Persondataloven – En lov, der ikke længere kan ignoreres

De seneste år har vi set flere alvorlige eksempler på, at brud på sikkerheden hos virksomheder og offentlige myndigheder har ført til, at store mængder af personoplysninger er blevet lækket. Sagerne har skabt en øget opmærksomhed omkring Persondataloven, som er den primære lov i Danmark, når det gælder beskyttelse af personoplysninger.

Mediernes interesse i disse sager har medvirket til et øget fokus på beskyttelse af personoplysninger, men der er stadig rigtig mange virksomheder, der famler i blinde. Der hersker en stor usikkerhed omkring, hvordan man korrekt håndterer personoplysninger om medarbejdere, kunder osv. ”Vi gør jo ligesom alle andre, så det går nok” synes at være den dominerende indstilling.

Virksomhedernes lukkede øjne skyldes dels, at reglerne kan være svære at forstå, men også at overtrædelser hidtil ikke er blevet straffet særligt hårdt.

Store bøder og hårdere straffe på vej

Nu er der imidlertid ny lovgivning på vej fra EU i form af en ny Persondataforordning. I løbet af 2-3 år vil den nye lovgivning medføre markante stramninger af reglerne for, hvordan personoplysninger skal håndteres. Der vil ydermere blive udstedt store bøder, hvis reglerne bliver overtrådt.

De danske virksomheder har altså stadig lidt tid at løbe på. Det er dog klart at anbefale, at både de nuværende regler og de kommende krav fra EU tages alvorligt allerede nu. Det tager tid at ændre sine arbejdsgange, og da vi taler om ganske omfattende krav, er det en god idé at være på forkant. Både virksomheder, store som små, og offentlige myndigheder bør altså hurtigst muligt få integreret de procedurer, der skal sikre, at de nuværende regler bliver overholdt.

EU’s Persondataforordning – ”The right to be forgotten”

Reglerne i den kommende Persondataforordning er i høj grad en skærpelse af de eksisterende regler, kombineret med en række krav til skriftlige procedurer mv.

En grundlæggende tanke i de nye regler er ”The right to be forgotten”. Denne rettighed indebærer, at personoplysninger straks skal slettes i en række tilfælde. I dag gælder der allerede regler om, at personoplysninger skal slettes, når de ikke længere er nødvendige. Disse regler har rigtig mange virksomheder i dag svært ved at overholde.

Det overordnede formål med den kommende Persondataforordning er at skærpe beskyttelsen af personoplysninger. Det gør man blandt andet igennem regler, der tager højde for den teknologiske udvikling, som i dag er en af de store udfordringer i beskyttelsen af personoplysninger.

Et andet formål er at styrke sammenhængen mellem de nationale persondataregler i EU, blandt andet gennem et tættere samarbejde mellem de nationale databeskyttelsesmyndigheder. Dette kan blandt andet få betydning for koncerner med selskaber i flere lande.

Persondataforordningen kommer desuden til at stille højere krav til ledelsen, da der indføres krav om, at man udarbejder skriftlige procedurer og politikker for håndteringen af personoplysninger, uddannelse af medarbejdere, valg af en ”Data Protection Officer” mv.

Der indføres desuden strengere krav til samtykke, hvilket eksempelvis vil betyde, at virksomhederne skal have klare procedurer for indhentning og brug af personoplysninger fra medarbejdere og kunder.

Vigtige fakta om Danmarks Persondatalov i dag:

  • Persondataloven består af en række grundlæggende principper om behandlingen af både følsomme og ikke-følsomme personoplysninger.
  • Alle tænkelige faser i omgangen med personoplysninger er dækket af loven, herunder indsamling, brug, opbevaring, videregivelse, sletning mv.
  • Loven gælder såvel elektronisk som manuel behandling af personoplysninger, når oplysningerne er indeholdt i et register.
  • Persondataloven indeholder sikkerhedskrav, som den ansvarlige for personoplysninger skal sørge for at indrette virksomheden efter. Det indebærer blandt andet, at personoplysninger skal være teknisk og organisatorisk sikrede. Der skal være nogle klare retningslinjer for hvem, der har adgang til hvilke oplysninger, hvordan de skal håndteres osv.
  • Loven beskriver rettighederne for de personer, oplysningerne vedrører (oplysningspligt, indsigtsret mv.)
  • Loven indeholder krav om hjemmel ved behandling af personoplysninger. Det kan eksempelvis betyde at skulle indhente et samtykke, der kan være nødvendigt for at opfylde en aftale, retlig forpligtelse mv.
  • Virksomheder og offentlige myndigheder skal sørge for at have en skriftlig aftale med sin underleverandør, hvis man bruger en underleverandør til behandling af personoplysninger.
  • Virksomheder og offentlige myndigheder skal oplyse visse typer behandling af personoplysninger (ex. personaleadministration) til Datatilsynet.
  • Overholdes loven ikke, vil det medføre erstatningspligt og straf.
  • Persondataloven gælder alle virksomheder og offentlige myndigheder, uanset størrelse.

Tilmeld dig nyhedsbrevet Persondata Nyt

Vil du gerne følge tæt med i, hvad der sker inden for persondatalovgivning? Så tilmeld dig nyhedsbrevet Persondata Nyt.

I samarbejde med ADVODAN Glostrup sørger Visma for, at du altid er opdateret med seneste nyt, stort som småt, omkring Persondataforordningen fra EU og de regler, som kommer til at gælde i Danmark.

Tilmeld nyhedsbrevet her

Læs vores blogindlæg om Vismas tilgang til rollen som databehandler

Rollen som databehandler skal tages alvorligt
Indlæg skrevet af: Jesper Balsby, økonomidirektør i Visma Services Danmark A/S

Læs vores øvrige blogindlæg om den nye persondataforordning fra EU

Nye EU-krav om persondata: sådan gør du virksomheden klar
Indlæg skrevet af:  Karina Lind Bertelsen fra ADVODAN

12 minimumskrav til personaleadministration
Indlæg skrevet af:  Karina Lind Bertelsen fra ADVODAN

Persondataloven – compliance stiller krav om management!
Indlæg skrevet af:  Karina Lind Bertelsen fra ADVODAN

Karina er advokat og partner i ADVODAN Glostrup og har mange års erfaring i at rådgive mindre og mellemstore virksomheder om erhvervsjuridiske forhold i forbindelse med ex. indgåelse af kontrakter, selskabskonstruktioner, køb og salg af virksomheder, markedsføringsrettigheder og persondataloven.