EU’S PERSONDATAFORORDNING

INDGRIBENDE ÆNDRET DATABESKYTTELSE FRA 25. MAJ 2018

Introduktion

EU’s persondataforordning af 27. april 2016 skal anvendes fra 25. maj 2018 og vil nødvendiggøre at organisationer, foreninger og erhvervsvirksomheder tager stilling til, om deres nuværende håndtering af persondata er holdbar eller hvilke ændringer der er nødvendige. Manglende overholdelse af reglerne efter 25. maj 2018 kan have mærkbart voldsommere økonomiske konsekvenser end før. Det er ikke nok at overholde regelsættet, der skal også foreligge dokumentation for overholdelsen ved beskrivelser af relevante processer, kontroller og håndtering af sikkerhedsbrist.

Hvad fortsætter uændret?

Det grundlæggende princip for behandling af persondata er uændret, nemlig at persondata alene må indsamles til et lovligt, sagligt og rimeligt formål og i mindst mulige omfang. Der opereres fortsat med 2 kategorier af persondata – følsomme og almindelige. Den dataansvarlige er fortsat den virksomhed, som indsamler data og er begrænset til at indsamling sker til på forhånd angivne saglige og lovlige formål og alene i mindst muligt omfang.

Hvad er nyt?

Persondatabehandling kræver fra 25. maj 2018 ingen tilladelse fra Datatilsynet[1].

Større dataansvarlige skal i stedet formulere skriftlige retningslinjer – og påse at de overholdes – vedrørende de registreredes rettigheder, ret til indsigt i registrering, håndtering af tilbagekald af samtykke til registrering og sletning af data, som det ikke længere er nødvendigt at opbevare.

Den dataansvarlige skal fra 25. maj 2018 efter anmodning fra den registrerede give indsigt i, hvilke persondata der er registreret om den registrerede og opfylde anmodninger om sletning af registreredes persondata.

Den dataansvarlige skal med skriftlige retningslinjer for proces og kontrol dokumentere overholdelse afh persondataforordningen. Den dataansvarlige skal dokumentere at have valgt et relevant sikkerhedsniveau for persondatahåndtering og i fornødent omfang udarbejde risikoanalyser, som underbygger valg af sikkerhedsniveau. Den dataansvarlige har pligt til underretning af Datatilsynet og de berørte registrerede umiddelbart efter konstatering af sikkerhedsbrist. Der er ingen bagatelgrænse for sikkerhedsbrist. Det kan være en stjålet mobiltelefon eller en mistet USB-nøgle indeholdende følsomme personoplysninger.

Det er muligt – men mindre nærliggende – at en organisation eller erhvervsvirksomhed efter 25. maj 2018 skal udpege en databeskyttelsesrådgiver med selvstændige kontrolkompetencer hos den dataansvarlige til at overvåge forsvarlig håndtering af persondata og sikkerhedsbrist.

Hvad er følsomme persondata?

Omfanget af følsomme persondata er uændret oplysninger om:

  • race/etnicitet,
  • politisk, filosofisk eller religiøs overbevisning,
  • medlemskab af fagforening,
  • straffe og disciplinære sanktioner,
  • misbrug af narko, medicin eller alkohol,
  • helbredsmæssige (fysisk/psykisk) eller seksuelle forhold,
  • genetiske og biometriske data anvendelige til identifikation.

Persondata, som den registrerede selv har offentliggjort, er ikke længere følsomme.

Hvad er almindelige persondata

Omfanget af almindelige persondata er fortsat navn, adresse[2], e-mail, nationalitet, foto[3], telefonnummer, forbrugsmønster, skatteoplysninger, medarbejderes lønkonto o.l. Også almindelige persondata er omfattet af den registreredes ret til sletning.

Dansk særregel om personnummer

Offentlige myndigheder kan anvende personnummer som identifikation/ journalnr. Private virksomheder og organisationer kan alene anvende/videregive personnummer, når enten

  1. der er lovhjemmel,
  2. den registrerede har samtykket,
  3. anvendelse sker til videnskabelige eller statistiske formål,
  4. videregivelse er led i normal drift og nødvendig for entydig identifikation, eller
  5. der er behandlingsgrundlag for følsomme persondata udover samtykke.

Hvem er omfattet?

