Er din virksomhed klar til at etablere den lovpligtige whistleblowerordning?

Den 24. juni 2021 vedtog Folketinget Forslag til lov om beskyttelse af whistleblowere. Loven implementerer EU-direktivet 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (whistleblowerdirektivet).
For mange private arbejdsgivere er der ikke lang tid til, at det bliver lovpligtigt at etablere en intern whistleblowerordning. Det følger nemlig af loven, at:

• Private virksomheder med 50-249 ansatte, skal have etableret en whistleblowerordning i overensstemmelse med whistleblowerloven senest den 17. december 2023.
• Private virksomheder med mere end 250 ansatte skulle have etableret en whistleblowerordningen allerede den 17. december 2021. Det samme gælder for offentlige institutioner.

Risikoen for at medarbejdere foretager indberetninger til den eksterne whistleblowerordning hos Datatilsynet er større, når ikke virksomhederne har etableret den interne whistleblowerordning. Det er således vores klare anbefaling, at alle arbejdsgivere får etableret en intern whistleblowerordning – også inden fristen den 17. december 2023.

Udvidelse af kredsen af forpligtede arbejdsgivere

Loven udvider kredsen af arbejdsgivere, der før december 2021 var forpligtet til at etablere en whistleblowerordning. Videre bestemmer loven også, at arbejdsgivere, der er omfattet af loven, og der i dag har etableret en lovpligtig whistleblowerordning, skal opdatere denne, således at ordningen opfylder betingelserne i lovgivningen.

Ud over at være en ordning som virksomhederne skal have for at overholde lovgivningen, så er en whistleblowerordning et vigtigt redskab, som giver ansatte, bestyrelsesmedlemmer og andre med direkte tilknytning til virksomheden mulighed for fortroligt og/eller anonymt at indberette uregelmæssigheder eller overtrædelse af lovgivningen til ledelsen eller en uafhængig rådgiver. Det giver mulighed for at forebygge og opdage alvorlige økonomiske og kriminelle forhold på arbejdspladsen, herunder chikane. Det giver således uanset god mening at have et proaktivt værktøj som en whistleblowerordning.

Beskyttelse af whistlebloweren

Loven beskytter whistleblowere mod bl.a. repressalier, når vedkommende indberetter forhold, som vedkommende er blevet bekendt med i forbindelse med arbejdsrelaterede aktiviteter, så længe oplysningen er omfattet af lovens anvendelsesområde.

Beskyttelsen forudsætter, at whistlebloweren har lavet en indberetning eller offentliggørelse i overensstemmelse med lovens regler. Beskyttelsen forudsætter desuden at oplysningerne var omfattet af lovens anvendelsesområde at whistlebloweren var i god tro om, at de indberettede oplysninger om overtrædelser var korrekte på tidspunktet for indberetningen.

Loven sikrer, at der ikke må udøves repressalier mod whistleblowere, herunder afskedigelse, forflytning, lønnedgang, chikane mv., som følge af, at de har foretaget en indberetning. Whistleblowere, der er blevet udsat for repressalier som følge af en indberetning, har krav på en godtgørelse, hvis størrelsesniveau lægger sig op ad ligebehandlingslovens regler. Der gælder en særlig bevisbyrderegel om omvendt bevisbyrde, hvorefter det er arbejdsgiveren, der skal bevise, at der konkret ikke er tale om repressalier, hvis whistlebloweren beviser at have foretaget en indberetning og have lidt en ulempe.

Beskyttelsen indeholder derudover en særlig tavshedspligt om indberetningens indhold og whistleblowerens identitet. Der vil dog være mulighed for at videregive oplysningerne under visse betingelser, herunder når det er nødvendigt til brug for at hindre lovovertrædelser mv.

ØENS tilbyder

Det er ikke kun selve indberetningskanalen, som er et krav i forbindelse med etableringen af whistleblowerordningen. Arbejdsgivere har ligeledes pligt til at etablere interne retningslinjer samt politikker, der beskriver hvordan ordningen anvendes. Derudover skal der etableres en whistleblowerenhed der – uafhængigt af virksomhedens ledelse – har ansvaret for at behandle alle indberetninger korrekt.

