De væsentligste ændringer i forhold til persondataloven

Transcription

De væsentligste ændringer i forhold til persondataloven
VÆSENTLIGE ÆNDRINGER
EU Persondataforordningen
E
DE VÆSENTLIGSTE ÆNDRINGER
PRODUKTARK
11. september 2015
Nogle af de væsentligste nye regler og ændringer i forhold til den danske lov
om behandling af personoplysninger er i det følgende oplistet i punktform.
Forordningen anvendes på behandling af personoplysninger i forbindelse
med aktiviteter, der gennemføres af en dataansvarlig eller databehandler i
EU med følgende undtagelser:
 En medlemsstat kan opretholde eller indføre mere specifikke
bestemmelser for at overholde en retlig forpligtelse eller udføre en
offentlig myndighedsudøvelse mv.
 En dataansvarlig, der ikke er etableret i EU, skal opfylde forordningen,
når behandling af personoplysninger er relateret til udbud af varer og
tjenester i EU eller overvågning af registrerede i EU.
Forskellige krav til
information er fastlagt i
forhold til, om der
indsamles oplysninger
fra eller om den
registrerede.
Betingelser for samtykke fra den registrerede
 Utvetydigt samtykke er tilstrækkelig, når der er tale om behandling af
almindelige personoplysninger til et eller flere specifikke formål.
 Udtrykkeligt samtykke er nødvendigt, når der er tale om behandling af
personoplysninger om racemæssig eller etnisk oprindelse, politisk,
religiøs eller filosofisk overbevisning og fagforeningsmæssige
tilhørsforhold samt behandling af genetiske data eller oplysninger om
helbredsforhold eller seksuelle forhold.
Den registreredes rettigheder
 Forskellige krav til information er fastlagt i forhold til, om der
indsamles oplysninger fra eller om den registrerede.
 Den registreredes rettigheder omfatter retten til indsigt, retten til
berigtigelse, retten til sletning og til at blive glemt, retten til
begrænsning af behandlingen, retten til dataportabilitet samt retten
til indsigelse.
Dokumentation for kategorier af behandlingsaktiviteter i forbindelse med
personoplysninger skal udarbejdes, herunder en generel beskrivelse af de
indførte tekniske og organisatoriske sikkerhedsforanstaltninger.
Denne publikation er skrevet i generelle vendinger
og skal alene betragtes som generel vejledning.
Publikationen dækker ikke specifikke situationer,
og du bør ikke handle - eller undlade at handle uden at have fået professionel rådgivning. Kontakt
venligst BDO for at drøfte de specifikke problemstillinger. BDO, vores partnere og medarbejdere
påtager os ikke ansvar for tab foranlediget af en
handling, der er taget - eller ikke er taget - på baggrund af oplysningerne i denne publikation.
1/3
Datasikkerhed
 Dataansvarlig og databehandler skal indføre passende tekniske og
organisatoriske foranstaltninger under hensyntagen til den tilgængelige
teknologi og gennemførelsesomkostninger og i betragtning af
behandlingens karakter, omfang, kontekst og formål samt
sandsynligheden og alvoren af risiciene for fysiske personers
rettigheder og frihedsrettigheder.
 Når der er høj risiko for brud på persondatasikkerheden, skal den
dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer
efter bruddet anmelde dette til tilsynsmyndigheden.
 Når der er høj risiko for brud på persondatasikkerheden, skal den
dataansvarlige underrette den registrerede uden unødig forsinkelse.
Konsekvensanalyse
 Når typen af behandlingen formodes at føre til en høj grad af risiko for
fysiske personers rettigheder og frihedsrettigheder, skal den
dataansvarlige forud for behandlingen foretage en analyse af de
påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af
personoplysningerne.
 Konsekvensanalysen skal indeholde en beskrivelse af de planlagte
behandlingsaktiviteter, en risikovurdering og de foranstaltninger, der
påtænkes indført, herunder garantier, sikkerhedsforanstaltninger og
mekanismer til sikring af persondata.
