Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Forberedelse forud for EU’s Persondataforordning, som finder anvendelse fra den 25. maj 2018

Bird & Bird
03/11/2016
IT- og telekommunikation
Forberedelse forud for EU’s Persondataforordning, som finder anvendelse fra den 25. maj 2018
Datatilsynet har udarbejdet et dokument indeholdende 12 spørgsmål, som dataansvarlige med fordel kan forholde sig til i forbindelse med den nye Persondataforordning.


Den nye Persondataforordning vil have direkte virkning i Danmark, hvilket indebærer, at hverken Danmark eller andre medlemslande i EU må eller kan foretage implementeringer eller ændringer i Forordningen. Medlemslandene må heller ikke gennem fortolkning begrænse eller ændre Forordningens regler. På den baggrund er Danmark forpligtet til at indrette dansk lovgivning i overensstemmelse med de nye regler, der finder anvendelse fra den 25. maj 2018.


Forordningen indfører en række helt nye bestemmelser, der i det væsentligste medfører, at databehandlere vil få større forpligtelser, at de registrerede får udvidet deres rettigheder og at de nationale tilsynsmyndigheder vil få skærpede håndhævelsesmuligheder. Det er derfor vigtigt, at dataansvarlige får styr på de nye regler og iværksætter foranstaltninger, der sikrer overholdelse af Forordningens regler. Datatilsynet har i den forbindelse udarbejdet et dokument, som dataansvarlige kan anvende som tjekliste, når de skal skabe sig et overblik over hovedforskellene mellem den nuværende lovgivning og den nye Persondataforordning for at kunne forstå, hvordan det vil påvirke virksomheden.

Datatilsynets 12 spørgsmål - tjeklisten

  1. Kendskab til den nye Persondataforordning:Datatilsynet understreger først og fremmest vigtigheden af, at den dataansvarlige sikrer, at beslutningstagere og nøglepersoner i virksomheden er bevidste om de nye regler. Virksomheder bør i god tid iværksætte undersøgelser om, hvordan Forordningen vil påvirke virksomheden samt afsætte de fornødne ressourcer hertil.

  2. Få styr på hvilke personoplysninger virksomheden behandler: span>Datatilsynet opfordrer virksomhederne til at undersøge, hvilke oplysninger der behandles, hvor oplysninger kommer fra og hvem oplysningerne deles med.

  3. Gennemgang af information, som virksomheden giver de registrerede:For at sikre overholdelse af Persondataforordningen er det vigtigt, at virksomheden opfylder de øgede krav om tilstrækkelig information omkring behandlingsgrundlag, behandlingstid og klagemuligheder til de registrerede. Det skal endvidere pointeres, at denne information skal være kortfattet, letforståelig, i et tydeligt og enkelt sprog.

  4. Gennemgang af rutiner til sikring af de registreredes rettigheder:De registreredes rettigheder styrkes og skærpes ved persondataforordningen. Virksomhederne bør derfor have styr på sine rutiner og procedurer, som skal sikre overholdelse af disse rettigheder. Særligt retten til dataportabilitet nødvendiggør, at virksomheden er i besiddelse af fornødne tekniske løsninger hertil.

  5. Retligt grundlag for behandling af persondata:Persondataforordningen medfører et krav om, at databehandlere skal informere de registrerede om det retlige grundlag for indsamlingen af oplysninger. De registreredes rettigheder varierer alt afhængig af det retlige grundlag for behandlingen. Virksomheder må derfor foretage en analyse, hvor det undersøges, hvilke kategorier af personoplysninger der behandles, og dokumentere konklusionerne herpå.

  6. Indhentelse af samtykke:Dataansvarlige skal kunne dokumentere, at der er givet et gyldigt samtykke til, at personlige oplysninger gøres til genstand for behandling. Virksomhederne bør forholde sig til interne procedurer for indhentelse, opbevaring og dokumentation af samtykke. Desuden må virksomheden sikre, at dennes systemer lever op til forordningens krav.

  7. Personoplysninger om børn:Forordningen yder en særlig beskyttelse af personoplysninger om børn, særligt ved informationsudveksling på sociale netværk. Databehandlere må sikre, at virksomhedens systemer og procedurer varetager børns særlige beskyttelsesværdige stilling ved indhentelse af samtykke fra forældremyndighedshaver.