ØENS har allerede hjulpet mange arbejdsgivere ved at tilbyde en whistleblowerordning med tilhørende dokumentpakke således, at din virksomhed lever op til lovkravene inden for området.

ØENS tilbyder i samarbejde med LegalTech Denmark ApS et whistleblowersystem, som håndterer jeres whistleblowerordning fra start til slut, herunder:

• Adgang til whistleblowerportalen for jeres medarbejdere og samarbejdspartnere,
• En krypteret og sikker løsning for indberetning både skriftligt og mundtligt,
• Mulighed for at tilgå portalen både fra PC, mobil og tablet,
• Mulighed for kommunikation i en lukket portal,
• Mulighed for anonym indberetning,
• Mulighed for at uploade dokumentation krypteret direkte på portalen,
• Skriftlige retningslinjer for indberetningen, beskyttelsen af whistlebloweren, de forhold der kan indberettes m.v.,
• Skriftlig vejledning om indberetning,
• Skriftlig forretningsgang vedr. jeres interne proces og procedure for håndteringen af indberetningerne under whistleblowerordningen, og en
• Skriftlig privatlivspolitik, der redegør for, hvordan indberetterens og den indberettedes personoplysninger behandles under jeres ordningen.

Vi tager udgangspunkt i jeres virksomhed

Dokumentpakken og vores abonnementsløsning udarbejdes specifikt til jeres virksomhed og i tæt dialog med jer. De indberetninger, som I modtager vil ØENS, som whistleblowerenhed, gennemgå ift. om de falder inden for eller uden for jeres ordning – alternativt som en personalesag – samt om det er indberetninger, der skal forfølges.

ØENS Advokatfirma tilbyder alt dette for kr. 6.000 pr. år.

Det kan være vanskeligt både som medarbejder og som arbejdsgiver at navigere i det nye regelsæt, herunder særligt om et konkret forhold falder ind under whistleblowerlovens anvendelsesområdet. Hvis ikke forholdet falder indunder, er medarbejderen altså ikke beskyttet af loven.

I den forbindelse tilbyder ØENS også muligheden for at tilkøbe specifik juridisk rådgivning, undervisning af ledelsen og/eller medarbejderne og yderligere rapportering

Hvis I ønsker at høre mere om ØENS whistleblowerordning, er I velkomne til at kontakte advokat Lisa Lykke-Kielberg eller advokatfuldmægtig Maria-Melissa Schneider.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke-Kielberg

Advokat, associeret partner

Advokatfirma

Maria-Melissa Schneider

Advokatfuldmægtig

Afdeling:

Har du været ude for, at personoplysninger om dig deles uden dit samtykke?

Den teknologiske udvikling har gjort det let for virksomheder og privatpersoner, at få online adgang til alle typer personoplysninger – blot ved få klik. Heldigvis er det som EU-borger blevet lettere at slette personoplysninger med Persondataforordningen. Med Persondataforordningen, kaldet GDPR, indførtes sletningsretten, ”retten til at blive glemt”

Hvilke personoplysninger kan du få slettet?

Det er formodentligt ikke alt, du ønsker at blive husket for.

Sletning af private oplysninger, sker som udgangspunkt kun efter din anmodning. Sletningsretten gør sig gældende når:

• Personoplysningerne ikke længere er nødvendige for at opfylde de formål, hvortil de blev indsamlet.
• Den registrerede trækker sit samtykke tilbage, og der ikke er et andet retsgrundlag for at beholde data.
• Personoplysningerne er blevet behandlet ulovligt.
• Sletningen kræves for at overholde en retlig forpligtelse i EU-retten eller anden national ret.
• Indsamlingen er sket i forbindelse med udbud af informationssamfundstjenester.

Hvilke begrænsninger er der for dig?

