De vigtigste ændringer i den nye databeskyttelsesforordning

Større fokus fra Datatilsynet: Der kommer fokus på personhenførbare oplysninger og ikke kun personfølsomme oplysninger.

Oplysningspligt: Personer skal have mere information om behandlingen af deres oplysninger og informationen skal være tilgængelig på en klar og forståelig måde.

Skærpede krav til samtykke: Nuværende samtykker lever typisk ikke op til de kommende regler. Der skal være mulighed for at ’opt-in’, dvs. der må ikke være sat hak i evt. samtykke-felt som default. Forældrenes samtykke til børn under 16 (13) år.

Klarere regler om principperne for behandling, ansvarlighed og lovlighed: Dokumentationskrav omkring behandlingsaktiviteter og saglige formål herfor – Fortegnelse.

Større krav til datakvalitet og ajourføring af data, samt sletning af data, der ikke længere er et sagligt formål med at behandle.

Klarere regler om "retten til at blive glemt” og ”retten til indsigt”, herunder specifikke krav om sletning af data, også hvis dataene skulle være offentliggjort. Ønsker en person indsigt i de indsamlede data skal henvendelsen besvares inden for 4 uger.

Der bør anvendes en risiko-baseret tilgang, hvor forpligtelserne er tilpasset de reelle risici. Organisation skal dog kunne påvise virksomhedens compliance med regelsættet, hvilket stiller krav til dokumentationen.

Alle virksomheder er omfattet - uanset om man selv har indsamlet data eller behandler data på vegne af andre (databehandlere).

Der er tale om et fælles ansvar hos dataansvarlig og databehandler for eventuelle overtrædelser. Der er således behov for klare aftaler med databehandlerne.

Underretning om alvorlige brud på datasikkerheden til de nationale tilsynsmyndigheder skal ske inden 72 timer. Dvs. der vil være behov for at have en kommunikationsstrategi på plads og helst også have en løsning på bruddet inden de 72 timer.

Sanktioner: Der er nu risiko for væsentligt større bøder på op til € 20 mio. eller 4 % af virksomhedens/koncernens globale omsætning.