Vælg kontor
Privat
Erhverv
Nyheder
Om advodan
Advodan Glostrup
Ring 46 14 50 00

Glostrup Torv 6-10,
2600 Glostrup
Tlf: 46 14 50 00
glostrup@advodan.dk

Se kort Kundeoplysninger

Advodan Glostrup

Vigtige pointer fra stormøde om databeskyttelsesforordningen

Justitsministeriet har netop afholdt et stormøde for erhvervslivet om den kommende databeskyttelsesforordning. På mødet gennemgik Justitsministeriet en række af de centrale punkter i den nye forordning. Bliv klogere på udvalgte temaer fra mødet her.

Justitsministeriets samlede præsentation fra mødet kan læses på Datatilsynets hjemmeside om databeskyttelsesreformen. www.dbreform.dk

Databeskyttelse gennem design

Databeskyttelsesforordningen indfører et krav om ”databeskyttelse gennem design”. På mødet gav Justitsministeriets sin vurdering af, hvad der ligger i dette krav.

Helt overordnet anses det ikke at være en konkret forpligtelse til noget og udgør således ikke et nyt selvstændigt sikkerhedskrav.

Kravet består af en generel pligt for virksomheder til i en forberedelsesfase at overveje, hvilke foranstaltninger, der skal håndteres i forbindelse med behandling af personoplysninger for at overholde persondatalovgivningen. Det indebærer, at virksomheder i forbindelse med valg af fremtidige IT-systemer skal sørge for, at disse designes med henblik på effektiv implementering af databeskyttelsesprincipper (fx principper om at begrænse adgangen til data, indsamle færrest mulige data osv.).

Det er væsentligt at bemærke, at det er Justitsministeriets vurdering, at kravet ikke anses at gælde eksisterende IT-systemer, som således ikke skal re-designes. I forbindelse med videreudvikling af eksisterende systemer, skal man dog være opmærksom på, at større ændringer kan udløse et krav om tilpasning. Sådanne tilpasninger kan eksempelvis bestå i organisatoriske foranstaltninger som udarbejdelse af interne procedure, uddannelse af medarbejdere m.v.

Databeskyttelse gennem standardindstillinger

I tillæg til kravet om databeskyttelse gennem design, indfører databeskyttelsesforordningen et krav om ”databeskyttelse gennem standardindstillinger”.

Ifølge Justitsministeriet har kravet følgende betydning for eksisterende og fremtidige IT-systemer:

Fremtidige IT-systemer skal have standardindstillinger, der fremmer dataminimering og formålsspecifik behandling.

I forhold til eksisterende IT-systemer sondres der mellem, om systemet giver mulighed for ændring af standardindstillingerne. Hvor dette er tilfældet, er virksomheden på tidspunktet for forordningens ikrafttræden forpligtet til at ændre standardindstillingerne på samme måde som for fremtidige systemer.

Hvis der er tale om eksisterende IT-systemer, hvor standardindstillingerne ikke kan ændres, vurderer Justitsministeriet, at de nye krav ikke gælder. Virksomheden skal dog være opmærksom på, at dette ikke er ensbetydende med, at virksomheden ikke er underlagt de øvrige forpligtelser om at opretholde et tilstrækkeligt sikkerhedsniveau osv. 

Gennemførelse af konsekvensanalyser

Databeskyttelsesforordningen indfører et krav om, at der i visse situationer skal gennemføres såkaldte konsekvensanalyser. 

Kravet om konsekvensanalyser gælder alene fremtidige systemer. Dvs. virksomhederne skal ikke gennemføre konsekvensanalyser på eksisterende IT-systemer. 

Der skal foretages konsekvensanalyser, når en virksomhed:

  • gennemfører systematisk og omfattende vurdering af personlige forhold, der er baseret på automatisk behandling, eksempelvis profilering
  • foretager behandling i stort omfang af særlige kategorier af oplysninger
  • systematisk overvåger et offentligt tilgængeligt område i et stort omfang

Virksomheder kan i fællesskab udarbejde en konsekvensanalyse, når de i vidt omfang anvender samme type systemer og behandlingsaktivitet.