Der er dog få undtagelser. Sletningsretten kan ikke kræves, hvis dine data bruges enten:

• For at udøve retten til ytrings- og informationsfriheden.
• For at overholde en retlig forpligtelse, udføre en opgave i samfundets interesse eller udøve offentlig myndighedsudøvelse.
• Af hensyn til samfundsinteresser på folkesundhedsområdet.
• Til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål.
• For at et retskrav kan fastlægges, gøres gældende eller forsvares.

Hvis ingen af de fem undtagelser eksisterer i din sag, kan du således kræve sletning af dine personoplysninger.

Den dataansvarliges underretningspligt

Hvis den dataansvarlige har offentliggjort dine personlige oplysninger, skal den dataansvarlige, som noget nyt, foruden at slette dine personoplysninger, links, billeder og kopier, underrette andre dataansvarlige, som kunne have dine personoplysninger, om sletning, medmindre underretningen er umulig eller uforholdsmæssig vanskelig.

Hvis uheldet er ude:

Har du oplevet, at dine personoplysninger er blevet benyttet i problematiske sammenhænge, delt uden dit samtykke eller vil du vide mere, så kontakt advokatfuldmægtig Lisa Lykke-Kielberg, som kan hjælpe dig med din sag.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke-Kielberg

Advokat, associeret partner

Afdeling:

Ofte, og for mange, flyder arbejdstid og fritid sammen, så vi skelner mindre og mindre mellem fritid og arbejde. Smartphones med mailindbakke og vores elektroniske adgang til arbejdet gør, at mange i stigende omfang blander fritid og arbejdstid sammen.

Men hvor tæt er forbindelsen mellem arbejdspladsen og medarbejderen egentlig, når det kommer til medarbejdernes gøren og laden i fritiden?

Dette blev prøvet i en konkret sag, U.2016.3097, som Vestre Landsret fik lejlighed til at vurdere.

I den konkrete sag bortviste en arbejdsgiver den 1. juli 2013 en medarbejder fra arbejdspladsen, fordi den pågældende medarbejder den 22. juni 2013 havde udvist grov adfærd til en privat 50 års fødselsdag, hvor en del af den pågældendes kollegaer ligeledes deltog.

Medarbejderen havde til festen været voldelig. Han havde tildelt et slag i ansigtet på en mandlig kollegas ægtefælle, verbalt fornærmet en kvindelig kollega samt bevidst hældt øl i håret på en mandlig kollega. Dette gjorde, at landsretten fandt, at adfærden var så grov, at kollegaerne berettiget var utryg ved den pågældende og ved at samarbejde med ham.

Sagen kom for landsretten

Landsretten fandt, modsat byretten, at bortvisningen var berettiget. Dette blev begrundet i alvoren af den tidligere medarbejders udtalelser og handlinger. Og naturligvis det faktum, at flere af medarbejderens kollegaer efter festen udtrykte bekymring ved at samarbejde med den pågældende efterfølgende.

Retten lagde i den konkrete sag til grund, at bortvisningen den 1. juli 2013 ikke var bortfaldet ved passivitet. Omsorgschefen i virksomheden var først den 25. juni 2013 blevet orienteret om den pågældendes adfærd ved festen og først derefter kunne det fulde hændelsesforløb klarlægges efter flere undersøgelser.

Dommen viser, at arbejdsgiverens ret til at bortvise en medarbejder kan strækkes uden for arbejdspladsen og ud over arbejdstiden. Hvert fald når adfærden har indflydelse på arbejdspladsen.

Har du spørgsmål til en lignende sag? Kontakt en af ØENS specialister til en drøftelse af sagen.

Hvidvaskloven er implementeret som et led i den internationale bekæmpelse af hvidvask af penge, som stammer fra kriminalitet, samt af terrorfinansiering. Hvidvaskloven implementerer både EU´s 4. og 5. hvidvaskdirektiv samt en række internationale anbefalinger fra Financial Action Task Force (FATF).

Hvidvaskloven pålægger virksomheder, der erfaringsmæssigt er særligt udsatte for at blive misbrugt til hvidvaskaktiviteter, en særlig kontrol -og underretningsforpligtelse. Virksomhederne skal underrette myndighederne, hvis de bliver opmærksomme på transaktioner, der forekommer mistænkelige eller ikke umiddelbart forklarlige.

