Måske ser du ligesom mange andre virksomheder introduktionen af GDPR den 25. Maj 2018 som et næsten uoverstigeligt problem, men vi tror at mange af jer, kan høste en gevinst på lidt længere sigt.

    Hvis I som virksomhed opnår en effektiv compliance til de nye regler, vil det give jer bedre kendskab til egne processer, muligheder og begrænsninger, som kan give et bedre grundlag for jeres strategiske beslutninger. Efterlevelse af GDPR kan også give betydelige konkurrencefordele i.f.t. konkurrenter, der ikke overholder persondataforordningen, og som dermed risikerer store bøder og forhastede investeringer i GDPR compliance.

    Hos Siscon rådgiver vi dig til at planlægge jeres GDPR indsats efter nedenstående model. Modellen indeholder 6 faser, som er delvist overlappende. Vores værktøj – ControlManager™ – kan sammen med rådgivning fra vores kompetente konsulenter føre dig trygt gennem hele processen og sikre en hurtig og varig overholdelse af de nye regler i EU Persondataforordningen. Læs mere om de 6 faser her.

    Baggrunden for GDPR

    I 2016 blev der vedtaget nye regler for behandling af personoplysninger i form af EU-forordningen (General Data Protection Regulation, GDPR) som træder i kraft den 25. maj 2018. De nye regler erstatter i Danmark loven om behandling af personoplysninger fra 2001.

    Struktur i GDPR

    Persondataforordningen er grundlæggende opbygget omkring 7 hovedområder:

