Med databeskyttelsesforordningen kommer en række nye udfordringer, som virksomheder og offentlige myndigheder skal forholde sig til. Og disse regler bør prioriteres højt, for manglende overholdelse kan få store økonomiske og, i nogle tilfælde, strafferetlige konsekvenser.
Det skal du have styr på inden 25. maj 2018
Hvis jeres organisation ikke inden den 25. maj har styr på de emner, der er nævnt nedenfor, risikerer I at bryde forordningen, når den finder anvendelse. En række af bestemmelserne i forordningen, f.eks. bestemmelser om behandlingsgrundlag, samtykke og oplysningspligt, findes allerede i lignende form i den gældende persondatalov. Forordningen skærper dog disse regler og stiller strengere krav til offentlige myndigheder og virksomheder, der behandler persondata.
Følgende overordnede spørgsmål er blandt de vigtigste, I som virksomhed eller offentlig myndighed skal tage hånd om inden den 25. maj 2018 med henblik på compliance med forordningen:
- Har I overblik over hvilke personoplysninger, I behandler?
- Hvem er dataansvarlig og databehandler?
- Er der et behandlingsgrundlag for jeres behandling af personoplysninger?
- Opfylder eventuelle samtykkeerklæringer alle kravene i databeskyttelsesforordningen?
- Opfylder I oplysningspligten over for alle registrerede, og er I klar til at opfylde de registreredes øvrige rettigheder, herunder ret til indsigt?
- Har I styr på reglerne om sletning af persondata?
- Skal I udpege en databeskyttelsesrådgiver (data protection officer)?
- Kan I dokumentere, at I overholder databeskyttelsesforordningen? Lever I f.eks. op til forordningens regler om udarbejdelse af fortegnelser over behandlingsaktiviteter?
- Har I indgået de fornødne databehandleraftaler?
- Har I styr på, hvor de persondata, som I behandler, fysisk er placeret, herunder om der sker overførsel til tredjelande (lande uden for EU/EØS)?
- Har I foretaget en risikoanalyse, og har I styr på behandlingssikkerheden?
- Har I en procedure for sikkerhedsbrud?
- Er I klar til at overholde de nye krav om konsekvensanalyser, privacy by design og privacy by default?
Har I ikke allerede nu styr på ovenstående spørgsmål, anbefaler vi, at I tager hånd om disse frem mod den 25. maj 2018 med henblik på compliance med forordningens krav.
Horten bistår naturligvis gerne med konkret rådgivning.
Nationale vejledninger
Justitsministeriet og Datatilsynet har siden oktober 2017 udgivet en række vejledninger, der skal bidrage til forståelsen af Databeskyttelsesforordningen. Vejledninger dækker over en række kerneområder i databeskyttelsesforordningen.
Generelt om databeskyttelsesforordningen
I oktober 2017 udkom en introduktion til de kommende, nye regler om beskyttelse af personoplysninger. Vejledningen behandler bl.a., hvad en personoplysning er, hvornår man må behandle personoplysninger, og hvad de registreredes rettigheder er. Find vejledningen her: Databeskyttelsesforordningen - en introduktion til de kommende, nye regler om beskyttelse af personoplysninger.
Samtykke
I november 2017 blev der udsendt en vejledning angående samtykke. Vejledningen giver en kort introduktion til reglerne om samtykke som behandlingsgrundlag efter databeskyttelsesforordningen og en række eksempler på brugen af samtykke. Find vejledningen til samtykke her.
Dataansvarlige og databehandlere
I november 2017 blev der også udsendt en vejledning om dataansvarlige og databehandlere. Det er vigtigt at kende sondringen mellem dataansvarlig og databehandler, da kravene til en dataansvarlig og til en databehandler er forskellige. Vejledningen hjælper til klarlæggelsen af, hvorvidt man handler som dataansvarlig eller databehandler. Der kan dog ikke gives nogen facitliste, men vejledningen præsenterer en række generelle principper. Find vejledningen her: Vejledning om dataansvarlige og databehandlere.
Overførsel til tredjelande og internationale organisationer
I november 2017 blev der ligeledes udsendt en vejledning om overførsel af persondata til tredjelande. Vejledningen giver en kort introduktion til reglerne i databeskyttelsesforordningens kapitel V om overførsel af personoplysninger til tredjelande eller internationale organisationer. I vejledningen findes en brugervenlig kvikguide til tredjelandsoverførsel. Find vejledningen her: Vejledning om overførsel af personoplysninger til tredjelande.
Databeskyttelsesrådgivere
I december 2017 blev der udsendt en vejledning om databeskyttelsesrådgivere. Formålet med vejledningen er at redegøre for kravene i forordningen til at udpege en databeskyttelsesrådgiver, dennes opgaver, kvalifikationer, stilling og inddragelse. Modsat offentlige myndigheder er private kun i få tilfælde forpligtet til at udpege en databeskyttelsesrådgiver. Find vejledningen her: Vejledning om databeskyttelsesrådgivere.
Adfærdskodekser og certificering
I januar 2018 udsendte Datatilsynet og Justitsministeriet en vejledning, som omhandler adfærdskodekser og certificering. Ved adfærdskodekser forstås et sæt af retningslinjer, som skal bidrage til at sikre overholdelsen af databeskyttelsesforordningen, for de virksomheder der er tilsluttet. Find vejledningen her: Vejledning om adfærdskodekser og certificeringsordninger.
Fortegnelse
I februar 2018 udsendte Datatilsynet og Justitsministeriet en vejledning om fortegnelser, som bl.a. indeholder et eksempel på en fortegnelse. Find vejledningen her: Vejledning om fortegnelse.
Kommende vejledninger
Der er endvidere planlagt seks yderligere vejledninger, som ifølge Datatilsynet skulle udkomme i februar 2018. Emnerne for vejledningerne er følgende:
- Behandlingssikkerhed
- Databeskyttelse gennem design og standardindstillinger
- Konsekvensanalyse
- Håndtering af brud på persondatasikkerheden
- Registreredes rettigheder
- Databeskyttelse på det ansættelsesretlige område