Persondata er blevet en værdifuld – og risikofyldt – valuta, som virksomheder skal værne særligt om. Det kan være udfordrende at holde sig ajour med de gældende regler, og et brud på sikkerheden sætter virksomheden i en sårbar situation.

DLA_Ikon_Hospitality_and_Leisure-02

IP og teknologi

Vores eksperter rådgiver ud fra vores kunders behov, så de står stærkere og er i compliance.

I DLA Piper har vi specialister i persondataret i hele verden, med stærk tilstedeværelse i Europa. Vores globale netværk er kombineret med dyb forståelse for de juridiske udfordringer, som vores kunder står overfor. Mangeårige erfaring inden for persondataretten giver de optimale betingelser for kompetent, operationel og meningsfuld rådgivning.

International erfaring med compliance

Vores kollegaer verden over er involveret den lokale compliance-kultur og har tætte kontakter til lokale lovgivere i både Asien, Europa og USA. De har spillet en vigtig rolle i udviklingen af de persondataretlige regler over hele verden. Vores lokale databeskyttelsesteams har med stor succes arbejdet sammen i de seneste år for at hjælpe mere end 100 multinationale organisationer med at udforme og implementere globale programmer for beskyttelse af persondata og sikkerhed, herunder gennemførelse af revisions- og risikovurderinger, udvikling af globale politikker, gennemførelse af effektive internationale dataoverførselsstrategier mm.

Nogle af vores kerneområder for rådgivning er:

  • GDPR
  • Audit og datamapping
  • Compliance-programmer og politikker
  • Datasikkerhed og forebyggelse af datatab og databrud
  • Online sporing og forbrugerbeskyttelse
  • Aftaler om internationale dataoverførsler
  • Whistleblower ordninger, overvågning af medarbejdere og screening

Rådgivning om GDPR

Persondataforordningen, også kaldet GDPR (General Data Protection Regulation), er et kerneområde inden for databeskyttelse. Med DLA Piper som din rådgiver står din virksomhed stærkere. Vi har dels en dybtgående viden om det komplicerede retsområde, som persondataretten er, og vi har stor praktisk erfaring med at omsætte de komplekse regler til praktisk håndterbare løsninger for vores kunder.

Hvad er persondata?

Persondata er kernen i GDPR. Helt overordnet er persondata defineret som enhver form for information om en identificeret eller identificerbar person. Går man mere i detaljen med begrebet, er der defineret flere former for persondata:

  1. Følsomme oplysninger, som eksempelvis omfatter oplysninger om en persons politiske overbevisning, religiøs overbevisning, seksuelle forhold og helbred.
  2. Almindelige oplysninger, som omfatter alle andre typer oplysninger, såsom navn, e-mail, adresse, køn, alder, med videre.
  3. Oplysninger om straffedomme og lovovertrædelser, som eksempelvis omfatter straffeattester og videooptagelser af en person der begår en kriminel handling.

Listernerne er ikke udtømmende. I persondataforordningen kan du læse mere om begge typer persondata. Artikel 9 beskriver de særligt følsomme data, og artikel 6 behandler de almindelige data.

Derudover udgør CPR-numre en særlig kategori af persondata, der reguleret ved national lovgivning i Danmark.

Hvad kan vi hjælpe med?

I DLA Piper har vi den viden og erfaring det kræver for at komme i dybden med GDPR, så din virksomhed ikke bare overholder reglerne, men også står stærkt over for hackere, uden at den daglige drift begrænses. Vores persondatateam er eksperter på området, og vi bliver brugt som både rådgivere og undervisere i de persondataretlige regler. Vi kommer omkring:

  • Persondataretligt compliance og implementering af GDPR
    Hos DLA Piper tilbyder vi din organisation et grundigt persondata compliance-tjek, der både inkluderer juridisk og teknisk indsigt. Her afdækker vi din virksomheds persondata-risici ved at gennemgå jeres eksisterende IT-organisation og struktur. Derudover rådgiver vi om implementering af GDPR i praksis, også inden for regulerede sektorer som den finansielle sektor og lægemiddel- og medicinindustrierne.
     
  • Compliance audits
    Vi foretager revision og kontrol med henblik på at forberede din organisation på et tilsynsbesøg fra de kompetente tilsynsmyndigheder. I den forbindelse forsøger vi også at identificere muligheder for eventuelle yderligere forbedringer af eksisterende compliance-programmer og rådgive om, hvordan eksisterende compliance-programmer eventuelt kan effektiviseres.
     
  • Specifikke audits
    Vi foretager en konkret kontrol af et bestemt emne med henblik på at afdække eventuelle lovgivningsmæssige overtrædelser i din organisation og fastlægge årsagen til overtrædelserne. I den forbindelse rådgiver vi om, hvordan fremtidige overtrædelser kan undgås, eksempelvis i form af anbefalinger og konkrete forslag til ændrede forretningsgange. Vi afdækker også eventuelle lovgivningsmæssige overtrædelser i din virksomhed og fastlægger årsagen til disse.
     

  • Nye strømninger og teknologier
    Nye former for anvendelse af data dukker op med jævne mellemrum. Vi følger altid med i den seneste udvikling, og rådgiver om nye typer af digitalisering og teknologi, herunder biometri, automatisering, IoT, big data, blockchain, og kunstig intelligens.
     

  • Data Protection Officer
    Vi rådgiver virksomheder om behovet for og implementeringen af en Data Protection Officer (DPO).

Oftest forekommende fejl

Korrekt overholdelse af de persondataretlige regler er en vanskelig opgave, og mange organisationer begår fejl i forsøg på at overholde de persondataretlige regler.

