Overtrædelse af Persondataforordningen giver bøder på 4% af omsætningen eller 20 millioner €

Af Michael Rasmussen Valiantin, Partner i Innovation Support A/S,

  1. English Presentation: https://innovationsupport.net/en/the-life-science-recruiting-and-consulting-provider/
  2. Danish Presentation: https://innovationsupport.net/da/life-science-konsulent-og-rekrutteringsfirmaet/

KORT FORTALT: I december 2015 nåede Rådet og Europa-Parlamentet til enighed om udkastet til forordning. 8. april 2016 vedtog Rådet sin førstebehandlingsholdning. Udkastet til forordning blev siden vedtaget af Europa-Parlamentet 14. april 2016. Persondataforordningen vil således have en lovgivningsmæssig effekt i Maj måned 2018. Samtlige virksomheder og udbydere i hele verden er berørt, hvis de vil opbevare, transportere eller behandle personlige data om europæiske statsborgere.

EU KOMMISSIONENS INTENTION: Loven opdaterer og moderniserer principperne i det gamle databeskyttelsesdirektiv fra 1995 ved at fastsætte fysiske personers rettigheder og forpligtelser, der påhviler dem, som behandler data og/eller har ansvaret for databehandlingen. Det fastlægger også, hvilke metoder der skal sikre, at reglerne overholdes, og anvendelsesområdet for sanktioner mod dem, der overtræder reglerne.

HVAD OMFATTES: Persondata som under den tidligere persondatalov, nu med tilføjelse af genetiske data (for eksempel DNA) og biometriske data (for eksempel fingeraftryk). Derudover introduceres konceptet “pseudonyme data”, som er en måde at håndtere persondata, hvor dataene og de tilknyttede informationer, der er med til at identificere personerne bag dataene, holdes adskilt.

HVEM OMFATTES:  Alle EU borgere samt specielt for børn: Samtykke fra børn vil under persondataforordningen blive reguleret særskilt fra voksne hvorfor børn under 13 år ikke kan give samtykke til behandling af persondata i forbindelse med online-serviceydelser som f.eks. spil, børneportaler og f.eks. appstores m.v. Derudover indføres der krav om, at der foretages såkaldte “Privacy Impact Assessments” i en række situationer, hvor behandlingen af persondata kan medføre særlige risici for den enkelte.

24-72 TIMERS UNDERRETNINGSPLIGT: hvorefter underretning om alvorlige brud på datasikkerheden skal ske inden for 72 timer til de nationale datatilsyn. Både virksomheder og myndigheder skal fremover sikre, at persondatabeskyttelse reglerne overholdes samt dokumentere, at dette sker ved hjælp af interne procedurer og privatlivspolitikker som også omtales Privacy By Design og Privacy by Default.

FASTANSATTE OG KONSULENTER TIL SIKRING OG DOKUMENTATION: 

VERIO® & TALENT FINDER® c/o Innovation Support A/S er DK’s første selskab med dedikerede fastansatte og konsulenter til denne lovgivning.

Vi tilbyder også en FAST TRACK PERSONDATA CERTIFICERING samt GRATIS checklister så intet glemmes. Læs mere herunder.

Danske virksomheder skal skynde sig hvis det skal nås

Vi snakker promiller af de danske virksomheder som har taget hul på at løse de lovgivningsmæssige udfordringer hvor især starten af 2018 vil vise hvor mange der er kommet med. Her udtrækker vi et par udtalelser fra EU Compliance undervisningsmaterialet:

“Nye analyser i EU viser at kun få er startet og det kan blive meget dyrt hvis ikke man starter allerede i år, for det kan tage 1-2 år at implementere i større organisationer”

“Kun få virksomheder har analyseret egne data, platforme og de egentlige krav og alle har nu har krav på at få oplyst hvilke data enhver virksomhed ligger inde med samt at få dem rettet eller slettet”

“Selve analysen af risici ved at behandle og indsamle data og hvor disse data ligger i hvilke afdelinger, lande og hvordan de transporteres og bruges og hvilken anledning man har til at samle data, skal kunne dokumenteres, ellers brydes loven”

“Kravene til virksomhederne er store og derfor skal de i gang nu med at implementere løsninger”.

