Fremdrift

Indtast dit søgeord

Ny persondataforordning skaber kaos hos virksomhederne

Julie Gerdes
7. oktober, 2016 8 minutters læsetid

    Sociale medier

Der står persondata i øjnene på ledelsen hos størstedelen af de danske virksomheder lige nu. Baggrunden er den nye EU-persondataforordning, som trådte formelt i kraft i foråret 2016 men som først implementeres i Danmark og træder i kraft herhjemme den 25. maj 2018.

Ifølge EU-forordningen kan det nemlig komme til at koste op mod 20 mio. EUR, hvis ikke den danske virksomhed håndterer persondata lovligt. Ligeledes er der store imagemæssige risici forbundet med manglende overholdelse af reglerne – og så åbnes der op for søgsmål herunder gruppesøgsmål.

Der er ingen tvivl om, at håndtering af persondata er det nye sort i EU. Og der bliver i fremtiden slået ligeså hårdt ned på overtrædelser af persondatalovgivningen som indenfor konkurrenceretten, karteldannelser og lignende. De store risici betyder, at håndtering af medarbejderdata, kundedata og øvrig persondata flyttes op på øverste ledelsesniveau. De danske virksomheder har lige nu meget travlt med at sikre sig, at forretningen agerer lovligt i forhold til virksomhedens behandling af persondata.

Selvom der er godt 1 ½ år til, at EU-forordningen binder de danske virksomheder, så har mange virksomheder allerede nu fundet ud af, at 1 ½ år er meget kort tid til at gøre forretningen klar til at overholde forordningen – og ikke mindst blive ved med at overholde forordningen.

Massivt behov for ekstern hjælp

Allerede nu kræver det betydelige interne ressourcer i virksomhederne at gøre sig klar til den nye forordning. Og det ses i virksomhedens budgetter. De nye skærpede regler betyder, at virksomhederne lige nu går til eksterne rådgivere for at kunne leve op til de omfattende krav, da mange virksomheder ikke har de nødvendige interne ressourcer parat til at løse den omfattende opgave.

Data-mapping og dokumentation giver problemer

Den helt store udfordring for de danske virksomheder nu og for fremtiden er data-mapping. Virksomheden skal først og fremmest have overblik over hvilke data, man ligger inde med i organisationen og ikke mindst hvilke interne processer de behandles i. Det kræver et særdeles omfattende og kompleks arbejde med data- og proces-mapping på tværs af virksomheden og virksomhedens eksterne samarbejdspartnere, koncernforbundne selskaber mv.

Endelig skaber forordningens krav om dokumentation massive vanskeligheder, da virksomheden skal kunne dokumentere, hvordan data anvendes, i hvilke processer og i hvilke systemer, så længe data eksisterer. Faktisk er der tale om en omvendt bevisbyrde, da virksomheden i en klage- eller kontrolsituation skal kunne bevise sin uskyld.

Ikke bare en juridisk opgave

Den nye EU-forordning er ikke bare en juridisk opgave for virksomhedens juridiske rådgivere. Forordningen kræver en omfattende proces- og systemtilgang til behandling af persondata, som kræver stærke ressourcer.

 

FAKTABOKS

Hvad skal virksomhederne så gøre for at leve op til de nye skrappe krav i EU´s persondataforordning? Her følger et par korte headlines:

Korte headlines om den nye persondataforordning

• Data-mapping: Virksomheden skal først og fremmest have overblik over hvilke data, man ligger inde med i organisationen. Det kræver et særdeles omfattende og kompleks arbejde med data-mapping på tværs af virksomheden og virksomhedens eksterne samarbejdspartnere, koncernforbundne selskaber mv.

• Herefter skal forretningen have overblik over, hvad data bliver brugt til, og om de implicerede personer er blevet oplyst om samt har accepteret, at virksomheden har deres data. Endelig skal der skabes overblik over, hvordan virksomheden behandler persondata internt og ikke mindst eksternt, herunder om sikkerhedskravene er overholdt i forhold til eksterne samarbejdspartnere og om de krævede databehandleraftaler er på plads

• Accountability – Virksomheden skal kunne dokumentere, hvordan data anvendes, i hvilke processer og i hvilke systemer, så længe de data eksisterer. Dette for at sikre, at data ikke bruges i modstrid med det indhentede formål, og at de kan udleveres eller slettes på anmodning fra borgere/kunder

• Et andet omfattende og nyt krav er ”Protection by Design” ”og Protection by Default”, som pålægger virksomheden, at designe forretningsgange og it-systemer, så der kun behandles personoplysninger på et tilstrækkeligt sikkerhedsniveau og med et klart og nødvendigt og proportionelt formål. Dette krav kan kræve inddragelse af eksterne parter, eks. systemleverandører

• Flere rettigheder til de registrerede – bl.a. forudgående information om hvordan deres persondata behandles, skærpet krav til samtykke, retten til at blive glemt, krav om sletning af data. Endelig skal begæringer om indsigt fra den registrerede besvares inden for 4 uger og uden omkostninger

• Der skal udpeges en DPO (Data Protection Officer) i offentlige myndigheder og i de private virksomheder, hvor kerneforretningen omfatter systematisk behandling/overvågning af persondata eller som foretager en omfattende behandling af følsomme persondata

• Underretning om alvorlige brud på datasikkerheden skal ske indenfor 72 timer til Datatilsynet

• Der skal udarbejdes de nødvendige privacy politikker og procedurer

• Sikring af lovlig overførsel af persondata til ikke-sikre lande udenfor EU

• Sikring af nødvendige anmelder og tilladelser fra Datatilsynet

• Udarbejdelse af påkrævede databehandleraftaler med eksterne databehandlere

• Sikring af underleverandørers behandling af persondata på vegne af virksomheden

• Risici/konsekvens analyse (den såkaldte DPIA) af de registreres rettigheder

Kilde: EY

Andre relevante artikler

Kontakt

Er du interesseret i vores ydelser? Vil du lave en forespørgsel? Kontakt os via nedenstående formular og vi vender tilbage så snart vi kan. Du kan også kontakte et lokalt kontor.

Abonner på EY's nyhedsbreve

EY udgiver en række nyhedsbreve, der er relevante for små og mellemstore virksomheder. Nyhedsbrevene er gratis og indeholder korte artikler, der beskriver aktuelle lovkrav og udfordringer, samt fakta og inspiration til virksomhedsejere, direktører, økonomichefer m.fl. Du tilmelder dig via nedenstående link.

Få nyheder fra EY

Vil du have hjælp?

Hvordan kan du udvikle din virksomhed?

Vi har lang erfaring med de udfordringer, som du og din virksomhed står overfor - uanset om der er tale om revision, regnskab, skat eller anden rådgivning.