  8. Procedurer i tilfælde af brud på persondatasikkerheden:Virksomhederne er underlagt en forpligtelse til at dokumentere alle slags brud på persondatasikkerheden og må sørge for at anmelde bruddet inden for 72 timer. I visse tilfælde må anmeldelse endda ske uden unødig forsinkelse, hvis der er høj risiko forbundet for en fysisk person. Virksomheden bør forholde sig til, at denne har de fornødne procedurer på plads for at opdage, rapportere og undersøge brud på sikkerheden.

  9. Særlige risikoforbundne databehandlinger:I visse tilfælde er virksomhederne pålagt at foretage en konsekvensanalyse vedrørende databeskyttelse. Dette er særligt tilfældet, hvis der i stort omfang behandles følsomme oplysninger. Analysen må indeholde en systematisk beskrivelse af alle behandlingsaktiviteter, nødvendighedsvurdering, proportionalitetsvurdering og risikovurdering samt en handlingsplan for, hvorledes konstaterede risici imødegås.  Virksomheden skal derfor forholde sig til, om der sker behandling af personoplysninger, som er forbundet med særlige risici for den registrerede.

  10. Databeskyttelse i it-systemer (privacy by design):Databehandleres it-systemer skal være gearet til at kunne efterleve de skærpede regler. Det grundlæggende princip inden for databeskyttelse er, at der ikke indsamles for megen unødvendig persondata. Virksomheden bør forholde sig til, at nuværende eller fremtidige it-systemer opfylder alle persondataforordningens krav.

  11. Databeskyttelsesrådgiver (DPO):Visse organisationer er forpligtet til at udpege en databeskyttelsesrådgiver på baggrund af faglige kvalifikationer og evnen til at udføre opgaverne stillet af forordningen. Virksomheden skal forholde sig til, om denne er underlagt en forpligtelse til at udpege en DPO, og i så fald, om virksomheden råder over en tilstrækkelig kvalificeret kandidat.

  12. One-Stop-Shop – erhvervsvirksomhed i flere lande:Såfremt virksomheden driver virksomhed i flere EU-lande, må virksomheden, i kraft af One-stop-shop-princippet, forholde sig til hvilken tilsynsmyndighed, der har ansvaret for at føre tilsyn med virksomheden på tværs af EU. Som hovedregel vil tilsynsmyndigheden, hvor virksomhedens effektive ledelse er placeret, være den ansvarlige. Virksomheden kan derfor være nødsaget til at foretage en kortlægning af, i hvilken medlemsstat virksomheden træffer sine betydningsfulde beslutninger.

    Hvis du har lyst til at læse mere omkring Datatilsynets 12 spørgsmål, kan dokumentet findes her.


For yderligere information omkring Persondataforordningen kan der henvises til den seneste relevante litteratur på området, herunder bl.a. "Persondataforordningen – en håndbog for praktikere" af Amalie Langebæk, Jesper Langemark & Nis Peter Dall samt "Den nye persondataret – Persondataforordningen" af Peter Blume.






 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Jobbørs
Nævnenes Hus søger erfarne jurister i fleksible stillinger nogle timer ugentligt
Bliv studentermedhjælper hos os og får styrket dine juridiske kompetencer!
Sjældent udbudt stilling som socialfaglig jurist i Holbæk Kommunes afdeling Børn...
Jurist med blikket rettet mod arbejdsmiljø og retssikkerhed
Udbudsjurist / Udbudskonsulent
Personlig assistent (PA) for retschefen i Forsvarsministeriet
Roskilde Universitet søger en uddannelsesjurist (fuldmægtig)
Jurist til økonomisk regulering af monopoler
Tilmeld jobagent Se alle jobs
Artikler, der kunne være relevante for dig
Politisk aftale om AI-forordningen
Politisk aftale om AI-forordningen
28/12/2023
IT- og telekommunikation, Persondata
Data Act versus GDPR – en svær balancegang
Data Act versus GDPR – en svær balancegang
09/01/2024
Persondata, IT- og telekommunikation
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
Følg Jurainfo.dk på:
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted
Vilkår for publicering af materiale Privatlivs- og cookiepolitik   |   Ret dit samtykke