Hvad sker der nu?

Opnåelsen af politisk enighed om forordningens ordlyd indebærer, at der nu alene udestår et arbejde med at oversætte og kvalitetssikre de 23 sprogversioner af forordningen. Når dette arbejde er afsluttet - hvilket forventes at ske inden for få uger eller måneder - vil den endelige formelle vedtagelse af forordningen finde sted tidligt i 2016. Fra dette tidspunkt vil den 2 årige frist for forordningens ikrafttræden begynde at løbe. Inden for samme tidsfrist vil alle berørte virksomheder og myndigheder mv. skulle sikre sig, at de efterlever forordningens krav.

Gamle kendinge, nye udfordringer og øget håndhævelse

Igennem de sidste 4 år har forhandlingerne af persondataforordningen nydt stor opmærksomhed i offentligheden. Samtidig har forordningen opnået den uofficielle titel som det forslag i EU's historie, der har udløst den mest intense lobbyindsats. Denne opmærksomhed - og omfattende medieomtale - har imidlertid kun i meget begrænset omfang givet virksomheder og myndigheder et reelt indblik i, hvad forordningen konkret betyder for dem, og hvilke tiltag de bør iværksætte, nu hvor forordningen er meget tæt på at falde på plads. 

De væsentligste nyskabelser i persondataforordningen

• Skærpet krav til dokumentation for samtykke
• Styrkelse af den registreredes rettigheder
• Right-to-be-forgotten (retten til at blive glemt)
• Risikobaseret krav om privacy by design og privacy by default
• Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
• Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
• Udbydere af sociale medier og andre informationssamfundstjenester skal have forældresamtykke for at kunne behandle oplysninger om børn under 16 år. Medlemsstaterne kan vælge at sænke denne alder til 13 år
• Data Protection Officer i offentlige myndigheder og visse private virksomheder
• En ny "One-stop-shop" for koncerner, der er etablerede i flere EU lande, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne
• Bøder på op til 4% af global årlig omsætning

6 anbefalinger til tiltag din organisation bør iværksætte

Persondataforordningen har et meget bredt anvendelsesområde, der omfatter alle private virksomheder og organisationer og alle offentlige myndigheder bortset fra bl.a. visse dele af politiet og anklagemyndigheden. Uanset hvilken sektor din organisation tilhører, er der fem konkrete tiltag, som vi fra Plesners side anbefaler, I iværksætter snarest muligt for at udnytte tiden frem til forordningens ikrafttrædelse bedst muligt.

1. Foretag en overordnet juridisk analyse af, hvilke ændringer i forordningen, som er vigtigst for jer

For at sikre, at I til at begynde med har fokus på de områder, hvor ændringerne vil få størst betydning for organisationen, bør der foretages en indledende juridisk analyse af, om organisationen bliver direkte berørt af en konkret ændring som følge af forordningen.

For private virksomheder kan det for eksempel være dokumentationskravene ved brug af samtykke, mens det for offentlige myndigheder kan være kravet om at udpege en Data Protection Officer.

2. Kortlæg hvilke personoplysninger, der behandles i organisationen

Det kan lyde som en simpel øvelse at fastlægge hvilke personoplysninger, der behandles i jeres organisation. Al erfaring viser imidlertid, at netop denne opgave ofte kan være særdeles kompleks. Samtidig er dens løsning en grundlæggende forudsætning for, at jeres organisation kan danne sig et reelt overblik over, hvor der størst behov for at sætte ind for at sikre, at I minimerer jeres risici for datasikkerhedsbrister, ulovlige behandlinger, unødig ophobning af oplysninger mv., samt generelt gør det muligt at efterleve reglerne i praksis.

Som en mulig sidegevinst vil en effektiv kortlægning af jeres datastrømme ofte kunne generere værdi for organisationen ved at skabe et overblik over, hvilke potentielt værdiskabende oplysninger om jeres drift, kunder, sagsgange mv. der ligger uudnyttede hen.

3. Få overblik over jeres leverandører

En af de største risici for enhver organisation, der behandler personoplysninger, er, når oplysninger overlades til eksterne parter (databehandlere). I naturlig forlængelse af ovennævnte kortlægning af de personoplysninger, der behandles, bør jeres organisation derfor foretage en grundig afdækning på tværs af organisationen af, hvilke underleverandører I har kontraheret med om behandlingen af personoplysninger, f.eks. cloudleverandører og mediebureauer. Hvad skal der til for at sikre, at de pågældende aftaler lever op til de skærpede krav i forordningen? Når dette er afklaret, bør der iværksættes en genforhandling og måske - i forhold til den enkelte leverandørs modenhedsniveau - en opsigelse af aftalen i lyset af de nye krav og risici, som forordningens regler indebærer.