    1.  Indledningsvis fastlægges det hvilke informationer og hvilke individer, der er omfattet af forordningen. Her sondres mellem dem, som personoplysningen vedrører (de registrerede), dem der har ansvaret for databehandlingen (dataansvarlige) og dem som udfører databehandlingen på vegne af de dataansvarlige (databehandlere).
    2. I modsætning til tidligere skelnes der nu kun mellem almindelige og personfølsomme oplysninger. Forordningen kategoriserer personoplysningerne ud fra hvor følsomme de vurderes til at være. Virksomhederne skal vurdere, hvilke oplysninger de ønsker at behandle, og efterfølgende vurdere om de har et retsligt grundlag for dette.
    3. Der findes i forordningen en række principper for behandlingen af personoplysningerne:
      • Den skal være lovlig. Hvis behandlingen af almindelige personoplysninger skal være lovlig kræver det et frit, specifikt, informeret og utvetydigt samtykke. Praktisk betyder det, at de registrerede accepterer ved klik i en boks, eller på anden vis udviser en adfærd der tilkendegiver samtykket. Den dataansvarlige har pligt til at dokumentere samtykket og i tilfælde af personfølsomme oplysninger skal samtykket ydermere afgives eksplicit.
      • Den skal være fair
      • Der skal være transparens
      • De må kun bruges til et specifikt, eksplicit og legitimt formål
      • Der må ikke indsamles flere oplysninger end nødvendigt
      • Oplysningerne skal være korrekte og opdaterede
      • Oplsyningerne må ikke lagres længere end nødvendigt
      • Oplysningerne skal beskyttes via sikkerhedsforanstaltninger ud fra konkret risikovurdering
    4. De registrerede har en række rettigheder i.f.t. databehandlingen:
      • Ret til at blive informeret om behandlingen og ret til at få rettet eller slettet personoplysninger. Den registrerede har i en række tilfælde ret til at få slettet sine oplysninger. Den dataansvarlige skal, hvis oplysningerne er blevet offentliggjort af den dataansvarlige, og den dataansvarlige pålægges at slette disse personoplysninger, samt tage rimelige skridt til at andre dataansvarlige, som også behandler disse oplysninger, sletter personoplysningerne eller links hertil.
      • Ret til at få deres oplysninger udleveret så de kan bringes videre til anden tjenesteudbyder. Den registrerede kan kræve sine personoplysninger udleveret i et struktureret, almindeligt anvendt og maskinlæsbart format så de registrerede kan sende personoplysningerne til en anden dataansvarlig. Formålet er at gøre det let for den registrerede at få overblik over sine data og nemt at overføre dem til en konkurrerende serviceudbyder.
      • Ret til ikke at blive profileret. Den registrerede har krav på ikke at blive profileret på baggrund af automatiserede databehandlinger, som har retsvirkning eller betydelige konsekvenser. Profilering må altså ikke bruges til fx kreditvurderinger eller e-rekruttering. Der kan dog stadig indhentes samtykke til fx markedsføringsformål.
      • Ret til at få hjælp til at udøve sine rettigheder fra den dataansvarlige.
      • Ret til at få oplyst den dataansvarliges kontaktinformation
      • Ret til at kende formålet med behandlingen
      • Ret til at kende lovligheden af behandlingen
      • Ret til at kende perioden for behandlingen (inkl. lagring)
      • Ret til at gøre indsigelse og begrænse behandlingen
      • Muligheden for at trække samtykket tilbage
      • Muligheden for at klage til Datatilsynet
      • Angivelse af om behandlingen indgår i en profilering.
    5. Den dataansvarlige har ansvaret for at behandlingen af personoplysninger er i overensstemmelse med forordningen. Det indebærer, at de skal beskytte personoplysninger tilstrækkeligt og i et vist omfang integrere beskyttelse af personoplysninger i deres IT-systemer. Disse tiltag skal baseres på en risikoanalyse og i visse tilfælde en konsekvensanalyse (Data Protection Impact Assessment, DPIA og Privacy Impact Assessment, PIA). Altså skal den dataansvarlige sørge for:
      • Beskyttelse gennem fx pseudonymisering og kryptering af personoplysninger skal i en række tilfælde integreres i IT-løsningen.
      • Der skal udarbejdes dokumentation, for den databehandling der foretages.
      • De nødvendige sikkerhedsforanstaltninger skal sikres.
      • Datatilsynet skal informeres omkring hændelser, der har kompromiteret personoplysningerne.
      • Der skal i visse tilfælde foretages en konsekvensanalyse ud fra de registreredes synspunkt ved at oplysningerne behandles.
      • Der skal i visse tilfælde udpeges en databeskyttelsesrådgiver (DPO)
      • Den obligatoriske anmeldelse til Datatilsynet omkring behandling af personoplysninger bortfalder delvist. Hvis der behandles personoplysninger, som kan udsætte de registrerede for særlige risici, skal der i visse tilfælde alligevel foretages anmeldelse.
      • Databehandleren er forpligtet til at hjælpe den dataansvarlige med at efterleve dele af forpligtelserne, og pligt til at informere den dataansvarlige hvis de vurderer, at en instruktion er ulovlig.
    6. Udover ovenstående generelle forhold eksisterer der en række specifikke forhold, som virksomheden skal forholde sig til. Disse forhold træder i kraft i særlige tilfælde:
      • Hvis den dataansvarlige eller databehandleren overfører personoplysninger ud af EU
      • Hvis der indenfor branchen er særlige adfærdskodeks eller certificeringer som skal efterleves
      • Hvis der er særlige regler for visse branchers behandling på nationalt plan.
    7. Endelig indeholder forordningen en række forhold, som primært retter sig mod de nationale tilsynsmyndigheder, men som kan være nyttige for virksomhederne at sætte sig ind i. Den dataansvarlige skal fremover som hovedregel alene interagere med datatilsynet i det EU-land, hvor virksomheden foretager beslutninger vedrørende databehandlingen. Dermed får hver virksomhed som hovedregel kun et datatilsyn at samarbejde med.
    OVERFØRSEL TIL TREDJELANDE

    Der kan overføres personoplysninger til tredjelande ved anvendelse af standardkontrakter (Standard Contractual Clauses, SCC), Binding Corporate Rules (BCR) og via de aftaler som EU-Kommissionen laver med andre lande (fx USA).

    ADMINISTRATIVE BØDER

    Virksomhederne kan pålægges bøder for ikke at overholde forordningen. For manglende efterlevelse af den dataansvarlige eller databehandlerens pligter kan virksomhederne straffes med bøder på 2% af moderselskabets omsætning eller 10 mio. EUR. Manglende efterlevelse af principperne, brud på de registreredes rettigheder, overførsel til lande udenfor EU uden retsligt grundlag eller manglende efterlevelse af ordrer fra Datatilsynet kan straffes med bøder på 4% af moderselskabets omsætning eller 20 mio. EUR.