Tíðindi

TÌÐINDI I Njord Law Firm

Om kort tid træder den nye persondataforordning i kraft, hvis formål er at beskytte individers personlige oplysninger – såkaldt persondata – og forordningen vil derfor komme til at påvirke det daglige arbejde for blandt andre HR-medarbejdere og personale-, kunde- og IT-ansvarlige.

Nogen har sammenlignet forordningen med ulven, der kommer – og dét med god grund. Reglerne er mange, og konsekvenserne er store, hvis organisationer, virksomheder og nu også offentlige myndigheder ikke overholder dem. Selvom forordningen kun træder i kraft i EU-landene, kan øvrige lande desværre ikke danse let rundt om den.

Hos det nordiske advokatfirma, NJORD Law Firm, rådgiver de virksomheder og offentlige myndigheder med at tilpasse behandlingen af personlige oplysninger til de kommende krav. Julie Klingsholm Borg er advokatfuldmægtig med speciale inden for arbejds- og ansættelsesret, og hun er særligt skarp i krydsfeltet mellem persondataret og HR. Hun giver her et indblik i den kommende persondataforordning og peger på, hvad vi på Færøerne særligt skal være opmærksomme på.

Handler du med personer fra EU-lande? Så gælder forordningen også for dig

Den 25. maj 2018 træder persondataforordningen i kraft i alle EU-lande. Herefter er alle organisationer, virksomheder og myndigheder, der opbevarer persondata, forpligtet til at efterleve de nye regler.

Det vil dog ikke kun være virksomheder beliggende i EU-medlemslandene, som er forpligtet til at efterleve de nye regler i persondataforordningen, fortæller Julie Klingsholm Borg:

”Også virksomheder, som ikke er beliggende i EU, men som retter deres ydelser eller produkter mod individer, som er bosat i EU, vil blive forpligtet af forordningen – og forordningen vil derfor også gælde for færøske virksomheder, som sælger ydelser eller produkter til f.eks. Danmark.”

Forordningens regler gælder desuden for alle myndigheder og virksomheder, der indsamler, registrerer og behandler personoplysninger på individer bosiddende i et EU-land – eksempelvis Danmark. Reglerne gælder for alle personoplysninger, uanset opbevaringsmetoden, og både digitale data opbevaret i IT-systemer og data opbevaret på fysiske opbevaringssteder er således omfattet af de nye regler.

”Hvis en færøsk virksomhed opbevarer oplysninger om en kunde eller medarbejder bosiddende i f.eks. Danmark, vil dette individs personlige oplysninger være underlagt persondataforordningens krav”, forklarer Julie Klingsholm Borg.

Forordningen synes derfor ikke umiddelbart til at komme udenom for de fleste færøske virksomheder og myndigheder. Men hvilken betydning får forordningen for de virksomheder, den rammer?

Hvilken betydning får forordningen?

Persondataforordningen vil medføre markante ændringer for håndteringen af personoplysninger, siger Julie Klingsholm Borg:

”Den kan få stor økonomisk betydning, hvis ikke man overholder den. Overtræder man reglerne, kan det give bøder på op til 4 % af virksomhedens årlige globale omsætning.”

Justitsministeriets betænkning om forordningen er alene på over 1200 sider. Opgaven kan derfor synes uoverskuelig. Julie Klingsholm Borg peger dog på otte centrale krav, som også virksomheder i ikke-EU-lande, der opbevarer personlige oplysninger om EU-borgere, skal være særligt opmærksomme på at kunne efterleve fra maj 2018:

  • Ansvarlighed: Enhver dataansvarlig skal kunne redegøre for, hvordan reglerne overholdes. Det stiller høje krav til interne procedurer og ansvarsfordeling.
  • Databeskyttelsesrådgiver (DPO): Offentlige myndigheder og virksomheder, der behandler persondata som en del af deres kerneaktivitet eller i stort omfang, skal have en DPO. Det kommer f.eks. til at gælde alle offentlige myndigheder.
  • Dataportabilitet: Enhver dataansvarlig skal kunne udlevere personoplysninger til de registrerede individer på et læseligt og almindeligt anerkendt medie.
  • Retten til at få oplysninger slettet: Alle har som udgangspunkt ret til at få deres data slettet. Dette har særligt relevans ved ophør af et ansættelsesforhold, hvor en fratrådt medarbejders personoplysninger skal slettes efter medarbejderens fratræden, medmindre der er et relevant og sagligt formål med fortsat opbevaring af oplysningerne. Særligt for en fratrådt medarbejders e-mailkonto gælder eksempelvis, at denne maksimalt må holdes aktiv 12 måneder efter ansættelsens ophør.
  • Gennemsigtighed: Der skal informeres på en korrekt og letforståelig måde. Særligt ved indhentelse af et samtykke til behandling af persondata er der tale om en skærpelse af gældende regler.
  • Minimumsbehandling: Der må kun behandles data, hvis det er strengt nødvendigt. Privatlivsbeskyttelse skal sikres gennem IT-løsningers design eller standardindstillinger.
  • Delt ansvar: Databehandlere er underlagt samme krav som dataansvarlige – også selvom parterne har indgået en databehandleraftale. En dataansvarlig er som udgangspunkt den virksomhed, der ligger inde med personoplysningerne. En databehandler er en tredjepart, som får adgang til den dataansvarliges persondata, fordi databehandleren skal udføre en opgave på vegne af den dataansvarlige.
  • Notifikation: Der er pligt til at give relevante myndigheder besked inden for 72 timer, hvis der sker et sikkerhedsbrud. I Danmark er det Datatilsynet, man skal kontakte.

Tre gode råd: Sådan bliver du klar til maj 2018

Hvis man som virksomhed, organisation eller myndighed ikke er gået i gang med forberedelserne til at kunne overholde forordningens regler, når de træder i kraft i maj 2018, skal man gå i gang straks. Ifølge Julie Klingsholm Borg er det en proces, det tager 3-4 måneder at gennemføre:

”Processen skal gennemføres trin for trin, hvor resultatet af den indledende Data Flow Analyse afgør, hvordan den efterfølgende proces skal tilrettelægges. Så virksomhederne kan godt nå det, hvis de går i gang umiddelbart efter nytår.”

Julie Klingsholm Borg har sammenfattet sine erfaringer i tre gode råd til, hvordan også din virksomhed bliver klar til at overholde persondataforordningens regler, når de træder i kraft den 25. maj 2018:

  1. Sørg for at starte arbejdet nu: Det betaler sig at starte arbejdet hurtigt, for I undgår bøder, hvis I er i overensstemmelse med forordningens regler på tidspunktet for dens ikrafttræden.
  2. Inddrag den øverste ledelse i processen fra starten: Det er en proces, der vil tage tid og koste penge. Det anbefales, at ledelsen vurderer, om virksomheden selv har ressourcerne til at håndtere forordningens regler, eller om der er brug for juridisk bistand.
  3. Skab overblik over jeres dataflow: Udarbejd en Data Flow Analyse, hvor I vurderer, i hvilket omfang og på hvilke områder jeres behandling af personoplysninger er i overensstemmelse med eller i strid med persondataforordningens regler.

FAKTABOKS: NJORD Law Firm

Julie Klingsholm Borg er advokatfuldmægtig i NJORD Law Firm med speciale i individuel og kollektiv ansættelsesret, og hun er særligt skarp i krydsfeltet mellem persondataret og HR.

Julie rådgiver særligt inden for reglerne om persondata samt individuelle ansættelsesforhold, herunder diskriminationsforbud, usaglig afskedigelse, udarbejdelse af ansættelsesaftaler og de forskellige ansættelsesformer, centrale løn- og arbejdsvilkår samt ændringer i og ophør af ansættelsesforhold.

I NJORD er de et team af HR-jurister, der dagligt rådgiver HR-ansvarlige over hele landet. På baggrund af mere end 15 års erfaring fra alle sider af HR- og ansættelsesretten har de udviklet HR eBogen som et essentielt HR-værktøj til store og små virksomheder. Læs mere om HR eBogen her

Har du spørgsmål til persondataforordningen eller HR eBogen, kan du kontakte Julie Klingsholm Borg på jkl@njordlaw.com/(+45) 77 40 10 35.

Julie Klingsholm Borg

Julie Klingsholm Borg

Advokatfuldmægtig

Arbejds- og Ansættelsesret

Direct: +45 77 40 10 35

Mail: jkl@njordlaw.com

MIM

Miriam Michaelsen

Advokat (L) / Partner

Arbejds- og Ansættelsesret

Direct: +45 77 40 11 66

Mail: mim@njordlaw.com