De væsentligste ændringer i forhold til persondataloven
Transcription
De væsentligste ændringer i forhold til persondataloven
VÆSENTLIGE ÆNDRINGER EU Persondataforordningen E DE VÆSENTLIGSTE ÆNDRINGER PRODUKTARK 11. september 2015 Nogle af de væsentligste nye regler og ændringer i forhold til den danske lov om behandling af personoplysninger er i det følgende oplistet i punktform. Forordningen anvendes på behandling af personoplysninger i forbindelse med aktiviteter, der gennemføres af en dataansvarlig eller databehandler i EU med følgende undtagelser: En medlemsstat kan opretholde eller indføre mere specifikke bestemmelser for at overholde en retlig forpligtelse eller udføre en offentlig myndighedsudøvelse mv. En dataansvarlig, der ikke er etableret i EU, skal opfylde forordningen, når behandling af personoplysninger er relateret til udbud af varer og tjenester i EU eller overvågning af registrerede i EU. Forskellige krav til information er fastlagt i forhold til, om der indsamles oplysninger fra eller om den registrerede. Betingelser for samtykke fra den registrerede Utvetydigt samtykke er tilstrækkelig, når der er tale om behandling af almindelige personoplysninger til et eller flere specifikke formål. Udtrykkeligt samtykke er nødvendigt, når der er tale om behandling af personoplysninger om racemæssig eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning og fagforeningsmæssige tilhørsforhold samt behandling af genetiske data eller oplysninger om helbredsforhold eller seksuelle forhold. Den registreredes rettigheder Forskellige krav til information er fastlagt i forhold til, om der indsamles oplysninger fra eller om den registrerede. Den registreredes rettigheder omfatter retten til indsigt, retten til berigtigelse, retten til sletning og til at blive glemt, retten til begrænsning af behandlingen, retten til dataportabilitet samt retten til indsigelse. Dokumentation for kategorier af behandlingsaktiviteter i forbindelse med personoplysninger skal udarbejdes, herunder en generel beskrivelse af de indførte tekniske og organisatoriske sikkerhedsforanstaltninger. Denne publikation er skrevet i generelle vendinger og skal alene betragtes som generel vejledning. Publikationen dækker ikke specifikke situationer, og du bør ikke handle - eller undlade at handle uden at have fået professionel rådgivning. Kontakt venligst BDO for at drøfte de specifikke problemstillinger. BDO, vores partnere og medarbejdere påtager os ikke ansvar for tab foranlediget af en handling, der er taget - eller ikke er taget - på baggrund af oplysningerne i denne publikation. 1/3 Datasikkerhed Dataansvarlig og databehandler skal indføre passende tekniske og organisatoriske foranstaltninger under hensyntagen til den tilgængelige teknologi og gennemførelsesomkostninger og i betragtning af behandlingens karakter, omfang, kontekst og formål samt sandsynligheden og alvoren af risiciene for fysiske personers rettigheder og frihedsrettigheder. Når der er høj risiko for brud på persondatasikkerheden, skal den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer efter bruddet anmelde dette til tilsynsmyndigheden. Når der er høj risiko for brud på persondatasikkerheden, skal den dataansvarlige underrette den registrerede uden unødig forsinkelse. Konsekvensanalyse Når typen af behandlingen formodes at føre til en høj grad af risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af personoplysningerne. Konsekvensanalysen skal indeholde en beskrivelse af de planlagte behandlingsaktiviteter, en risikovurdering og de foranstaltninger, der påtænkes indført, herunder garantier, sikkerhedsforanstaltninger og mekanismer til sikring af persondata. Når konsekvensanalysen viser, at behandlingen føre til en høj risiko, skal den dataansvarlige indhente godkendelse fra tilsynsmyndigheden, forinden behandlingen påbegyndes. Den dataansvarlige eller databehandleren kan – eller skal, når det kræves i henhold til EU-retten eller den nationale lovgivning – udpege en databeskyttelsesansvarlig, der varetager sin stilling i overensstemmelse med de krav, der er anført i forordningen. Videregivelse af personoplysninger til tredjelande eller internationale organisationer Videregivelse af personoplysninger kan finde sted uden specifik godkendelse, hvis Kommissionen har fastslået, at landet har et tilstrækkeligt databeskyttelsesniveau. Hvis der ikke er vedtaget en afgørelse, må den dataansvarlige eller databehandleren overføre personoplysninger, såfremt tilstrækkelige garantier er indført, herunder bindende virksomhedsregler og standardiserede databeskyttelsesregler, godkendt af Kommissionen. Hvis der ikke er vedtaget en afgørelse, eller der ikke er tilstrækkelige garantier, må videregivelse af personoplysninger kun ske i særlige situationer. Uafhængige tilsynsmyndigheder samt samarbejde og sammenhæng herimellem Danmark vedtager bestemmelser for den uafhængige tilsynsmyndighed i Danmark i overensstemmelse med kravene i forordningen. Tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste virksomhed er kompetent til at fungere som ledende tilsynsmyndighed for den dataansvarliges eller databehandlers grænseoverskridende persondatabehandling. 2/3 Den registrerede har ret til at indgive klage til tilsynsmyndigheden, til at få prøvet tilsynsmyndighedens afgørelser ved domstolene og til at anlægge sag ved domstolene mod den dataansvarlige eller databehandleren. Administrative bøder Tilsynsmyndigheden kan pålægge en dataansvarlig en bøde på højst 250.000 €, såfremt vedkommende forsætligt eller uagtsomt ikke besvarer den registreredes anmodninger eller opkræver gebyr i strid med forordningen. For virksomheder udgør bøden højst 0,5% af den samlede globale omsætning. Tilsynsmyndigheden kan pålægge en dataansvarlig eller en databehandler en bøde på højst 500.000 €, såfremt vedkommende forsætligt eller uagtsomt ikke fremlægger oplysninger, ikke tildeler adgang til den registrerede eller ikke sletter personoplysninger mv. For virksomheder udgør bøden højst 1% af den samlede globale omsætning. Tilsynsmyndigheden kan pålægge en dataansvarlig eller en databehandler en bøde på højst 1.000.000 €, såfremt vedkommende forsætligt eller uagtsomt behandler personoplysninger uden et retsgrundlag eller i strid med forordningen. For virksomheder udgør bøden højst 2% af den samlede globale omsætning. HAR DU SPØRGSMÅL SÅ KONTAKT Per Sloth Partner, chef for Risk Assurance Tlf. 20 64 82 82 psc@bdo.dk BDO Statsautoriseret revisionsaktieselskab og BDO Kommunernes Revision, Godkendt revisionsaktieselskab, begge danskejede revisions- og rådgivningsvirksomheder, er medlemmer af BDO International Limited - et UK-baseret selskab med begrænset hæftelse - og dele af det internationale BDO netværk bestående af uafhængige medlemsfirmaer. BDO er varemærke for både BDO netværket og for alle BDO medlemsfirmaerne. BDO i Danmark beskæftiger godt 1.100 medarbejdere, mens det verdensomspændende BDO netværk har godt 59.000 medarbejdere i 151 lande. 3/3