Tre af de mest normale fejl, vi ser, er:

  1. Manglende dokumentation: Ifølge GDPR, skal en organisation kunne dokumentere, at den overholder de persondataretlige regler. Denne dokumentation kan ske i form af skrevne dokumenter, men dette er ikke altid nok. Ofte vil det være nødvendigt at kunne dokumentere, at de persondataretlige regler også overholdes i praksis, eksempelvis ved at kunne demonstrere korrekt opsætning af IT-systemer og ajourføring af viden hos medarbejdere.

  2. Risikovurderinger: GDPR har en såkaldt risikobaseret tilgang. Det betyder, at jo større risiko der er for de personer, som persondata vedrører, jo højere grad skal overholdelsen af GDPR prioriteres i organisationen.

  3. Oversete processer: Det er en vanskelig opgave at få de persondataretlige regler ud i alle dele af ens organisation, og ofte er der dele af organisationens processer, der bliver overset. Dette betyder ikke, at der ikke bør prioriteres mellem de forskellige processer i organisationen, således at kritiske processer prioriteres højere end mindre kritiske – men identificerede – processer.

Hvad kan vi rådgive om?

Her er eksempler på, hvad vi helt konkret kan hjælpe din virksomhed med:

  • Udarbejde compliance-programmer
  • Håndtering af persondata i forbindelse med
    • forskning og lægemiddelforsøg
    • kreditoplysningsvirksomhed
    • markedsføring
    • e-handel
    • virksomhedsoverdragelser
    • konkurser 
  • Rådgivning i forbindelse med tilsyn og henvendelser fra Datatilsynet 
  • Aftaler om dataoverførsler, herunder databehandleraftaler og aftaler om fælles dataansvar
  • Undervisning og uddannelse
  • Anmeldelser og ansøgninger om godkendelser hos Datatilsynet
  • Politikker for håndtering af persondata om medarbejdere, bl.a. i forbindelse med fratrædelser
  • Etablering af whistleblower-ordninger
  • Rådgivning om brug af cloud-løsninger
  • Overførsel af persondata i forbindelse med outsourcing
  • Rådgivning om internationale dataoverførsler
  • Brug af databehandlere
  • Sikkerhedskrav og håndtering af sikkerhedsbrud
  • Udformning af privatlivspolitikker og retningslinjer
  • Brug af videoovervågning
  • Behandling af særlige typer af data
  • Personaleadministration og behandling af medarbejderdata
Hvorfor overholde GDPR?

Det er blevet endnu vigtigere at leve op til reglerne i persondataforordningen. Det skyldes særligt tre ting:

  1. Omdømme: Din organisations omdømme har betydning for samfundets syn på den. Dette kan eksempelvis påvirke din virksomheds evne til at tiltrække og fastholde kunder, rekruttere kompetente medarbejdere og indgå tillidsfulde samarbejdsrelationer med andre organisationer. Manglende overholdelse af de persondataretlige regler kan være ødelæggende for din virksomheds omdømme, særligt i tilfældet af et sikkerhedsbrud. Omvendt, kan højt niveau af datasikkerhed og overholdelse af de persondataretlige regler påvirke samfundets tillid til organisationens håndtering af persondata i en positiv retning.

  2. Store bøder: Den nye persondataforordning indeholder væsentligt strengere straffe for de virksomheder, som ikke overholder reglerne. Hvor sanktionerne hidtil har været forholdsvist ubetydelige, risikerer virksomheder nu bøder på op til 4% af den årlige globale omsætning eller 20 millioner EUR, afhængigt af hvilket af de to beløb, der er højest.

  3. Datatab: Arbejdet med compliance i forhold til GDPR skal også ses som en beskyttelse af persondata i almindelighed.  Det er vigtigt at sikre sig mod tab af data såsom forretningshemmeligheder og fortrolige oplysninger. Alvorlige datatab kan resultere i både sanktioner og erstatningskrav.

Hvad er en Data Protection Officer (DPO)?

Med GDPR følger en række skærpede krav til virksomheders indsamling, opbevaring og behandling af persondata. Et godt eksempel er kravet om ’data accountability’, som betyder, at den dataansvarlige virksomhed skal tage ansvar for sin databehandling. Det kræver, at der er styr på data og at virksomheden kan dokumentere, at der er styr på data.

Her kommer DPO’en ind i billedet. En DPO skal nemlig have ekspertviden om både persondatajura og om de gældende reglers praktiske implementering i virksomheden.

Så hvornår skal man ansætte en Data Protection Officer?

GDPR stiller krav om, at en DPO skal ansættes i en række bestemte tilfælde. Men det er vigtigt at være opmærksom på, at kravene om ’data accountability’ gælder alle virksomheder, dvs. også virksomheder, der ikke har pligt til at ansætte en DPO. Derfor skal alle virksomheder overveje, om det er en god idé at ansætte en person, som kan bistå med overholdelse af persondatareglerne på samme måde som en DPO.

Alle offentlige myndigheder, bortset fra domstolene, skal ansætte en Data Protection Officer. Der er dog mulighed for at ansætte en fælles Data Protection Officer for flere myndigheder.

Kontakt DLA Pipers persondatateam

Hvis du er i tvivl om, hvorvidt din virksomhed overholder lovgivningen, eller hvis du vil vide mere om persondatareglerne i Danmark og EU, er du meget velkommen til at kontakte vores team af persondataeksperter helt uforpligtende. Vi har ydet rådgivning om og givet undervisning i persondata gennem mange år til både danske og udenlandske virksomheder inden for forskellige brancher.