Persondataloven – Hvad kommer den til at betyde for databehandling?

D. 25. maj 2018 trådte GDPR-loven, også kaldt Persondataloven, i kraft. Det er en lov der både gælder i europæisk og dansk regi vedrørende behandling af personfølsomme oplysninger, både elektronisk og manuelt. Det gælder for virksomheder, organisationer, foreninger og offentlige foreninger, der behandler personfølsomme oplysninger. Fra nu af skal personfølsomme oplysninger beskyttes bedre, men hvad betyder det mere konkret? Vi giver dig nu Danmarks bedste guide til at opbevare, bruge og anvende de nye dataregler, dog med fokus på virksomheder.

Den nye persondataforordning udstedt af EU erstatter den gældende persondatalov i Danmark for at ensrette behandlingen i hele Europa. Den erstatter den 20 år gamle lov der er forældet grundet den teknologiske udvikling.

Hvad betyder persondataloven for privatpersoner ?

Som privatperson giver denne ændring privatpersoner forbedrede rettigheder i forhold til beskyttelse af personlige oplysninger, og den er netop blevet lavet for at beskytte borgerne mod uretmæssig brug af deres data. Persondata omhandler alle typer oplysninger der vedrører en persons private, professionelle og offentlige liv såsom ydre og indre forhold, sociale forhold, økonomiske forhold og livshistorie.

Med andre ord handler det altså om alle former for oplysninger, der enten direkte eller indirekte kan identificere en person. Også under de gamle regler var der naturligvis restriktioner for offentliggørelse af dem, men med de nye GDPR-regler er kravene til virksomheders og offentlige myndigheders håndtering heraf blevet skærpet. Der må kort sagt ikke være offentligt tilgængelige oplysninger om folk, der gør at de kan identificeres.

De nye regler favner bredt, og alle virksomheder er omfattet af de nye regler. Inden ordningen trådte i kraft i foråret 2018 skulle alle, både virksomheder og offentlige myndigheder, gøre sig klart, hvilke virksomheder man lå inden med, med hvilket formål, hvem der i virksomheden arbejder med data og hvordan man arbejder med oplysningerne.

Implementering af GDPR-loven

Selve processen for at få disse implementeret er opdelt i 4 dele. I opstartsfasen skal relevante personer i virksomheden udpeges til at kunne håndtere disse nye regler. De skal i næste fase, Analysefasen, vurdere hvilken type data virksomheden sidder med og hvordan disse behandles. Er det almindelige ikke-følsomme oplysninger som navn, telefonnummer, adresser mm, eller er det mere følsomme oplysninger som CPR-nummer, seksualitet, race, politik eller politisk overbevisning? Her skal man typisk vælge en overordnet dataansvarlig og vurdere, hvem der skal bruge oplysningerne.

En virksomhed skal have en lovlig grund og formål med at have disse oplysninger. Skal de bruges for at man kan udarbejde en kontrakt? Skal personen ansættes i virksomheden eller er det en samarbejdspartner? Som udgangspunkt må oplysningerne ikke bruges til andet end det oprindelige formål. Disse oplysningerne skal naturligvis behandles korrekt og etisk, og man må ikke gemme personoplysninger uden samtykke. Hvis man f.eks. modtager en jobansøgning og vælger at ansætte en person, må man ikke uden videre gemme ansøgningen uden samtykke. Hvis oplysninger ikke har et specifikt formål, må man ikke gemme dem. Ønsker man at gemme disse, kræver det eksplicit samtykke.

Når alle ovenstående relevante oplysninger er kortlagt, skal der udarbejdes en handlingsplan med en beskrivelse af alle de nye processer og politikker, så de bliver overholdt. Bl.a. skal der tages stilling til, hvordan persondata opbevares og håndteres samt beskyttelse af disse ved hjælp af kodeord og kryptering og andre tilpasninger af IT-systemer. Handlingsplanen skal være tilgængelig og forståelig og skal hele tiden følges op på.

De vigtigste ændringer med de nye regler kan opsummeres i det følgende:

  1. Der er øgede dokumentationskrav til hvilke data virksomheder behandler samt deres formål med dataindsamlingen. Der er oplysningspligt i forhold til den registrerede person, dvs. vedkommende har ret til både at se oplysningerne og formålet hermed. Ændres i dette, skal der indhentes et nyt samtykke fra den involverede person.
  2. Det kræver en samtykkeerklæring for virksomheder at opbevare privatpersoners personlige data. Er personen under 16 år, kræver det samtykke fra forældrene.
  3. Virksomheder skal kunne dokumentere at de overholder reglerne – også spontant hvis Datatilsynet kommer spontant forbi.
  4. Man har ret til at blive glemt og få rettet sine oplysninger. Den registrerede person har altså ret til at anmode om at få rettet eller slettet sine oplysninger, hvis de er irrelevante eller forkerte. Det er den dataansvarliges ansvar at videreformidle dette til personerne der har de oplysninger.
  5. Som privatperson kan man til enhver tid kræve at virksomheder sletter ens data.
  6. De nye regler har en selvmeldelsespligt. Mister man personlige data, f.eks. som følge af et hackerangreb, skal det meldes inden 72 timer.

Hvis ovenstående forordninger ikke overholdes, kan det udløse bøder på op til 4% af virksomhedens globale årsomsætning eller helt op til 150 mio. kr.

Se alle artikler om lån →