Indsigt

Justitsministeriets stormøde for erhvervslivet om databeskyttelsesforordningen

Den 9. februar 2017 afholdte Justitsministeriet sammen med Erhvervsstyrelsen stormøde for erhvervslivet om databeskyttelsesforordningen. Ved mødet løftede Justitsministeriet sløret for, hvordan en række af de væsentlige bestemmelser i databeskyttelsesforordningen konkret skal fortolkes. Bestemmelserne var udvalgt, ud fra deres betydning for erhvervsvirksomheder.

Databeskyttelsesrådgiver (DPO)
På mødet oplyste Justitsministeriet, at erhvervsvirksomheder skal udpege en databeskyttelsesrådgiver, når følgende tre betingelser er opfyldt: (i) behandlingen af personoplysninger skal være virksomhedens kerneaktivitet, (ii) der skal behandles personoplysninger i et stort omfang, og (iii) behandlingsaktiviteten skal bestå i regelmæssig og systematisk overvågning af personer eller behandlingen skal vedrøre følsomme personoplysninger.

Eksempler på virksomheder, hvor behandlingen af personoplysninger er virksomhedens kerneaktivitet er bl.a. forsikringsselskaber, privathospitaler, cloud-udbydere og udbydere af marketingsundersøgelser.

Ifølge Justitsministeriet er der tale om hovedaktivitet, hvis virksomhedernes produkter eller tjenester decideret består i behandling af personoplysninger eller er uløseligt forbundet hermed. Hvis behandlingen af personoplysninger er en biaktivitet, skal der ikke udpeges en databeskyttelsesrådgiver.

Eksempler på biaktiviteter er kundekontakt, support/salg, personaleadministration, IT-support og advokaters behandling af klientoplysninger.

Databeskyttelse gennem design og standardindstillinger (Privacy by design and by default)
Kravet om databeskyttelse gennem design og standardindstillinger medfører, at virksomheder skal indtænke databeskyttelse i deres systemer. Bestemmelsen er primært relevant i forhold til IT-systemer og anden software, hvori der bliver behandlet personoplysninger.

Justitsministeriet oplyste ved mødet, at det er ministeriets vurdering, at kravet om databeskyttelse gennem design og standardindstillinger i forhold til eksisterende og fremtidige IT-systemer skal fortolkes på følgende måde:

  • Eksisterende systemer, hvor standardindstillingerne ikke kan ændres, er ikke omfattet af kravet om databeskyttelses gennem design og standardindstillinger.
  • Eksisterende systemer, hvor standardindstillingerne kan ændres, skal som udgangspunkt indstilles til at opfylde kravet om databeskyttelse gennem design og standardindstillinger. Kravet om ændringer i eksisterende systemer, der kan ændres, skal dog ses i forhold til implementeringsomkostningerne, således at ændringer ikke skal implementeres, hvis omkostningerne forbundet hermed er meget høje.
  • Fremtidige systemer skal indstilles til at kunne opfylde kravet om databeskyttelse gennem design og standardindstillinger – f.eks. gennem anvendelse af privatlivsfremmende teknologier som f.eks. pseudonymisering, anonymisering og Identity and Access Management.

Konsekvensanalyse
Virksomhederne skal foretage en konsekvensanalyse ved:

  • En systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person,
  • behandling i et stort omfang af følsomme oplysninger, og
  • systematisk overvågning af et offentligt tilgængeligt område i et stort omfang.

Ifølge Justitsministeriet skal der ikke foretages en konsekvensanalyse i forhold til eksisterende systemer, og analysen skal derfor kun foretages ved køb af nye IT-systemer, softwareløsninger mv. Derudover skal der ikke foretages konsekvensanalyser for hvert enkelt behandlingsaktivitet, da konsekvensanalyser kan omfatte flere lignende behandlingsaktiviteter og omfatte flere systemer, som behandler de samme personoplysninger.

Justitsministeriet åbner også op for muligheden for, at flere virksomheden kan udarbejde en fælles konsekvensanalyse, hvis virksomhederne behandler de samme typer af personoplysninger og anvender de samme systemer.

Andre emner
Herudover gennemgik Justitsministeriet reglerne om samtykke og ansvarsområderne for dataansvarlige/databehandlere.

Endvidere opfordrede Justitsministeriet interesseorganisationer og brancheorganisationer til at udarbejde adfærdskodekser, som kan anvendes af medlemsvirksomheder til at påvise compliance med forordningen.

Justitsministeriet udkommer med en betænkning i april 2017 på op til 1000 sider, hvor ministeriet bl.a. vil komme med sit bud på, hvordan de enkelte forordningsbestemmelser skal fortolkes i praksis.

Datatilsynet informerer om databeskyttelsesforordningen
Datatilsynet har etableret en ny hjemmeside, hvor de publicerer det seneste nyt om databeskyttelsesreformen. Hjemmesiden kan findes på dette link: http://www.dbreform.dk/

Læs derudover slidesene fra stormødet og nærmere herom på følgende link: https://erhvervsstyrelsen.dk/qas-om-persondatabeskyttelsesforordningen

Fandt du dette nyttigt?