Enhver indsamling af persondata, som ikke har rent privat karakter, er omfattet. Der er ingen bagatelgrænse, som kan påberåbes af hobbyvirksomheder, lokale foreninger eller borgerinitiativer.

Hvad er omfattet?

Behandling[4] – manuel eller elektronisk – af enhver information om en identificeret eller identificerbar fysisk person – den registrerede – der finder sted i et EU/EØS-land eller vedrører aktiviteter udøvet i et EU/EØS-land.

Grundlæggende behandlingsregel

Behandling må alene ske til forud for indsamlingen udtrykkeligt angivne og legitime formål. Indsamlede persondata må ikke viderebehandles til formål som ikke er forenelige med det oprindelige formål. Foreligger senere forenelighed ikke, må den dataansvarlige tilvejebringe selvstændigt behandlingsgrundlag inden efterfølgende behandling.

Hvem er dataansvarlig?

Den dataansvarlige er den fysiske eller juridiske person, der afgør til hvilket formål og med hvilke hjælpemidler indsamling og behandling af persondata må ske.

Hvilke pligter har den dataansvarlige?

Den dataansvarlige skal dokumenterbart og systematisk

  • vurdere saglighed, lovlighed, gennemsigtighed og nødvendighed af indsamling/behandling af persondata,
  • sikre behandlingsgrundlag og i fornødent omfang information til registrerede,
  • håndtere registreredes anmodning om indsigt i eller sletning af persondata
  • kontrahere med og kontrollere databehandlere,
  • opfylde dokumentationskrav og sikkerhedskrav,
  • give underretning om sikkerhedsbrist til Datatilsynet og registrerede
  • sikre at behandlede persondata er retvisende/ajourførte og at urigtige/fejlbehæftede persondata slettes/berigtiges
  • slette persondata, når de ikke længere er relevante at opbevare,
  • anvende relevante tekniske/organisatoriske processer for at beskytte persondata og konstatere/anmelde sikkerhedsbrist.

Hvilke pligter har databehandleren?

Databehandleren skal dokumenterbart og systematisk

  • behandle persondata på den dataansvarliges vegne og efter skriftlig databehandleraftale,
  • opfylde dokumentationskrav og sikkerhedskrav,
  • kontrollere underdatabehandlere.

Hvad er behandlingsgrundlaget?

Behandling af persondata kan alene ske, hvis der foreligger et behandlingsgrundlag. Behandlingsgrundlag kan være:

  1. samtykke fra den registrerede
  2. pligt efter kontrakt med den registrerede som part.
  3. opfyldelse af en retlig forpligtelse[5] påhvilende de dataansvarlige
  4. nødvendig beskyttelse af den registrerede/anden fysisk persons vitale interesser[6],
  5. nødvendig for at udføre en opgave i samfundets interesse,
  6. nødvendig for at et retskrav fastslås, gøres gældende eller forsvares,
  7. nødvendig for at den dataansvarlige forfølger en berettiget interesse, som ikke overstiges af hensynet til den registreredes berettigede interesse.

Øget beskyttelse af børn

De nye regler indeholder en programerklæring om, at oplysning forud for samtykke skal tage særligt hensyn til, om samtykke søges indhentet fra en person under 18 år og at interesseafvejningen vedrørende nødvendighed jf. d)-g) skærpes i disse tilfælde. Samtykke fra børn under 13 år skal godkendes af forældremyndighedens indehaver.

Hvornår foreligger samtykke?

Samtykke skal være skriftligt og

  • givet på informeret grundlag
  • frivilligt
  • letforståeligt
  • udtrykkeligt
  • specifikt
  • genkaldeligt

Den dataansvarlige har bevisbyrden for, at samtykke foreligger.

Hvordan må en kundes eller medlems persondata behandles?

Almindelige persondata må indsamles i tilstrækkeligt og relevant omfang til udtrykkeligt angivne og legitime formål. Videregivelse kræver behandlingsgrundlag. Videregivelse med henblik på anden virksomheds direkte markedsføring kræver som hovedregel samtykke. Følsomme persondata må alene registreres med behandlingsgrundlag.

Hvordan må ansattes persondata behandles?

