Nye regler om persondata

Nye regler om persondata
Den nye persondataforordning finder anvendelse fra den 25. maj 2018 og skærper kravene til, hvordan f.eks. en virksomhed indsamler, registrerer og bruger kundeoplysninger. De nye regler gælder for håndtering af alle typer af personoplysninger og dermed for såvel kunde- som medarbejderoplysninger.

I praksis betyder det, at enhver personrelateret information om kunder, medarbejdere, jobansøgere osv. er omfattet af reglerne. Det gælder fra helt basale informationer som f.eks. emailadresser og telefonnumre til følsomme personoplysninger om f.eks. helbredsforhold og medlemskab af en fagforening.
Samtidig bliver sanktionerne for ikke at overholde reglerne øget markant og med risiko for bøder på helt op til 20 mio. euro eller 4% af en virksomheds årlige globale omsætning.

Uanset om jeres virksomhed indtil nu har haft fokus på at overholde persondatalovgivningen eller ej – så er det med den nye persondataforordning afgørende, at I får overblik over reglerne og jeres håndtering af personoplysninger.

De grundlæggende regler
De grundlæggende regler om persondata indebærer, at det enkelte individ har en række rettigheder og skal beskyttes mod uberettiget behandling af dets personlige oplysninger.
Det betyder, at enhver virksomhed/myndighed mv., der indsamler, opbevarer og anvender personrelaterede oplysninger, skal leve op til nogle grundlæggende principper for behandling af persondata. Principperne er de samme efter de nuværende regler som efter de kommende regler i persondataforordningen.

  • Persondata må kun behandles på en lovlig, rimelig og gennemsigtig måde.
  • Persondata må kun indsamles til specifikke, klare og saglige formål – og må ikke senere anvendes til andre formål, som er uforenelige med de oprindelige formål.
  • De oplysninger, der behandles, skal være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af formålet med behandlingen – der gælder et strengt princip om “need to know” (i modsætning til “nice to know”).
  • Der skal ske ajourføring af persondata, og der skal ske kontrol af, at der ikke behandles urigtige og vildledende oplysninger.
  • Persondata må kun behandles, herunder opbevares, så længe det er nødvendigt for at forfølge et sagligt formål.
  • Persondata skal sikres mod ulovlig brug, tab eller utilsigtet sletning eller skade.

Som noget helt nyt er det et grundlæggende krav, at I som virksomhed/myndighed skal kunne dokumentere, at reglerne overholdes.

Herudover gælder der skærpede forholdsregler og hensyn, hvis I håndterer såkaldte “følsomme persondata”, som eksempelvis oplysninger om race, religion, helbred og politisk tilhørsforhold. Der kan – særligt i de organisationer, der håndterer mange følsomme persondata som en del af deres kerneaktiviteter – også være krav om at udpege en databeskyttelsesrådgiver, en såkaldt Data Protection Officer (DPO).

EnglishDanish