BRUG FOR RÅDGIVNING OM PERSONDATABESKYTTELSE?

Person­da­ta­lov­giv­nin­gen har aldrig været så hot, som lige nu. Hidtil har det nærmest blot været et støvet regel­sæt, kun de færre­ste virk­som­he­der, orga­ni­sa­tio­ner og myndig­he­der har sikret sig at over­holde til fulde. Efter EU’s vedta­gelse af data­be­skyt­tel­ses­for­ord­nin­gen – også kendt som persondataforordningen – ser bille­det dog noget ander­le­des ud.

Selvom forord­nin­gen i reali­te­ten ikke vil inde­bære mange ændrin­ger i den eksi­ste­rende person­da­ta­lovs grund­læg­gende regler og prin­cip­per, så har den til gengæld et helt andet fokus på den data­ansvar­li­ges forplig­telse til netop at over­holde lovgiv­nin­gen. Begre­bet ”acco­un­ta­bi­lity” er en af grund­pil­lerne i forord­nin­gen sammen med også begre­bet ”trans­pa­rency” i forhol­det mellem den data­ansvar­lige og den registrerede.

Det bety­der, at den data­ansvar­lige bliver pålagt øgede krav til doku­men­ta­tion for data­be­skyt­telse og opfølg­ning. Blandt andet skal den data­ansvar­lige udar­bejde en forteg­nelse med henblik på at kunne doku­men­tere en efter­le­velse af forord­nin­gen, lige­som syste­merne så vidt muligt skal desig­nes sådan, at man sikrer over­hol­delse af data­be­skyt­tel­ses­reg­lerne (privacy by design), og man skal indbe­rette data­brud inden for 72 timer. Der skal gene­relt ske en kort­læg­ning af oplys­nin­ger, der behand­les, og der skal i øget omfang føres intern kontrol med, at det gøres rigtigt. Heru­d­over styr­kes den regi­stre­re­des rettig­he­der – herun­der kravene til samtykke og oplysning.

For at under­strege den data­ansvar­li­ges forplig­tel­ser indfø­rer forord­nin­gen desu­den et bøde­ni­veau af en hidtil uset stør­relse inden for persondataretten.

 

HVAD ER STATUS PÅ LOVGIVNINGSPROCESSEN?

Forord­nin­gen træder i kraft den 25. maj 2018 og forud­sæt­ter efter sin form ikke imple­men­te­ring ved lov. Den vil derfor få fuld virk­ning fra dette tidspunkt.

Dog inde­hol­der forord­nin­gen en række mulig­he­der for at fast­lægge natio­nale regler på konkrete områ­der. Det ende­lige regel­sæt, der vil gælde fra næste år, er derfor endnu ikke kendt, men Justits­mi­ni­ste­riet har meldt ud, at man forven­ter at frem­sætte et lovfor­slag om særreg­ler i Danmark til efter­å­ret 2017.

Lovfor­sla­get vil blandt andet være base­ret på en betænk­ning, som Justits­mi­ni­ste­riet har udar­bej­det. Betænk­ning nr. 1565 om Data­be­skyt­tel­ses­for­ord­nin­gen giver en god forstå­else af forord­nin­gens betyd­ning for gældende regler og prak­sis, og den kan hentes her:

Del I, bind 1

Del I, bind 2

Del II

Justits­mi­ni­ste­riet har også meldt ud, at de i løbet af efter­å­ret og vinte­ren vil udsende en række prak­ti­ske vejled­nin­ger om konkrete temaer. Se deres plan her.

 

HVAD KAN ELMER ADVOKATER HJÆLPE MED?

Uanset at mange af prin­cip­perne er kendte i forvejen, er reglerne meget komplekse. De inde­hol­der ikke bare en hel del teknisk lovgiv­ning, der retter sig mod nødven­dige sikker­heds­krav, men også en række mere skøns­præ­gede regler, der forud­sæt­ter en helt konkret bedøm­melse af, i hvil­ket omfang det i det hele taget er nødven­digt at indhente, behandle, vide­re­give og opbe­vare personoplysninger. Med en samti­dig udsigt til en frem­tid, hvor den tekni­ske udvik­ling næppe går i stå, men hvor det tvær­tom vil blive endnu lettere at opbe­vare, filtrere og sammen­stille personoplysninger, vil person­da­ta­ret­ten uomt­vi­ste­ligt inde­bære en række udfor­drin­ger og dilem­maer for den dataansvarlige.

Og det er en svær øvelse at gøre det rigtige.

Hos Elmer Advo­ka­ter kan vi bistå med de person­da­ta­ret­lige spørgs­mål, som med sikker­hed vil opstå ikke bare i den forbe­re­dende proces, men også efter­føl­gende i forbin­delse med admi­ni­stra­tio­nen af reglerne i orga­ni­sa­tio­nen. Vi har indgå­ende erfa­ring og indsigt i regel­sæt­tet om person­data og ved, hvor man som data­ansvar­lig typisk halter efter i forhold til at efter­leve reglerne. Vi kan derfor sikre kompe­tent rådgiv­ning foku­se­ret på de udfor­drin­ger, orga­ni­sa­tio­nen står over­for – eksem­pel­vis i forhold til at få udar­bej­det gode proce­du­rer for hånd­te­ring af person­data på alle niveauer og gennem hele kæden af behandlinger.

Kira Kolby Christensen

Partner

Læs også om