Direktør Michael Rasmussen, Innovation Support A/S

Krav om særlig DPO databeskyttelsesrådgiver

“Allerede nu skal mange virksomheder samt alle offentlige virksomheder udpege en databeskyttelsesrådgiver (DPO, Data Protection Officer). Det er nemlig også et krav i den nye forordning, såfremt virksomheden eller organisationen varetager store mængder persondata.” slutter Michael Rasmussen.

Start nu og vær klar til tiden

Bøder på 20 millioner euros eller fire pct. af omsætningen er konsekvensen ved ikke at være klar.

Det er entydigt at virksomhederne nu skal skynde sig med de indledende trin:

  1. Være bekendt med den nye lov og lære deres medarbejdere om informationssikkerhed og uddanne alle i organisationen om dette
  2. Udpege en databeskyttelses rådgiver (DPO, Data Protection Officer) for offentlige virksomheder og de private virksomheder som er berørt
  3. VERIO® holder kurser i Persondataforordningen der allerede er godkendt og træder i kraft henholdsvis 6 og 24 maj 2018.

Der kræves følgende i Persondataforordningen

  1. En DPO Data Protection Officer skal udpeges i alle offentlige myndigheder og private virksomheder som er omfattet af forordningen
  2. Virksomheden eller organisationen SKAL kunne dokumentere, at man overholder reglerne
  3. Brugeren har ret til at se hvilke data der er indsamlet hvornår og hvordan, samt ændre eller benytte retten til at blive slettet
  4. Stærkere krav til samtykke dokumentation
  5. Krav om privacy by design og privacy by default hvilket involverer hele virksomheden eller organisationen
  6. 24-72 timers pligter til at orientere Datatilsynet
  7. I nogle tilfælde også de registrerede i tilfælde af datasikkerheds brister (hackerangreb mv.)
  8. Udbydere skal have forældresamtykke for at kunne oprette oplysninger om børn under 13-16 år. Medlemsstaterne kan vælge at sænke 16 års kravet til 13 år
  9. For multinationale koncerner og grænseoverskridende persondata transaktioner skal der dokumenteres med et selvstændig dokumentation for alle lande

AGILUDVIKLING.DK, TALENT FINDER® & VERIO® laver det hele for dig

EU Persondataforordningen har et meget bredt anvendelsesområde, der omfatter alle virksomheder og organisationer samt alle offentlige myndigheder. Der er undtagelse for politi, efterretningstjenester og anklagemyndigheder. VERIO® anbefaler at du snarest kommer i gang med arbejdet for det kan tage op til 2 år og implementere og lovgivningen har effekt fra starten af 2017. Indhold af VERIO® 10 punkts programmet:

  1. VERIO® foretager en overordnet risikoanalyse baseret på den konkrete IT Politik, datastrømme, opbygning af hjemmeside og de interne netværk herunder om data overskrider grænserne
  2. VERIO® laver en juridisk analyse af, hvilke ændringer i forordningen, der berører jeres virksomhed
  3. VERIO® udarbejder to do lister der kan fordeles til de enkelte afdelinger eller personer
  4. VERIO® udarbejder relevant undervisning og process diagrammer for hvor og hvilke personoplysninger, der behandles i organisationen og kortlægger hele processen på tværs af firmaet og/eller landegrænser
  5. Såfremt virksomheden laver forskning skal der laves en kortlægning af de data som er indhentet både fortidigt og fremtidig plan for dette
  6. VERIO® laver analyse af risici for datasikkerhedsbrister, ulovlige behandlinger, unødige ophobning af oplysninger og data tilknyttet til personer
  7. VERIO® gør det muligt at efterleve reglerne i praksis
  8. VERIO® udfører en BIG DATA analyse for kortlægning af logfiler og det alene vil ofte kunne generere en målbar merværdi ved at skabe et overblik over uudnyttede data
  9. VERIO® laver et specificeret tilbud med angivelse af de ressource som skal benyttes. Disse kan så hyres som fastansatte eller konsulenter via VERIO®, Talent Finder® eller Innovation Support A/S.
  10. VERIO® laver en process kortlægning der inkluderer datastrømme fra/til;

