Persondata

Virksomheder bør forholde sig til de nye regler om persondatabeskyttelse

Alle virksomheder, der har ansatte eller gemmer personlige oplysninger om kunder, bliver berørt af de nye EU-regler, der træder i kraft 25. maj næste år.

Vi har længe haft regler om persondatabeskyttelse, men den 25. maj 2018 træder de nye regler fra EU i kraft. Et godt gæt er, at de i dag ikke altid overholdes, og fremover vil der ske en væsentlig skærpelse i kontrollen. Der kan derfor falde brænde ned i form af bøder, hvis virksomhederne ikke strammer op.

For nogle virksomheder vil de nye regler få vidtrækkende konsekvenser for, hvordan persondata må indsamles og opbevares. For andre vil omfanget være mere begrænset. Alle virksomheder med ansatte eller personlige oplysninger om kunder vil dog i et vist omfang blive berørt af de nye regler.

En af hensigterne med de nye regler er at beskytte EU-borgeres personlige data og samtidig give borgerne ret til at få udleveret og slettet deres oplysninger. De nye regler vil erstatte de nuværende regler i persondataloven.

Hvilke data er omfattet

Persondata er defineret som ”informationer om en identificerbar fysisk person”. Oplysningerne opdeles desuden i almindelige oplysninger og følsomme oplysninger.

Eksempler på almindelige oplysninger er navn, e-mailadresse, telefonnummer, fødselsdag og fotos. For følsomme oplysninger gælder yderligere krav om beskyttelse og samtykke fra personen, som oplysningerne omhandler. Eksempler på følsomme data er etnisk baggrund, fagforeningsmæssige tilhørsforhold, religion, helbredsmæssige og seksuelle forhold.

Hvordan bliver virksomheden klar

For at blive klar til at overholde de nye regler er det vigtigt først at få et vist kendskab til reglerne og den indvirkning, de vil få på virksomhedens måde at behandle og opbevare persondata.

Det er desuden vigtigt at få et overblik over, hvilke persondata virksomheden har, og med hvilket formål de opbevares og behandles. I forhold til virksomhedens egne ansatte opbevares der ofte en del personoplysninger, som gør virksomheden i stand til at udbetale løn og pension samt indberette og betale A-skat mv.

Virksomheden bør ligeledes beskrive de forretningsgange, der berører persondata.  Dette for at sikre, at der kun opbevares de data, som er nødvendige, og at de er forsvarligt sikret i forhold til f.eks. indbrud i it-systemer.

Beskrivelsen bør desuden indeholde de oplysninger og rettigheder, som gives til de personer, der afgiver deres persondata til virksomheden.

I forhold til egne ansatte bør virksomheden med jævne mellemrum bortskaffe ansættelseskontrakter på fratrådte medarbejdere, således der ikke opbevares data, der ikke længere er brug for.

Nye rettigheder for personer

Som person får man med den nye forordning en række nye rettigheder over egne oplysninger. For det første skal der i en lang række tilfælde gives samtykke til, at virksomheden indsamler og opbevarer oplysningerne.

Dernæst får personer ret til, at oplysningerne bliver glemt/slettet igen. Det betyder, at man som person kan rette henvendelse til den virksomhed, der har registreret oplysningerne, og bede om, at de bliver slettet. Herefter har virksomheden pligt til at slette oplysningerne. Samme ret har personer til at få deres data udleveret.

Konsekvens ved ikke at blive klar

I forbindelse med de nye regler, træder der samtidig nye bødestørrelser i kraft. Virksomheden kan idømmes bøder på op til 20 mio. euro, eller 4% af den årlige omsætning. Alene bødestørrelserne bør få de fleste virksomheder til at øge opmærksomheden på håndteringen af persondata. Hertil kommer, at Datatilsynet forventes at få en langt mere aktiv rolle, hvor de i fremtiden vil kunne komme på inspektion hos private virksomheder uden retskendelse.

De første erfaringer viser, at de fleste virksomheder har registeret persondata flere steder i virksomheden. Samtidig er der ikke systematiske forretningsgange for registrering og opbevaring, hvorfor virksomhederne i dag ikke har mulighed for at overholde de nye regler. Ikke det bedste udgangspunkt for et kontrolbesøg.
 


Poul Erik Nielsen
Partner
Mobil 21690821
pen@roesgaard.dk

Roesgaard & Partners

Sønderbrogade 16, 8700 Horsens

+45 75 62 99 99

revisor@roesgaard.dk

Vi tager forbehold for fejl og mangler i vores gengivelse af lovgivning mv. og påtager os intet rådgiveransvar uden forudgående konsultation vedrørende de omhandlede emner.
Følg os på Linkedin