Dig og dine persondata

GDPR - Kort fortalt

EU har vedtaget et nyt og gennemgribende regelsæt, der skal beskytte EU-borgernes data i en digital dagligdag. 

Hvorfor nye regler på området?
Den nuværende lov om håndtering af persondata bygger på et EU-direktiv fra 1995 (95/46/EC) og er derfor ikke gearet til at håndtere den digitale udvikling, der sket i de forgangne tyve år. Europa-Parlamentet og Rådet har derfor udarbejdet og vedtaget en ny forordning, som afløser det gamle direktiv.

Den nye forordning har fået navnet General Data Protection Regulation (GDPR) – og på dansk: Persondataforordningen. Formålet med den nye forordning er, ud over at gøre reglerne tidssvarende, at styrke og understøtte det digitale indre marked i EU.

Men den stigende digitalisering og de nye teknologiske muligheder ønsker EU at øge kravene om større kontrol til forbrugerne over egne data – både i forhold til beskyttelse af data og i forhold til adgang til og anvendelse af data. 

Hvad er Persondataforordningen?
Da det nye EU-regelsæt er en forordning og ikke et direktiv som det foregående betyder det, at lovteksten ikke fortolkes til lovgivning i de individuelle lande, men oversættes direkte. 

Hvornår træder det i kraft
Den nye persondataforordning træder i kraft den 25. maj 2018, men alle projekter, der arbejder med persondata, skal arbejde under de ny principper allerede nu. For eksempel skal al systemudvikling følge privacy by design and privacy by default-principperne. Det betyder, at håndtering af persondata skal tænkes med helt fra udviklingsprojekternes start. 

Hvad betyder det for SDC’s kunder?
Persondataforordningen arbejder med to veldefinerede roller. Pengeinstitutterne er dataansvarlig, mens SDC er databehandler. Begge skal udpege en Data Protection Officer (DPO) eller anden person med tilsvarende ansvar, som skal referere direkte til virksomhedens øverste ledelse. 

Den dataansvarlige er eksempelvis forpligtet til at tilbyde slutkunderne muligheden for at udøve retten til at blive glemt – og dermed få slettet al registeret data (med forbehold for de krav, som Bogføringsloven stiller). Dette stiller nye krav til både processer og dokumentation.

Den dataansvarlige er desuden forpligtet til at overvåge og kontrollere databehandlers håndtering af personoplysninger. 

 
Persondataforordningen kort fortalt