A) LEVERANDØRER

B) 3. PARTS DELTAGERE

C) SAMARBEJDSPARTNERE

D) INTERNE IT SYSTEMER

E) IT OUTSOURCING, CLOUD PROVIDERE, BACKUP OG MISSION CRITICAL ENHEDER SÅSOM CLOUD, SPEJLNING OG CLUSTERING

F) FORSKNINGS PARTNERE OG FORSKNINGSRESULTATER GENERELT

G) DATA HENHØRENDE HOSPITALSBRUG OG LÆGELIGT BRUG HERUNDER DATATILSYNS LOVGIVNING F.EKS. CPR NUMRE

H) GENNEMGANG FOR GRÆNSEOVERSKRIDENDE OG KONCERNFORBUNDNE VIRKSOMHEDER

I) LANDE JF. AT GRÆNSEOVERSKRIDENDE DATA KAN VÆRE BUNDET AF FLERE LOVGIVNINGER SAMTIDIGT OG ISÆR

J) OFFENTLIGE MYNDIGHEDER

Samlet pakkepris for ovenstående koster kr. 2.000 – 250.000 afhængigt af ressourceforbruget, antallet af audits og herunder om eksisterende medarbejdere har de fornødne kompetencer.

Udbytte udover at overholde gældende love

Det kan ud fra ovenstående komme på tale at genforhandlinger og/eller modificeringer af aftaler og/eller opsigelser af aftaler fordi disse måske ikke opfylder de nye krav og og der kan forekomme en risiko for at din virksomhed kan få bøder som følge af uafklarede aftaleforhold med leverandører eller uklare aftaler inden for server hosting, it outsourcing, backup og lokal netværksdrift.

Persondataforordningen indeholder mange krav, og VERIO® sikrer en FASTTRACK certificering, dokumentation og klarmelding ud fra ovenstående. Det kan være dyrt at undlade at gøre noget.

EU lovgivningen flytter kontrollen væk fra de lokale myndigheder og ud til virksomheden selv og denne berører alle ikke blot i EU, men hele verden hvis data gemmes, behandles eller distribueres i EU.

EU-domstolens har afgivet afgørelser i flere sager, blandet andet i Schrems (Facebook/Safe Harbor-sagen) og Digital Rights (om logningsdirektivet) og databeskyttelsesområdet er underlagt vidtrækkende juridiske krav. At kunne efterleve disse krav stiller store krav til alle virksomheder og offentlige institutioner.

De fleste af vore klienter vil dog kunne se en fordel i samtidigt udrulning af BIGDATA projekter som kan give en betragtelig merværdi for de fleste virksomheder.

Men et er sikkert, alle virksomheder SKAL implementerer og ikke mindst dokumentere at man kan oplyse om indsamlede data hvornår og hvordan, at man kan ændre i disse samt at man kan slette disse data. Dette skal udbydes på firmaets hjemmeside og indarbejdes i nye brugerlicenser m.v.

Man bør huske på at man alene har opfyldt lovgivningen i persondataforordningen hvis dokumentationen herfor er gennemført.

Ansvaret er entydigt dit. For med forordningen er ansvaret endegyldigt, ikke blot for reglernes efterlevelse, men også efterprøvelsen og dokumentationen heraf flyttet VÆK fra Datatilsynet og ud til de enkelte dataansvarlige.

Foto: Innovation Support A/S, Person på Foto: Michael Rasmussen Valiantin. (C) 2016 INNOVATIONSUPPORT A/S. Alle rettigheder reserveret. TalentFinder® er et registreret ord og varemærke for TalentFinder®. VERIO® er et registreret varemærke for VERIO®. Alle angivne priser er ex. moms og fragt.

Du kan læse mere om Michael på hans hjemmeside som er: WWW.MICHAEL.DK