Persondataforordningen (GDPR). Er din virksomhed GDPR klar?
Den nye lovgivning omkring persondataforordningen (GDPR) er trådt i kraft. Vi har listet nogle af de væsentligste ændringer i forordningen.
Nye rettigheder
Der indføres en række nye rettigheder for de personer, hvis personoplysninger behandles (de registrerede), herunder retten til indsigt, berigtigelse og sletning af oplysninger, og disse rettigheder skal opfyldes inden for korte frister på typisk en måned.
Skriftlige databehandleraftaler
Skærpede krav til skriftlige databehandleraftaler mellem virksomheden og dens leverandører, som opbevarer eller behandler data på vegne af virksomheden.
Udvidede forpligtelser og ansvar
Virksomheder, hvis forretningsområde er at være databehandlere, får udvidede forpligtelser og ansvar for overtrædelser. Den dataansvarlige, der har bestilt databehandlingen, skal dog stadig opfylde forpligtelserne over for
de registrerede, herunder en oplysningspligt om enhver indsamling og behandling af data om den pågældende.
It-systemer skal beskytte data
It-systemer og applikationer, der anvendes til behandling af persondata, skal opfylde et krav om ”Privacy by Design”, dvs. de skal som standardindstilling sikre størst mulig beskyttelse af persondata.
Samtykke til behandling af data
Kravene til den registreredes gyldige samtykke til behandling af personoplysninger skærpes.
Dokumentation for at reglerne overholdes
Det er vigtigt at man kan dokumentere at man overholder reglerne på området.
Kravene til dokumentation for compliance skærpes væsentligt. Dokumentationen skal ligge klar, hvis Datatilsynet kommer på uanmeldt besøg.
Vi har samlet Datatilsynets egne vejledninger og her indgår også en standardskabelon for en databehandlingsaftale, som man med fordel kan hente og udfylde.
- Standard databehandleraftale
- Databehandleraftale foelgetekst
- Vejledning om dataansvarlige og databehandlere
Selvanmeldelsespligt ved databrud
Der indføres en selvanmeldelsespligt ved databrud, fx ved hackerangreb, hvor persondata kompromitteres. Anmeldelse skal ske inden 72 timer.
Databeskyttelsesrådgiver (DPO)
Visse virksomheder skal udpege en databeskyttelsesrådgiver (DPO).
Store bøder
Der indføres blandt andet hjemmel til at pålægge private virksomheder store bøder på op til 20 millioner euro, eller op til 4 procent af virksomhedens/koncernens globale årsomsætning – afhængig af, hvad der er højest.