Persondataforordningen er et nyt regelsæt fra EU, som træder i kraft den 25. maj 2018. Regelsættet medfører en række ændringer for, hvad man må og hvordan man skal behandle persondata. Det er derfor vigtigt at kende og overholde de nye regler, da brud på reglerne kan medføre markante bøder. Risikoen for markante bøder vil også give et øget fokus på persondata og compliance fra kunder, samarbejdspartnere og myndigheder.
Vi har i GroupM igangsat et Data Compliance Program for at sikre, at vores enheder i Norden lever op til de nye regler i persondataforordningen.
Væsentlige nyheder
- Skærpet krav til dokumentation for forbrugerens samtykke
- Styrkelse af den registreredes rettigheder
- Right-to-be-forgotten (retten til at blive glemt)
- Risikobaseret krav om privacy by design og privacy by default
- Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
- Pligt til at orientere Datatilsynet og i nogle tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
- Udbydere af sociale medier og andre informationssamfundstjenester skal have forældresamtykke, for at kunne behandle oplysninger om børn under 16 år. Medlemsstaterne kan vælge at sænke denne alder til 13 år
- Data Protection Officer i offentlige myndigheder og visse private virksomheder
- En ny “One-stop-shop” for koncerner, der er etablerede i flere EU lande, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne
- Bøder på op til 4% af global årlig koncernomsætning
Det berør også dig
Persondataforordningen gælder for alle selskaber, der besidder og behandler data, når dataene er personhenførbare (også kaldet PII for Personal Identifiable Information). Ifølge Datatilsynet er der tale om personhenførbar data, når det med rimelighed kan forventes, at kunne føres tilbage til en fysisk person.
I praksis vil Persondataforordningen berøre alle selskaber, da alle selskaber har data i form af navne, telefonnummer, mailadresse, CPR nr. mv. på medarbejdere. Hertil kommer, at de fleste selskaber vil have data vedr. forbrugere, som også vil være omfattet af forordningen.
Det skal du gøre
- Foretag en overordnet juridisk analyse af, hvilke ændringer i forordningen, som er vigtigst for jer
Det kan for eksempel være dokumentationskravene ved brug af samtykke, mens det for offentlige myndigheder kan være kravet om at udpege en Data Protection Officer
- Kortlæg hvilke personoplysninger, der behandles i organisationen
Al erfaring viser, at netop denne opgave ofte kan være særdeles kompleks. Samtidig er dens løsning en grundlæggende forudsætning for, at virksomheden reelt kan danne sig et overblik over, hvor der størst behov for at sætte ind for at sikre compliance.
- Få overblik over jeres leverandører
En af de største risici for enhver organisation, der behandler personoplysninger, er, når oplysninger overlades til eksterne parter (databehandlere). Der bør derfor foretages en afdækning på tværs af organisationen af, hvilke underleverandører der er indgået aftaler med.
- Vurder jeres forretnings/organisations samlede eksponering
Persondataforordningen indeholder mange krav, og flere af dem er forholdsvis generelle. Brugen af it-systemer, udbredelsen af cloud computing, graden af efterlevelse af de nuværende regler i persondataloven, hvilke typer personoplysninger, der behandles mv., er blot nogle af de forhold, der kan have stor betydning for, hvordan jeres organisation berøres.
- Hav persondataforordningens særlige karakter for øje
Databeskyttelsesområdet underlagt nogle særlige og vidtrækkende juridiske krav, hvis efterlevelse stiller store krav til alle relevante aktører. Efterlevelsen af forordningens krav kan således aldrig blot være en “check-liste øvelse”, men skal indebære en reel juridisk efterprøvelse af, om de påtænkte behandlinger af personoplysninger er lovlige.
- Dokumentér
Under forordningen er et krav kun efterlevet, hvis efterlevelsen er dokumenteret. Det såkaldte princip om accountability (ansvarlighed) rykker med forordningen endegyldigt ansvaret væk fra Datatilsynet og ud til de enkelte dataansvarlige. Virksomheden skal som dataansvarlig selv kunne dokumentere reglernes efterlevelse.
Eksempler, hvor du skal være særligt opmærksom
Marketing og børn; Persondataforordningen giver en udvidet beskyttelse over for børn. Børn under 16 år kan således ikke afgive samtykke til behandling af deres personlige oplysninger, hvilket eksempelvis betyder, at der ikke må placeres cookies på barnets device.
Hacking; Hvis en virksomhed, bliver udsat for indtrængen fra hackere, skal sikkerhedsbruddet anmeldes til datatilsynet inden 72 timer. Sikkerhedsbruddet offentliggøres, og det vil være forbundet med sanktioner, hvis sikkerhedsbruddet ikke anmeldes.
Databehandleraftale; Ved behandling af persondata for kunder, skal der forinden udveksling af persondata indgås en skriftlig databehandleraftale, indeholdende bestemmelser om dataansvarlig og databehandler, IT-systemer, processor og kontroller mv.
Stil krav til dit mediebureau
Mediebureauer arbejder traditionelt meget med data, og vi er overbevist om, at der vil komme et stigende krav fra kunder og samarbejdspartnere om at sikre, at vi opfylder reglerne om persondata.
Som en del af GroupM er Mindshare derfor allerede i gang med et Data Compliance Program for at sikre, at vi overholder persondatareglerne. Selvom persondataforordningen først træder i kraft i maj 2018, ønsker vi at være på forkant med de skærpede regler, således at kunder og samarbejdspartnere er sikret i forhold til persondata compliance.
”Compliance” anses ofte som en omkostning og et nødvendigt onde, men hos Mindshare anses data compliance som en investering og et aktiv, som vil påvirke forretningen positivt og være med til at sætte standarden i branchen.
Hvis du vil vide mere eller ønsker uddybning af noget af ovenstående, er du velkommen til at tage fat i din normale kontaktperson hos Mindshare.