4. Vurder jeres forretnings/organisations samlede eksponering

Persondataforordningen indeholder mange krav, og flere af dem er forholdsvis generelle. I praksis vil forordningen dog kun sjældent ramme to organisationer på samme vis, ikke engang når de er i samme branche eller sektor. En række faktorer, såsom brugen af it-systemer, udbredelsen af cloud computing, graden af efterlevelse af de nuværende regler i persondataloven, hvilke typer personoplysninger, der behandles mv., er blot nogen af de forhold, der kan have stor betydning for, hvordan jeres organisation berøres, og ikke mindst hvor mange eller få ressourcer I skal bruge på at sikre, at I kan møde forordningens krav.

5. Hav persondataforordningens særlige karakter for øje

På baggrund af de oplysninger, der afdækkes under punkt 1 - 3, bør jeres organisation foretage en konkret vurdering af, hvordan de juridiske krav i forordningen bedst efterleves i praksis. 

Som udgangspunkt adskiller denne opgave sig ikke fra andre compliance-projekter. Dog er der den væsentlige forskel, at persondataforordningen til forskel fra de fleste andre compliance-områder har sin helt egen juridiske struktur, og fortolkningen af kravene fremadrettet skal foretages i lyset af den vidtgående beskyttelse, som det enkelte individs ret til databeskyttelse i dag nyder under EU-retten. Som rigeligt illustreret gennem EU-domstolens afgørelser i bl.a. Schrems (Facebook/Safe Harbor-sagen) og Digital Rights (om logningsdirektivet) er databeskyttelsesområdet underlagt nogle helt særlige og til tider vidtrækkende juridiske krav, hvis efterlevelse stiller store krav til alle relevante aktører. I praksis betyder dette, at sikringen af, at jeres organisation efterlever persondataforordningen, ofte vil bero på nogle vanskelige juridiske afvejninger af modstående hensyn, f.eks. ved brugen af profilering, udrulningen af "Big Data"-projekter og ved implementering af "retten til at blive glemt". 

Efterlevelsen af forordningens krav kan således aldrig blot være en "check-liste øvelse", men skal indebære en reel juridisk efterprøvelse af, om de påtænkte behandlinger af personoplysninger er lovlige.  

6. Dokumentér

Under forordningen er et krav kun efterlevet, hvis efterlevelsen er dokumenteret. Det såkaldte princip om accountability (ansvarlighed) rykker med forordningen endegyldigt ansvaret, ikke blot for reglernes efterlevelse, men også efterprøvelsen og dokumentationen heraf væk fra Datatilsynet og ud til de enkelte dataansvarlige. Til forskel fra under persondataloven, hvor bl.a. anmeldelsessystemet i vidt omfang medvirkede til en grad af - utilsigtet - forskydning af ansvaret for reglernes efterlevelse over på Datatilsynet, indebærer princippet om accountability således, at den enkelte dataansvarlige selv skal kunne indestå for og dokumentere reglernes efterlevelse. 

Plesner Privacy Assessment - Jeres one-stop-shop

Som den eneste rådgiver i Danmark tilbyder Plesner vores klienter en kortlægning af deres organisations nuværende complianceniveau og efterfølgende bistand med implementering af de tiltag, vi har identificeret som nødvendige for at sikre fuld persondataretlig og informationssikkerhedsmæssige compliance. 

En Plesner Privacy Assessment:

• Kortlægger virksomhedens/myndighedens datastrømme både for så vidt angår personoplysninger og andre tilknyttede oplysningstyper
• Fastlægger på overordnet niveau, om der er værdiskabende oplysninger i organisationen, så uforløste potentialer bedre kan realiseres
• Identificerer organisationens aktuelle complianceniveau og væsentligste udfordringer i forhold til håndtering af personoplysninger, erhvervshemmeligheder mv.

Implementerbar afrapportering

Ethvert forløb afsluttes med en rapport, der indeholder en kortfattet og præcis beskrivelse af organisationens væsentligste udfordringer i forhold til persondatalovgivningen samt vores umiddelbare forslag til løsninger og tiltag. På baggrund af rapporten kan organisationen vælge, hvordan den vil gå videre med sit arbejde med persondataforordningen.

Pris
En Plesner Privacy Assessment leveres til en fast og konkurrencedygtig pris, der aftales ved opgavens start.

Plesner Certifikat i Persondataret

I EU's persondataforordning indføres et krav om udpegning af en Data Protection Officer (DPO) for en række organisationer, herunder offentlige myndigheder og virksomheder, som foretager en omfattende behandling af særlige (følsomme) persondata. For andre organisationer kan det være hensigtsmæssigt at etablere en tilsvarende funktion, selvom de ikke er direkte omfattet af forordningens krav om en DPO.