Henrik Acosta Cramer

To fluer med et smæk….

/i /af

Af proceskonsulent – Katja Hagemann Petersen

Alle virksomheder og organisationer skal i forbindelse med den nye EU persondataforordning revidere eksisterende processer og politikker for at sikre, at alle krav og regler overholdes, når forordningen træder i kraft 25. maj 2018.

Så hvorfor ikke optimere, mens I alligevel er i gang?

Når man laver en værdistrømsanalyse, kortlægger man alle de aktiviteter, der foregår fra kunden bestiller et produkt eller en ydelse til ”varen” er modtaget. Det betyder, at man kigger på tværs af afdelinger men også, at man kan kigge på de aktiviteter, der foregår hos kunden eller samarbejdspartnere. En kunde kan både være ekstern og intern.

Det, der fokuseres på, er alle de aktiviteter, der skaber værdi for kunden eller sagt med andre ord: det som kunden vil betale for.

Med persondataforordningen vil det både dreje sig om processer, hvor eksterne kunder køber produkter eller ydelser hos en leverandør og det vil dreje sig om interne kunder som f.eks i et ansættelsesforløb. I begge tilfælde vil der være et dataflow med personhenførbare data, som skal identificeres og håndteres i forhold til at overholde forordningens krav og regler.

Ofte vil man i værdistrømsanalysen finde talrige spildelementer – altså aktiviteter, som udføres uhensigtsmæssigt eller er direkte overflødige. Meget vil kunne automatiseres og håndteres i digitale workflows.

Det virker måske uoverskueligt, at skulle bruge tid og ressourcer på at gennemgå processer og politikker og få dette dokumenteret, så det rent faktisk kan bruges fremover – men hvis I vælger ikke at gøre det nu, vil det ramme Jer efterfølgende og medføre masser af spildtid og muligvis også store bøder…

Så når I alligevel er i gang – så gør arbejdet med implementeringen af persondataforordningen til en god investering i jeres virksomhed fremadrettet – der er meget at hente.

Henrik Acosta Cramer

Justitsministeriets Betænkning om den nye databeskyttelsesforordning (EU679/2016) bliver forsinket!

/i /af

Justitsministeriet oplyste d. 15. april 2016 at den omfattende betænkning (EU679/2016) var planlagt til udsendelse til offentlig høring i 1. kvartal af 2017.

Justitsministeriet har senere opdateret sin planlægning og oplyser i notits af 16. marts 2017, at betænkningen i stedet bliver sendt i offentlig høring i maj 2017.

Der vil blive afholdt et stormøde i maj, hvor betænkningen præsenteres: Opdateret plan fra Justitsministeriet

Det er stadig planen, at de nødvendige lovforslag til forordningens gennemførelse vil blive fremsat i Folketinget i oktober 2017.

Den omfattende betænkning, som forventes at blive på ca. 1.200 sider, er ventet med spænding fra alle aktører, der arbejder med persondataforordningen, da betænkningen ventes at give svar på en lang række fortolkningsspørgsmål i relation til forordningen.

DP · SOLUTIONS vil deltage på stormødet i Justitsministeriet i maj og løbende informere om nyt.

Henrik Acosta Cramer

Er jeres samlinger af personoplysninger omfattet af Persondataforordningen?

/i /af

Af kontrakt- og udbudsjurist Erik B. Christiansen 

Svaret er: ”Ja”, hvis I har organiseret jeres oplysninger, så I uden særlige problemer kan finde frem til de enkelte personer og deres oplysninger. Derfor vil identificerbare personoplysninger, der opbevares elektronisk i IT – systemer altid være omfattet af Persondataforordningen, lige som de i dag er omfattet af den gældende Persondatalov. Dette gælder uanset om oplysningerne ligger i et stort IT-system, på din lokale PC, på en USB-nøgle eller i andre IT-midler.

Hvis dine personoplysninger derimod opbevares manuelt (på papir), afhænger det af, hvordan de er organiseret, om de er omfattet af Persondataforordningen.