 Når konsekvensanalysen viser, at behandlingen føre til en høj risiko,
skal den dataansvarlige indhente godkendelse fra tilsynsmyndigheden,
forinden behandlingen påbegyndes.
Den dataansvarlige eller databehandleren kan – eller skal, når det kræves i
henhold til EU-retten eller den nationale lovgivning – udpege en
databeskyttelsesansvarlig, der varetager sin stilling i overensstemmelse
med de krav, der er anført i forordningen.
Videregivelse af personoplysninger til tredjelande eller internationale
organisationer
 Videregivelse af personoplysninger kan finde sted uden specifik
godkendelse, hvis Kommissionen har fastslået, at landet har et
tilstrækkeligt databeskyttelsesniveau.
 Hvis der ikke er vedtaget en afgørelse, må den dataansvarlige eller
databehandleren overføre personoplysninger, såfremt tilstrækkelige
garantier er indført, herunder bindende virksomhedsregler og
standardiserede databeskyttelsesregler, godkendt af Kommissionen.
 Hvis der ikke er vedtaget en afgørelse, eller der ikke er tilstrækkelige
garantier, må videregivelse af personoplysninger kun ske i særlige
situationer.
Uafhængige tilsynsmyndigheder samt samarbejde og sammenhæng
herimellem
 Danmark vedtager bestemmelser for den uafhængige tilsynsmyndighed
i Danmark i overensstemmelse med kravene i forordningen.
 Tilsynsmyndigheden for den dataansvarliges eller databehandlerens
hovedvirksomhed eller eneste virksomhed er kompetent til at fungere
som ledende tilsynsmyndighed for den dataansvarliges eller
databehandlers grænseoverskridende persondatabehandling.
2/3
Den registrerede har ret til at indgive klage til tilsynsmyndigheden, til at få
prøvet tilsynsmyndighedens afgørelser ved domstolene og til at anlægge sag
ved domstolene mod den dataansvarlige eller databehandleren.
Administrative bøder
 Tilsynsmyndigheden kan pålægge en dataansvarlig en bøde på højst
250.000 €, såfremt vedkommende forsætligt eller uagtsomt ikke
besvarer den registreredes anmodninger eller opkræver gebyr i strid
med forordningen. For virksomheder udgør bøden højst 0,5% af den
samlede globale omsætning.
 Tilsynsmyndigheden kan pålægge en dataansvarlig eller en
databehandler en bøde på højst 500.000 €, såfremt vedkommende
forsætligt eller uagtsomt ikke fremlægger oplysninger, ikke tildeler
adgang til den registrerede eller ikke sletter personoplysninger mv. For
virksomheder udgør bøden højst 1% af den samlede globale
omsætning.
 Tilsynsmyndigheden kan pålægge en dataansvarlig eller en
databehandler en bøde på højst 1.000.000 €, såfremt vedkommende
forsætligt eller uagtsomt behandler personoplysninger uden et
retsgrundlag eller i strid med forordningen. For virksomheder udgør
bøden højst 2% af den samlede globale omsætning.
HAR DU SPØRGSMÅL SÅ
KONTAKT
Per Sloth
Partner, chef for Risk
Assurance
Tlf. 20 64 82 82
psc@bdo.dk
BDO Statsautoriseret revisionsaktieselskab og
BDO Kommunernes Revision, Godkendt revisionsaktieselskab, begge danskejede revisions- og
rådgivningsvirksomheder, er medlemmer af BDO
International Limited - et UK-baseret selskab med
begrænset hæftelse - og dele af det internationale
BDO netværk bestående af uafhængige medlemsfirmaer. BDO er varemærke for både BDO netværket og for alle BDO medlemsfirmaerne. BDO
i Danmark beskæftiger godt 1.100 medarbejdere,
mens det verdensomspændende BDO netværk har
godt 59.000 medarbejdere i 151 lande.
3/3