Ny lovgivning om beskyttelse af personoplysninger

Som mange har hørt, står vi over for en ny EU-forordning om beskyttelse af personoplysninger. Helt konkret træder forordningen i kraft den 25. maj 2018, og senest den dag skal alle virksomheder overholde forordningens bestemmelser. Stort set alle virksomheder behandler personoplysninger i større eller mindre omfang og bør allerede nu undersøge, hvorvidt de nye krav bliver overholdt.

Personoplysninger er enhver form for information om fysiske identificerbare personer, fx i form af billeder, køn, navne og adresser på medarbejdere eller kunder mv., og forordningen gælder, uanset om der er tale om indsamling, opbevaring, brug eller videregivelse.

Hvilke ændringer medfører persondataforordningen?
Et af de vigtigste punkter i den nye forordning er kravet om, at virksomheder skal være i stand til at dokumentere, at deres behandling af personoplysninger er lovlig. Forordningen indeholder også ændrede krav til indholdet af det samtykke, den registrerede skal give til behandlingen af deres personoplysninger. En tredje væsentlig ændring er de skærpede krav til indholdet af databehandleraftaler (aftaler mellem virksomheden og en samarbejdspartner om behandling af personoplysninger om virksomheden kunder og medarbejdere mv.).

Forordningen giver mulighed for udstedelse af bøder på op til 20 millioner Euro eller fire procent af den globale årlige koncernomsætning, afhængigt af hvad der er højest. Bødeniveauet vil dog blive fastlagt af domstolene, når de nye regler træder i kraft.

Hvilke tiltag bør gennemføres?
Patrade anbefaler, at man i virksomheden udarbejder en skriftlig politik, som beskriver, hvilke personoplysninger, der behandles, hvordan personoplysninger skal opbevares og behandles, hvordan virksomhedens procedure med indhentelse af de registreredes samtykke er, til hvem personoplysninger må overdrages, hvilke foranstaltninger man som virksomhed i øvrigt har gjort for at sikre, at personoplysninger ikke kommer uvedkommende til kendskab samt hvilken procedure virksomheden skal følge, såfremt der alligevel sker læk af personoplysninger.
Med en sådan politik vil det være lettere at påvise over for en tilsynsmyndighed, at reglerne for korrekt databehandling overholdes.

Derudover anbefales det, at alle virksomhedens aftaler (fx aftaler med leverandører, distributører, licenstagere og ansættelseskontrakter) gennemgås for at sikre, at indholdet lever op til forordningens krav.

Hvis personoplysninger overdrages til andre, bør det endvidere sikres, at virksomheden er i besiddelse af en skriftlig databehandleraftale, som opfylder de nye krav i forordningen.

Patrade kan bistå i alle led af processen med at sikre korrekt behandling af personoplysninger.