Hvis oplysningerne er organiseret efter bestemte kriteriet som for eks. CPR nr., fødselsdato, navn i alfabetisk rækkefølge eller emneområder (som fx bestemte sygdomme), og hvis formålet med organiseringen er at kunne finde frem til oplysninger om bestemte personer, så vil samlingen være omfattet af Persondataforordningen som et manuelt register.

Derimod er tilfældige samlinger af personoplysninger som for eks. sagsbunker af sager eller en sagsbehandlers samling af sagsafgørelser (praksisoversigt) eller samlinger, der ikke beregnet til at identificere personer ikke omfattet af hverken Persondataforordningen eller den nugældende Persondatalov.

Samlet set handler det om, hvorvidt samlingen af personoplysninger er omfattet af Persondataforordningens ”registerbegreb” som det er defineret i forordningens artikel 4, nr. 6:

»register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

 

og som det er omtalt i Persondataforordningens præambel nr. 15:

For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde.
Henrik Acosta Cramer

Artikel 29-gruppen har udarbejdet guidelines om konsekvensanalyser

/i /af

Det følger af forordningen, at det er obligatorisk at udarbejde en konsekvensanalyse, hvis en given databehandling vil ”indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder”.

Sanktionerne i tilfælde af en manglende udarbejdelse af en påkrævet konsekvensanalyse kan være op til 10 millioner euro, eller op til 2 % af virksomhedens årlige globale omsætning.

Kravet om udarbejdelse af konsekvensanalyser gælder alene for behandling af personoplysninger, der indledes efter den 25 maj 2018, hvor forordningen træder i kraft i Danmark.

DP · SOLUTIONS følger Artikel 29-gruppens arbejde og udsender nyheder, når der vedtages nye relevante vejledninger og guidelines.

https://www.datatilsynet.dk/nyheder/nyhed/artikel/artikel-29-gruppen-offentliggoer-ny-vejledning-mulighed-for-bemaerkninger/

Henrik Acosta Cramer

Status på implementering af persondataforordningen i Danmark

/i /af

Justitsministeriet har siden august 2016 arbejdet med at implementere EU’s- persondataforordning i Danmark.

Dette arbejde har været organiseret i en projektorganisation i justitsministeriet, hvor alle databeskyttelsesforordningens artikler er blevet gennemarbejdet og fortolket i notater, for at klarlægge hvor forordningen, på trods af tekst mæssige ændringer, ikke ændre retstilstanden i Danmark i forhold til den nugældende persondatalov. Samt hvor forordningen fastlægger nye regler i Danmark og hvor forordningen giver mulighed for at Danmark, kan vedtage nationale bestemmelser som fraviger eller supplerer databeskyttelsesforordningen.

Resultatet af dette arbejde skal indgå i en samlet omfattende publikation i størrelsesordenen omkring 1000 sider, som forventes at blive sendt i offentlig høring i april 2017. Publikationen vil komme til at udgøre en vejledning om databeskyttelsesforordningens enkelte regler.

DP Solutions vil bidrage i denne proces, i det omfang en række af de spørgsmål vi har mødt hos kunder, ikke har fundet en tilstrækkelig afklaring i vejledningen.

I løbet af foråret forventes det, at justitsministeriet sender et udkast til lovforslag i høring. Først her vil det stå klart:

Hvilke ændringer i særlovgivningen der vil blive lagt op til
Hvad der bliver indholdet i den nye persondatalov ”version 2”
Hvor der bliver en dansk udfyldning af forordningen
Først på dette tidspunkt vil man med sikkerhed kunne se, hvilke regler der kommer til at gælde i Danmark på en række vigtige områder. F.eks. sanktioner og bøder i det offentlige, fortrolige oplysninger – nuværende persondatalovs § 8, statistik og forskning, samt en vigtig og central problemstilling; HR og personaleadministration på arbejdsmarkedet.

Endelig lovforslag er planlagt til fremsættelse i oktober 2017, og forordningen og det ovenfor beskrevne lovkompleks, vil have virkning fra den 25. maj 2018.