Hvem gælder undersøgelsespligten for?

Loven oplister i lovens første bestemmelse nogle forskellige professioner, der er underlagt reglerne i loven, og dermed lovens restriktive krav.

En af disse professioner er ejendomsmæglere og ejendomsmæglervirksomheder efter hvidvasklovens § 1, nr. 16. Myndighederne mener, at der kan være risiko forbundet med, at midler, der investeres i fast ejendom, kan stamme fra kriminalitet. Derfor er ejendomsmæglervirksomheder blandt flere er omfattet af pligterne.

Pligten indebærer en sikring af identiteten på mæglernes private kunder samt sikring af identiteten på dem, der reelt ejer selskabet, når de handler med virksomheder. Den registrerede daglige ledelse er i sådanne situationer de reelle ejere, og dermed dem, der skal identificeres.

Hvad indebærer undersøgelsespligten?

Undersøgelsespligten gælder dels ledelsen i det selskab, som ejendomsmægleren repræsenterer, men det kan også gælde personer i et selskab på den anden side af en transaktion. Ejendomsmæglere er som hovedregel forpligtet til både at sikre identiteten på deres egne kunder, men også kundens modpart i en transaktion, dvs. både sælger og køber.

Hvis køber dog er repræsenteret af en anden ejendomsmægler, revisor, advokat eller andre som udbyder samme ydelser, jf. hvidvasklovens § 1, stk. 1, nr. 17, skal køber ikke anses som kunde for sælgers mægler, og ejendomsmæglerens pligter omfatter således alene egen kunde.

Hvis kunden er en PEP – politisk eksponeret person, som f.eks. højesteretsdommere, parlamentsmedlemmer m.v. – har mægleren en skærpet forpligtelse til at undersøge oprindelsen af de midler, der er omfattet af transaktionen.

Ejendomsmæglere er underlagt en række forpligtelser, som kan virke fjern for det kommercielle aspekt, som ellers spiller en stor rolle i dagligdagen.

Hvidvasklovens pligter – underretning af kunder m.v.:

• Kundeorientering: Hvis ejendomsmæglerens kunder er fysiske personer, har ejendomsmægleren pligt til at informere om de regler, der gælder for behandling af personoplysninger efter hvidvaskloven. De skal videre orienteres om, at mægleren efter loven har pligt til at underrette myndighederne, hvis de ved eller har mistanke om tilknytning til hvidvask eller terrorfinansiering.

• Kundekendskabsprocedurer: Kundekendskabsprocedurerne skal foretages ved etablering af forretningsforbindelsen og indebærer en indhentelse af identitetsoplysninger på kunden, herunder navn, CPR-nummer, CVR-nummer, pas/kørekort og sygesikringsbevis. Virksomheden har pligt til at indhente og kontrolleres identitetsoplysninger på fysiske personer, herunder reelle ejere, ligesom der skal ske klarlæggelse af en juridisk persons ejer- og kontrolstruktur samt pligt til at indhente oplysninger om forretningsforbindelsens formål. Derudover er der ud fra en risikovurdering krav om løbende ajourføring, da det er en forpligtelse, der løber i hele kundeforholdet.

• Risikovurdering: Virksomheden skal efter lovens § 7 foretage en risikovurdering, som kan dokumenteres med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af de risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves.

• Skriftlige politikker, procedurer og kontroller: Virksomheden har efter lovens § 8 pligt til at tage udgangspunkt i risikovurderingen og udarbejde skriftlige retningslinjer vedrørende en række forpligtelser, blandt andet kundekendskabsprocedurer, undersøgelses-, og noterings-, og underretningspligt.

