om og indført i organisationen.  Da en dataansvarlig er ansvarlig for at kunne dokumentere, at der er indført passende tekniske og organisatoriske foranstaltninger bør virksomheden sørge for at gribe det systematisk an og sørge for at have dokumentationen for at tingene er implementeret som de skal, i orden. Dette kan eksempelvis gøres ved  at få udarbejdet en oversigt over hvilke af ens aktiviteter,, der kan være omfattet af forordningen. Dernæst foretages en risikovurdering og der udarbejdes en skriftlig databeskyttelsespolitik, som indføres i organisationen, så alle ved hvordan de fremadrettet skal agere og hvorledes de interne procedurer bliver fremadrettet.

En ledelsesopgave

Det er ledelsens ansvar at få etableret en projektorganisation, der på tværs af virksomheden, på baggrund af en fælles metode, udarbejder fortegnelser, foretager risikovurderingen og får udarbejdet de nødvendige skriftlige procedurer.  Procedurer om hvordan data modtages, opbevares, videregives og procedurer for sletning af data. Er en e-mail, der er slettet i Outlook, men ligger i mappen slettet post slettet?

Hvilke oplysninger  kan være tale om?

Cpr nummer. Køn, navn. Race, adresse, e-mailadresse. Seksuel overbevisning, foto. Kreditkortoplysninger. Helbredsoplysninger. Personlighedstest. Telefonnummer. Gps oplysninger. Størrelse på sko. Oplysninger fra overvågningskameraer. Oplysning om Løn. Oplysninger om sociale problemer. Andre personfølsomme oplysninger. Andre rent private oplysninger.

Skærpet krav til samtykke

Er samtykke et ord, der kan gradbøjes. Tilsyneladende. Fremover bliver kravet, at der vedrørende almindelige oplysninger er givet samtykke. Hvis der er tale om særligt følsomme oplysninger, skal der gives udtrykkelig samtykke.  En dataansvarlig skal altid kunne dokumentere at have modtaget samtykke til behandlingen af personoplysninger. Det skal desuden være lige så let at trække samtykke tilbage som det har været at give.