Databeskyttelsesforordningen

GDPR

Databeskyttelsesforordningens ikrafttræden.

Virksomheder – store som små – som er i EU, bliver underlagt den nye Databeskyttelsesforordningen med ikrafttræden d. 25. maj 2018. Forordningen kommer til at gælde for virksomheder, og har allerede gjort dette i form af Persondataloven. Den indlysende grund til at overholde netop Databeskyttelsesforordningen bliver sanktioneringen og dermed bødernes størrelse.

 

Sanktionering

For at sætte tingene i perspektiv, så har Datatilsynet med den nuværende Persondatalov uddelt eksempelvis bøder på henholdsvis DKK 3.000 for offentliggørelse af to personers CPR-numrer på en salgsopstilling, der har været offentlig tilgængelig i ikke mindre end 7 dage. Ligeledes har Datatilsynet udstedt en bøde på DKK 5.000 for at lægge overvågningsbilleder ud af en person i en Facebook gruppe.

Med Databeskyttelsesforordningen bliver der to bødekategorier, alt efter overtrædelsen grovhed, som bliver henholdsvis på 2 % af virksomhedens samlede globale omsætning op til maksimum 10 millioner euro eller 4 % af virksomhedens samlede globale omsætning op til maksimum 20 millioner euro. Derfor er der udsigt til en markant forhøjelse i bødestørrelsen ved overtrædelse af Databeskyttelsesforordningen i forhold til Persondataloven.

 

Behandling af personoplysninger

Behandling dækker over en lang række dispositioner, som en virksomhed kan foretage med personoplysninger. Det kan være indsamling, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger.

Virksomheder behandler ”almindelige” personoplysninger løbende i driften af en virksomhed. Det kan være kunders navne, en debitors økonomi, ansættelsesforhold, kundeforhold m.v. Ligeledes kan der behandles ”følsomme” personoplysninger, som kan være helbredsoplysninger, genetiske data, fagforeningsmæssige forhold m.v. Fællesnævneren for begge slags personoplysninger er, at virksomheden skal have en retlig bemyndigelse til at behandle disse oplysninger, og det skal virksomheden kunne dokumentere, hvis Datatilsynet kommer forbi. Hvis virksomheden ikke kan påvise en retlig bemyndigelse til Datatilsynet, så kan det resultere i en heftig bøde.

 

Dataansvarlig og databehandler

Med den nye Databeskyttelsesforordningen så har virksomheder også en række forskellige forpligtelser, alt efter om virksomheden handler som dataansvarlig og/eller databehandler. En databehandler kan være en person eller en virksomhed, der behandler personoplysninger på den dataansvarliges vegne. Men hvad er en dataansvarlig? En dataansvarlig kan være en person eller virksomhed, der afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

Det kan være en håndværkervirksomhed, som i forbindelse med et stykke arbejde, får oplysninger på kunde – med henblik på en senere faktura – og herefter indtaster disse i et IT-system, som håndværkeren har købt af en IT-virksomhed. Herefter er håndværkeren dataansvarlig, idet vedkommende har indsamlet oplysninger på en kunde, med et givent formål og herefter lagret det ved en anden virksomhed. Derfor bliver IT-virksomheden herefter databehandler, idet de opbevarer kundens oplysninger på vegne af den dataansvarlige håndværkervirksomhed. Herefter har håndværkervirksomheden pligt til at have den rette bemyndigelse, og skal samtidig have lavet en databehandleraftale med IT-virksomheden.

 

Dette er blot få aspekter af Databeskyttelsesforordningen, som en virksomheden skal have inkorporeret i den daglige gang, og manglende overholdelse kan koste dyrt. Såfremt du ønsker en gennemgang af din virksomheds overholdelse af persondataforordningen, eller har andre spørgsmål, så er du mere end velkommen til at kontakte os på mail og/eller telefon under medarbejdere.

 

Venlig Hilsen

Rasmus Ellegaard Jørgensen

Legal Trainee