Nye regler for håndtering af persondata - forskelle og ligheder?

Læs mere om hvordan Azets kan hjælpe  Bliv ringet op

Men hvad har de nye EU-regler egentlig af betydning for din virksomhed? Hvad er forskellen på den nugældende Persondatalov og den nye EU-forordning? Hvorfor er der behov for nye regler? Og hvad har det af konsekvenser, hvis ikke din virksomhed overholder reglerne?

”Alle virksomheder, organisationer og offentlige myndigheder, der behandler personoplysninger, er underlagt den nye persondataforordning. Er du virksomhedsejer (dataansvarlig), håndterer du data for andre virksomheder (databehandler), eller er du ansvarlig for personaleadministration, er det derfor vigtigt, at du er bevidst om, hvilke tiltag, I skal foretage for at efterleve kravene”, fortæller HR-juridisk konsulent Ayse Özden.

Hvilke love er der tale om? 

I januar 2015 udlagde Datatilsynet nye minimumskrav til databeskyttelsen til virksomheders personaleadministration.

I april 2016 blev nye EU-regler for persondata vedtaget, og de trådte endeligt i kraft den 25. maj 2018.

Persondatabeskyttelse kort og godt

Kort sagt handler persondatabeskyttelse i almindelighed om den måde, hvorpå din virksomhed håndterer personlige oplysninger. Det kan eksempelvis være medarbejdere, kunder, samarbejdspartnere og ansøgere. Uanset hvem de personlige oplysninger tilhører, er det vigtigt, at I:

• Indsamler
• Opbevarer
• Bruger
• Deler
• Sletter

Oplysninger i overensstemmelse med gældende regler i Persondataloven.

Hvordan de enkelte oplysninger skal behandles afhænger af, hvilken type oplysninger, der er tale om:

1. Følsomme oplysninger; f.eks. helbredsoplysninger, religion, personlighedstest, seksuelle forhold, væsentlige sociale problemer, mv.
2. Rent private forhold; f.eks. strafbare forhold
3. Almindelige ikke-følsomme oplysninger; identifikationsoplysninger (navn, adresse, mv.), familieforhold, uddannelse, beskæftigelse, løn, skat og gæld, mv.

Hvad er formålet med den nye Persondataforordning?

Den teknologiske udvikling har taget fart - og den fortsætter. Og det er netop denne udvikling, der skaber udfordringer, når det kommer til sikkerhed af persondata.

”Vi har de seneste år set flere eksempler på sager, hvor uvedkommende har fået adgang til personlige oplysninger og lækket dem. Formålet med den nye Persondataforordning er at fremsætte nogle regler, der tager højde for den teknologiske udvikling og derigennem skærper sikkerheden omkring de personlige oplysninger”, understreger Ayse Özden.

Et vigtigt element er således beskyttelse af det enkelte individs persondata, så disse ikke bliver misbrugt eller kommer i hænderne på uvedkommende, f.eks. med henblik på identitetstyveri, bedrageri og andet misbrug.

Persondatareglerne i dag

I dag består Persondataloven af 12 punkter, der betegnes som minimumkrav eller standardvilkår. Dem kan du læse her

 Håndtering af personoplysninger

Overordnet set beskriver de 12 punkter en række principper om, hvordan behandling og håndtering af personoplysninger - følsomme som ikke-følsomme - skal håndteres.

Det vil altså sige, at loven dækker over alle faser fra modtagelse af oplysningerne til sletning - og det er uanset om der er tale om elektronisk eller manuel behandling.

 Sikring - teknisk såvel som organisatorisk

Persondataloven stiller blandt andet krav til, at virksomheden efterlever de angivne sikkerhedskrav. Den ansvarlige medarbejder skal dermed sikre, at alle oplysninger er både teknisk og organisatorisk sikrede. Det vil sige, at der er klare retningslinjer for, hvilke medarbejdere, der har adgang til hvilke oplysninger, samt hvordan disse håndteres.

”Det betyder også, at virksomheden skal sikre sig en skriftlig aftale med alle leverandører, der måtte stå for håndtering eller behandling af personoplysningerne”, fremhæver Ayse Özden.

 Dokumentation

Ifølge Ayse Özden skal virksomheden ud over dokumentation for håndtering af data samtidig kunne bevise, at den har tilladelse til at håndtere de givne personoplysninger.

”I visse situationer kan det f.eks. være nødvendigt med samtykke fra den person, man indsamler og håndterer data fra, for at kunne opfylde en retslig forpligtelse, aftale eller lignende”, siger Ayse Özden.

Sidst men ikke mindst beskriver loven rettighederne for de personer, som oplysningerne vedrører, samt den type behandling af personoplysninger, som virksomheder og offentlige myndigheder er forpligtet til at oplyse til Datatilsynet.

