Virksomheder bør forholde sig til de nye regler om persondatabeskyttelse.
Vi har længe haft regler om persondatabeskyttelse, men den 25. maj 2018 træder nye regler fra EU i kraft.
For nogle virksomheder vil de nye regler få vidtrækkende konsekvenser for, hvordan persondata må indsamles og opbevares. For andre vil omfanget være mere begrænset. Alle virksomheder med ansatte eller personlige oplysninger om ansøgere, kunder m.fl. vil dog i et vist omfang blive berørt af de nye regler.
En af hensigterne med de nye regler er at beskytte EU-borgeres personlige data og samtidig give borgerne ret til at få udleveret og slettet deres oplysninger.
Hvad er persondata?
Persondata er defineret som ”informationer om en identificerbar fysisk person”. Oplysningerne opdeles desuden i almindelige oplysninger og følsomme oplysninger.
Eksempler på almindelige oplysninger er navn, e-mailadresse og telefonnummer, mens eksempler på følsomme data er religion, helbredsmæssige og seksuelle oplysninger. For de følsomme oplysninger gælder yderligere krav om beskyttelse og samtykke fra pågældende person.
Hvordan bliver min virksomhed klar?
Det er vigtigt at få et overblik over, hvilke persondata virksomheden har, og med hvilket formål de opbevares og behandles. I forhold til virksomhedens egne ansatte opbevares en del personoplysninger, som bruges for at kunne udbetale løn og pension samt betale A-skat m.v. Man bør beskrive de forretningsgange, der berører persondata. Dette for at sikre, at der kun opbevares de data, som er nødvendige, og at de er forsvarligt sikret i forhold til f.eks. hacking.
Man bør jævnligt slette persondata på fratrådte medarbejdere, samt slette ansøgninger og lign., når der ikke længere er brug for dem.
Personer kan også rette henvendelse til en virksomhed, der har registreret oplysninger, og bede om, at de bliver slettet. Herefter har virksomheden pligt til at slette oplysningerne.
Konsekvens ved ikke at blive klar?
I forbindelse med de nye regler, træder der samtidig nye bøder i kraft. Virksomheder kan idømmes bøder på op til 20 mio. euro, eller 4% af den årlige omsætning. Den størrelse bøder får vi nok ikke at se i Danmark, men alene bødestørrelserne burde få virksomhederne til at tjekke den interne håndtering og lagring af persondata.
Tonny Vangsgaard Gravesen
Partner, BB3
Tjekliste fra Datatilsynet
Datatilsynet har lavet en tjekliste om persondataforordningen. Selvom den ikke kan stå alene, så er tjeklisten et godt udgangspunkt for det arbejde som I skal igang med.
Du kan se tjeklisten her.