Den dataansvarliges dokumentationsforpligtelser

Grundlæggende har en dataansvarlig efter forordningen det samme overordnede ansvar for behandlingen af personoplysninger, som gælder i dag i henhold til persondatalovgivningen.

Med databeskyttelsesforordningen er det dog blevet et krav, at den dataansvarlige kan dokumentere, at behandlingen af personoplysninger sker i overensstemmelse med forordningens regler. Dette kan eksempelvis gennemføres ved at udarbejde en fortegnelse over virksomhedens behandlingsaktiviteter. 

En fortegnelse kan omfatte:

  • Navn og kontaktoplysninger for den dataansvarlige og evt. repræsentant / rådgiver
  • Formålene med behandlingen
  • En beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
  • Kategorier af modtagere
  • Information om evt. overførsel af data til tredjelande
  • Tidsfrister for sletning
  • Generelt beskrivelse af virksomhedens tekniske og organisatoriske foranstaltninger

Visse virksomheder er underlagt en forpligtelse til at udarbejde ovenstående fortegnelse (ex. hvis virksomheden har minimum 250 medarbejdere), mens andre virksomheder kan vælge at udarbejde en fortegnelse og anvende denne til at opfylde kravet om at kunne påvise, at virksomheden efterlever databeskyttelsesforordningen.


Nye forpligtelser for databehandlere

Databehandlere bliver med forordningen omfattet af en række nye forpligtelser, eksempelvis:

  • underretning ved sikkerhedsbrister
  • evt. DPO
  • flere og mere detaljerede krav til databehandleraftaler
  • vilkår vedrørende brug af underdatabehandlere
  • erstatningsansvar over for de registrerede

Private virksomheder og udpegning af Data Protection Officer (DPO):

Stormødet behandlede også spørgsmålet om, hvornår private virksomheder skal udpege en DPO, hvilket vi også tidligere har omtalt i forbindelse med offentliggørelsen af vejledningerne fra Artikel 29-gruppen.

Læs mere om, hvornår en privat virksomhed skal udpege en DPO her. 

Hvis en virksomhed ikke er omfattet af kravet om at have en DPO, behøver virksomheden ikke at foretage sig noget. Det anbefales dog, at virksomheden har udarbejdet en skriftlig vurdering omfattende de overvejelser, virksomheden har gjort sig, og gemmer denne vurdering internt.

På stormødet uddybede Justitsministeriet, hvad der ligger i kravet om, at DPO’en skal have en uafhængig position i virksomheden, og hvilke medarbejdere i en organisation, der – som følge af kravet om en uafhængig position – ikke kan varetage opgaven. Det blev eksempelvis fastslået, at en DPO i en virksomhed kan ikke samtidig være øverste ansvarlig for organisationens lovlig behandling af personoplysninger, og kan ex. ikke være den øverste IT-chef eller øverste HR-ansvarlige.


FLERE GRATIS RÅD?

Vil du have gode råd om juridiske emner, der har betydning for din hverdag? Så tilmeld dig vores nyhedsbrev.

  • Få nyheder og gode råd om jura - direkte i din indbakke
  • Tips fra advokaterne
  • Gratis arrangementer
Tilmeld Nyhedsbrev Privat

Karina Lind Bertelsen
VIL DU VIDE MERE?

Karina Lind Bertelsen

Advokat Vis faglig profil
GØR SOM 12.622 ANDRE. SE MERE HER
Gør som 12.622 andre

Tilmeld dig vores nyhedsbreve og bliv opdateret på juraen i din hverdag. Vi sender ud to gange hver måned.

Når du udfylder formularen og trykker ”Ja tak, tilmeld mig nu”, giver du samtykke til, at ADVODAN sender dig nyhedsbreve med lokale arrangementer, nyheder og gode råd om jura.

ADVODAN opbevarer og benytter udelukkende de indtastede oplysninger som led i udsendelse af nyhedsbreve. Behandlingen af oplysningerne sker sikkert, fortroligt og i overensstemmelse med gældende lovgivning.

Du kan til enhver tid tilbagekalde dit samtykke og afmelde dig nyhedsbreve fra ADVODAN ved at bruge linket i bunden af nyhedsbrevet.

Læs mere om ADVODANs behandling af personoplysninger her.