Almindelige persondata, cpr. nr., fotos/videooptagelser af ansatte og logning på internet/e-mails må registreres med grundlag i overenskomst, personalehåndbog eller ansættelsesaftale. Videregivelse kræver behandlingsgrundlag. En personaleafdeling er berettiget til at registrere relevante følsomme persondata, men adgang hertil skal være begrænset til ansatte med sagligt behov for indsigt heri. Videregivelse kræver behandlingsgrundlag.

Underretning til den registrerede?

Den dataansvarlige har ved indsamling pligt til – i det omfang persondata ikke er indsamlet hos registrerede – at oplyse den registrerede om

  • dataansvarliges identitet,
  • kontaktoplysninger på eventuel databeskyttelsesrådgiver,
  • formålet med behandlingen af den registreredes persondata,
  • modtagere af registreredes persondata,
  • tidsrum inden systematisk sletning af persondata,
  • den registreredes ret til indsigt i registrering foretaget af dataansvarlig,
  • den registreredes ret til at kræve registrering slettet, og
  • den registreredes ret til at klage til tilsynsmyndighed.

Den dataansvarlige kan undlade underretning, hvis

  • den registrerede allerede er bekendt med oplysningerne,
  • behandling sker med lovhjemmel,
  • den registreredes ret bør vige for afgørende hensyn til offentlig interesse,
  • persondata er omfattet af tavshedspligt, eller
  • underretning er umulig eller uproportionelt ressourcekrævende.

Indsamling og opbevaring af persondata fra kunder, medlemmer eller ansatte, som er nødvendige for, at den dataansvarlige virksomhed eller organisation kan drives efter sit formål, og som den registrerede selv har afgivet til den dataansvarlige, kræver ikke yderligere underretning. Senest ved indsamlingen bør den registrerede i letforståeligt sprog underrettes om opbevaringstid, indsigtsret, ret til sletning og klageret. Underretning i indmeldelsesformularer eller almindelige leveringsbetingelser er formentlig tilstrækkelig.

Hvornår har den registrerede ret til indsigt i registrering?

Den dataansvarlige skal efter den registreredes anmodning give indsigt i hvilke persondata, der er indsamlet om den registrerede. Anmodning skal imødekommes inden 1 måned fra modtagelse af anmodning med behørig dokumentation for registreredes identitet. Åbenbart grundløse eller overdrevne anmodninger kan afvises.

Den registrerede kan kræve urigtige persondata berigtiget, gøre indsigelse mod behandling af persondata eller kræve behandling blokeret i en periode. Den dataansvarlige skal – i det omfang det ikke er umuligt eller uproportionelt ressourcekrævende – informere modtagere af videregivne urigtige persondata om efterfølgende berigtigelse. Den dataansvarlige kan afslå krav om indsigtsret med henvisning til egen tavshedspligt eller beskyttelse af tredjemands rettigheder.

Hvornår har registrerede ret til at blive glemt – helt, delvist eller midlertidigt?

Registrerede persondata skal systematisk slettes, når lagring ikke længere er nødvendig efter det oprindelige formål med indsamlingen. Den dataansvarlige har pligt til at slette persondata, hvis behandlingsgrundlag er samtykke og samtykke er tilbagekaldt.

Den registrerede kan – baseret på afvejning af offentlig interesse mod registreredes interesse – kræve persondata slettet, subsidiært at behandling suspenderes indtil uenighed om rigtighed af persondata eller behandlingens lovlighed er afklaret. Har den dataansvarlige videregivet de persondata, som ønskes slettet, skal han – i det omfang det ikke er umuligt eller uproportionelt ressourcekrævende – informere modtagere af de videregivne persondata om begæringen om sletning.

Flytteret – ret til dataportabilitet

Den registrerede kan fra en dataansvarlig kræve persondata, som han selv har afgivet, udleveret i gængs format. Den registrerede har ret til at videregive de modtagne persondata til anden dataansvarlig.

Den dataansvarlige skal have en plan

Den dataansvarlige skal inden 25. maj 2018 foretage de tekniske og organisatoriske tilpasninger, som gør den dataansvarlige organisation i stand til at behandle persondata efter reglerne.