Dette er nogle af de vigtigste punkter i den nuværende Persondatalov. Her kan du finde bestemmelserne i Persondataloven.

Hvad er forskellen på den nye og gamle Persondatalov

De ovenfornævnte punkter er de vigtigste i den gamle persondatalov. Men hvad er forskellen på de gamle og nye regler?

 Større krav til dokumentation

En af de mest markante forskelle er, at der med de nye regler stilles større krav til dokumentation. Virksomheder skal således kunne dokumentere, at de overholder de gældende regler - det gøres bl.a. ved dokumentation af retsgrundlaget for at behandle persondata, f.eks. via samtykke og skriftlige retningslinjer for procedurer og politikker for indhentning og brug af persondata.

 Hårdere straffe

En anden klar forskel er, at straffen for ikke at overholde reglerne er langt hårdere end tidligere. Det betyder, at gentagne overtrædelser kan føre til en bøde på helt op til 4% af virksomhedens omsætning.

 The right to be forgotten

Derudover er retten til at blive glemt - ”the right to be forgotten” - et bærende element i de nye regler. De gamle regler er, at personoplysninger skal slettes, når de ikke længere benyttes eller bliver overflødige - med de nye regler er der visse tilfælde, hvor oplysningerne skal slettes med det samme.

Hvordan bliver du klar?

Vi har nu opridset den eksisterende lov og givet dig et nærmere indblik i, hvordan de nye regler adskiller sig fra de gamle. Men hvordan gearer du virksomheden til de nye regler? Det kan du læse mere om her.

”Du er også altid velkommen til at kontakte os til sparring om, hvordan jeres virksomhed optimerer jeres processer og systemer, så I kan efterleve den nye persondataforordning.”, fremhæver Ayse Özden.

Se her, hvordan Azets kan hjælpe i forhold til Persondataloven

De 12 standardvilkår:

Minimumskravene som Datatilsynet indførte tilbage i januar 2015 består af tolv punkter, som også kaldes standardvilkår. Disse standardvilkår er gældende for alle virksomheders håndtering af medarbejdernes personoplysninger.

Nedenfor har vi samlet vilkårene for at give et bedre overblik og en større forståelse for, hvad de rent faktisk indebærer.

1. Hvordan beskyttes jeres personaleoplysninger i virksomheden? Og hvordan vil virksomheden i praksis implementere punkt 2-12? Dette skal beskrives - f.eks. i form af særlige retningslinjer, en politik for it-sikkerhed eller som en del af medarbejderinformationerne - så medarbejderne ikke er i tvivl om, hvordan de skal handle.
   
   
2. Kun personer med sagligt behov skal have adgang til personoplysningerne. Begræns antallet af personer så meget som muligt.
   
   
3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.
   
   
4. Når personaleoplysninger på tryk, f.eks. i ringbind, ikke er i brug, skal de opbevares aflåst. Sørg for at anvende makulering eller lignende foranstaltning, når dokumenter med personaleoplysninger skal smides ud. Dette skal sikre, at uvedkommende ikke kan få adgang til oplysningerne.
   
   
5. Alle computere og andet elektronisk udstyr, der indeholder personoplysninger, skal udstyres med en adgangskode. Kun relevante personer skal have adgang, og må ikke videregive deres kode eller lade den ligge fremme, så andre kan se den. Der skal føres kontrol med de uddelte koder mindst hvert halve år.
   
   
6. Fejlslagne forsøg på at få adgang til it-systemer, der indeholder personoplysninger, skal registreres. Registreres der et vist antal fejlslagne forsøg i streg, skal der blokeres for yderligere forsøg.
   
   
7. Personaleoplysninger gemt på en USB-nøgle eller andre bærbare datamedier skal beskyttes, f.eks. ved kryptering og adgangskode. Er dette ikke muligt, skal USB-nøglen opbevares i aflåst skuffe eller skab.
   
   
8. Alle computere, der er tilkoblet internettet, skal udstyres med en opdateret firewall og viruskontrol.
   
   
9. Der skal anvendes kryptering på alle hjemmesideformularer, hvori følsomme oplysninger og personnummer kan indtastes og sendes.
   
   
10. Datatilsynet anbefaler kryptering i tilfælde, hvor der er behov for at sende følsomme personoplysninger og personnummer med mail via internettet.
    
    
11. For at undgå, at oplysninger kommer i hænderne på uvedkommende, skal der træffes de fornødne foranstaltninger, når it-udstyr og datamedier - der indeholder personoplysninger - skal til reparation og service, eller virksomheden skiller sig af med dem.
    
    
12. Benytter virksomheden en ekstern databehandler til håndtering af oplysninger - f.eks. et online rekrutteringssystem eller eksternt dokumentarkiv - skal Persondatalovens § 42 om skriftlig databehandleraftale mv. følges.

Kilde: Datatilsynet