Nu kommer de nye EU regler for persondatabeskyttelse – og de kræver handling

18 december 2015

Langt skrappere krav til persondatabeskyttelse, øget kontrol til borgerne og massive bøder er nogle af de hovedpunkter, som får konsekvenser for rigtig mange virksomheder og myndigheder med de nye EU regler for personbeskyttelse. Med EU persondataforordningen nærmer vi os et niveau af persondatasikkerhed, som svarer til det, vi kender fra finansielle data og regnskabsdata.

Tirsdag d. 15.december afsluttede ministerrådet og parlamentet forhandlingerne om de sidste punkter i det mere end 100 sider lange forslag til en forordning, som skal sikre ensartede regler for persondatabeskyttelse i EU. Forordningen er samtidig en modernisering af det 20 år gamle persondatadirektiv.  

Forordningen stiller strenge krav til virksomheder og myndigheders evne til at sikre effektiv databeskyttelse. Det skal blandt andet kunne dokumenteres, at behandlingsaktiviteter er i overensstemmelse med forordningens regler. Til at føre tilsyn med virksomhedens eller myndighedens efterlevelse skal virksomheden udpege en uafhængig databeskyttelsesansvarlig, som har ekspertviden om persondataret og databeskyttelsespraksis. Kravet om en databeskyttelsesansvarlig gælder alle myndigheder undtagen domstole og alle virksomheder, som systematisk og regelmæssigt overvåger mange personer eller som behandler følsomme personoplysninger i stor skala.

Der indføres bøder på op til 20 mio. euro eller 4% af årsomsætningen globalt.

Mere fokus på borgerens rettigheder

Borgere får med forordningen øget kontrol over egne data. En borger kan eksempelvis kræve sine data slettet, med mindre virksomheden har en lovbestemt eller andre tungtvejende hensyn, der giver virksomheden ret til at gemme data. Sidstnævnte tolkes meget restriktivt i forordningen. Borgere kan kræve indsigt i, hvad borgerens data er anvendt til og der kan udstedes bøder, hvis virksomheden ikke efterlever kravet. Borgere kan også søge erstatning for tort og økonomisk tab hos virksomheden, hvis der sker sikkerhedsbrud.

Test jer selv. Er din virksomhed eller organisation klar?

På testdinviden.bdo.dk kan du se, om I er klar til de nye regler.

Vores anbefaling

I BDO anbefaler vi, at virksomheder og myndigheder med en kompleks persondataanvendelse, allerede nu kortlægger behandlingsaktiviteter og lægger en plan for implementering af de nødvendige tiltag. Fuld udnyttelse af den to årige implementeringsperiode vil gøre implementeringen både billigere og mere gnidningsfri.

BDO kan naturligvis hjælpe med tilrettelæggelse og udførelse af dette. Vil du vide hvordan, så kontakt.

Erik Sørup Andersen
Director, consulting.
Tlf. 51 58 60 35
ESA@bdo.dk