Den dataansvarlige skal kunne dokumentere sit beredskab til at sikre behandling efter persondataforordningen ved at udarbejde en fortegnelse, som skal foreligge både skriftligt og elektronisk, som Datatilsynet kan kræve udleveret, og som skal gøres til genstand for løbende kontrol og opfølgning. Fortegnelsen skal indeholde:

  • navn/kontaktoplysning på dataansvarlig
  • navn/kontaktoplysning på eventuel databeskyttelsesrådgiver
  • beskrivelse af samtlige formål med behandling af persondata,
  • kategorier af persondata og registrerede,
  • kategorier af modtagere af persondata,
  • overførsler til tredjelande og internationale organisationer
  • slettefrister,
  • tekniske og organisatoriske sikkerhedsregler.

Ved udarbejdelse af fortegnelsen skal den dataansvarlige foretage en risikoanalyse. Viser denne høj risiko, skal den dataansvarlige foretage en konsekvensanalyse vedrørende sikkerhedsbrist.

Databehandleren skal have en plan

Databehandleren skal kunne dokumentere sit beredskab til at sikre behandling efter reglerne ved at udarbejde en fortegnelse, som skal foreligge både skriftligt og elektronisk, som Datatilsynet kan kræve udleveret og som skal gøres til genstand for løbende kontrol og opfølgning. Fortegnelsen skal indeholde

  • kategorier af behandling af persondata,
  • overførsler til tredjelande,
  • sletteregler
  • tekniske og organisatoriske sikkerhedsregler.

Bagatelgrænse

Dataansvarlige og databehandlere med færre end 250 ansatte skal ikke udarbejde en fortegnelse medmindre:

  • behandling medfører risiko for registreredes rettigheder/frihedsrettigheder
  • behandlingen er regelmæssig
  • behandlingen omfatter følsomme persondata

Sikkerhedsbrist

Den dataansvarlige skal senest 72 timer efter kendskab til databrist

  • anmelde til Datatilsynet med beskrivelse af sikkerhedsbrist, berørte registrerede og forholdsregler
  • orientere berørte registrerede medmindre
  • sikkerhedsforanstaltninger medfører, at persondata ikke kan tilgås
  • efterfølgende foranstaltninger bevirker, at persondata ikke kan tilgås
  • orientering er uproportionelt ressourcekrævende

Datatilsynet kan underkende den dataansvarliges skøn om ikke at orientere de berørte registrerede.

Overførsler af persondata til udlandet

Der er fri overførsel af personoplysninger indenfor EU/EØS. Overførsel til tredjelande kræver opfyldelse af særlige krav. Det gælder også, hvor persondata er overført til tredjeland og ønskes videreoverført herfra. Tilsvarende gælder, hvor persondata lagres i et land (Cloud-løsninger) men kan tilgås fra et andet land.

Overførsel af persondata til U.S.A. kræver, at den amerikanske virksomhed er Privacy Shield-certificeret, hvormed virksomheden er forpligtet til at sikre passende beskyttelse af persondata fra EU/EØS.

Udveksling af persondata mellem koncernforbundne selskaber kan ske, hvis der foreligger BCR – Binding Corporate Rules – godkendt af en national EU/EØS tilsynsmyndighed.

Inden overførsel af persondata til tredjeland bør således sikres, at der foreligger et grundlag for overførsel.

Sanktioner

Truslen om højt bødeniveau anses for nødvendig for at påvirke de dataansvarlige til at overholde reglerne.

Forventningen til udmålingen er bøder mellem 2% og 4 % af den dataansvarliges omsætning. I Danmark vil bøder ikke kunne udstedes administrativt. Udmålingen er et domstolsanliggende.

Det antages at være en formildende omstændighed, hvis den dataansvarlige ved behandlingen af persondata har fulgt en adfærdskodeks vedtaget af branchen og godkendt af Datatilsynet.

***

Denne generelle orientering kan ikke træde i stedet for konkret rådgivning.

Marts 2018

Koch/Christensen Advokatfirma

[1] I 3 specialtilfælde kræves tilladelse fortsat efter kapitel 9.

[2] Beskyttet adresse er følsomme persondata

[3] Optaget under ikke-krænkende omstændigheder

[4] Indsamling, optagelse, registrering, systematisering, opbevaring, tilpasning, ændring, brug, videregivelse, samkøring

[5] f.eks. love og overenskomster på arbejds- og socialområdet

[6] kan alene anvendes, hvis den registrerede ikke er i stand til/er afskåret fra at give samtykke