Nye regler for persondatabeskyttelse

Har du styr på din virksomheds persondata?
Næste år træder de nye regler for persondatabeskyttelse i kraft. Den nye lov indeholder langt skrappere krav til virksomhederne og kan give bøder i millionklassen.

Fra den 25. maj 2018 afløser en ny EU-forordning de nuværende regler fra 1995. Så virksomhederne skal have styr på, hvordan de håndterer persondata, ellers vanker der bøder op til 20 mio. euro eller 4 pct. af den globale omsætning – alt efter hvad der er størst.

”Til forskel fra den nuværende danske Persondatalov, så er den nye EU-forordning en hel del skrappere. Tidligere var det sjældent, der blev uddelt bøder, og den typiske bøde var op til 10.000 kroner, men nu er det beløb sat markant op. Det er dog næppe bøder i 20 millionerkronersklassen, vi kommer til at se blandt danske SMV’er. Men en bøde på 100.000 kroner er også voldsom for en mindre virksomhed, ” siger Jeppe Rosenmejer, chefkonsulent og jurist i SMVdanmark – det nye Håndværksråd.

Han understreger, at vi udover større bøder også kan forvente, og at der vil komme et skærpet tilsyn med overholdelse af reglerne. Målet med EU-forordningen er at ensrette reglerne for persondata inden for EU.

De nye regler
Ændringen i reglerne medfører også, at virksomhederne bliver pålagt et større dokumentationskrav.

Eksempelvis skal alle virksomheder have skriftlige retningslinjer for, hvordan de håndterer persondata og sikrer, at data ikke falder i de forkerte hænder.

”Det er ikke længere nok blot at overholde reglerne, nu skal det også kunne dokumenteres. Som virksomhed skal man udarbejde politikker, der beskriver, hvordan man vil sikre sig, at virksomheden lever op til reglerne. Og man skal dokumentere, at man har indhentet de nødvendige samtykker og overholdt sin oplysningsforpligtigelse,” siger Jeppe Rosenmejer, chefkonsulent og jurist i SMVdanmark.

Sikkerhed og databrud
Et af de helt store fokuspunkter i de nye regler er øget opmærksomhed på sikkerheden.

”Når vi taler datasikkerhed, er det vigtigt at være klar over, at det ikke alene er i forhold til omverden i form af hackerangreb, phishing, men også internt i virksomheden, så der ikke er fri adgang for alle ansatte til alle data. Det kan være nødvendigt for mange virksomheder at ændre procedure for, hvordan man begrænser adgangen,” siger Jeppe Rosenmejer, chefkonsulent og jurist i SMVdanmark.

Han understreger, at det kun er personer med en saglig og legitim interesse, der må have adgang til oplysningerne i virksomheden.

Af Heidi Juul Petersen, SMVdanmark