• Undersøgelse, notering og underretning: Jeres virksomhed har pligt til at undersøge usædvanlige forhold, herunder baggrunden for alle komplekse og usædvanlige aktiviteter. Det skal gøres for at fastslå eller afkræfte en eventuel mistanke. Virksomheden skal kunne afkræfte mistanken helt, hvis der ikke skal ske underretning. Kan mistanken ikke afkræftes, skal der ske underretning mht. aktiviteter og midler, der kan have eller har haft en tilknytning til hvidvask. Dette gøres også gældende ved mistanke om finansiering af terrorisme. Denne pligt gælder selvom mistanken alene drejer sig om en enkelt henvendelse.

Whistleblowerordning:

Virksomheden har derudover pligt til at udarbejde en vurdering af risikoen for, at virksomheden kan blive misbrugt til hvidvask eller terrorfinansiering og en pligt for virksomheder, der beskæftiger sig med mere end fem ansatte (ud over ejerne) til at have en whistleblowerordning.

Hvor længe skal de indhentede oplysninger opbevares?

Ejendomsmægleren er underlagt en pligt til at opbevare de indhentede oplysninger i 5 år efter den pågældende sag er afsluttet. Oplysningerne skal på anmodning udleveres til myndighederne. De må ikke bruges til andet end at opfylde pligterne efter hvidvaskloven, herunder ikke til markedsføring eller lignende.

Tilsynsmyndighed:

Erhvervsstyrelsen fører tilsyn med godkendte ejendomsmæglere efter hvidvaskloven.

Konsekvens for manglende overholdelse:

Bødeniveauet efter hvidvaskloven er løbende indskærpet. Finanstilsynet fik med virkning fra den 10. januar 2020 hjemmel til administrativt at udstede bødeforlæg til virksomheder, som overtræder hvidvasklovgivningen.

Overtrædelser af hvidvaskloven kan typisk opdeles i tre tilfælde:

1. Overtrædelse af kontantforbuddet på kr. 50.000,00 eller derover,
2. Overtrædelse af kundekendskabsprocedurerne, eller
3. Overtrædelse af pligterne til at udarbejde risikovurdering, politik, eller tilstrækkelige forretningsgange.

Overtrædelse af kontantforbuddet (pkt. 1) straffes efter fast praksis efter transaktionsprincippet med 25 % af overtrædelsen, dog minimum kr. 10.000,00.

Såfremt virksomheden ikke har et tilstrækkeligt kundekendskab (pkt. 2) eller ikke undersøger en konkret transaktion grundigt nok, hvis det er påkrævet, straffes virksomheden med bøde. Bøden fastsættes som udgangspunkt efter transaktionsprincippet med 25 % af transaktionsværdien. Hvis der er tale om flere overtrædelser, fastsættes bøden til 25 % af den samlede transaktionsværdi. Ved systematiske overtrædelser af hvidvaskloven, hvor virksomheden har opnået en økonomisk fordel i form af en besparelse, fastsættes sanktionen som udgangspunkt til et beløb svarende til det dobbelte af virksomhedens besparelse (besparelsesprincippet).

Hvis virksomheden ikke har udarbejdet skriftlige politikker eller procedurer m.v. (pkt. 3), eller hvor disse ikke er tilstrækkelige, udmåles en bøde efter retningslinjerne for minimumsbøder i intervallet kr. 50.000,00 til 400.000,00 afhængigt af virksomhedens nettoomsætning. Bøden til fysiske personer med tilknytning til virksomheden udmåles som udgangspunkt til et beløb svarende til 10 % af bøden til virksomheden.

Kontakt os endelig for at høre nærmere om, hvordan vi kan hjælpe dig.

En personoplysning er information, der kan henføres til en bestemt person. Dette gælder også, hvis personen kun kan identificeres, såfremt oplysningen kombineres med andre oplysninger. Behandler du mon persondata?

Uanset om du er håndværker, revisor eller andet, så modtager og opbevarer du oplysninger om dine kunder. De oplysninger kan f.eks. være navn, adresse, telefonnummer eller e-mail. Det er alle oplysninger, som er omfattet af persondataforordningen, og som for dig indebærer, at du skal overholde lovgivningen.

Hvad er persondata og personoplysninger og hvordan behandler du disse?

Personoplysninger kan for eksempel være et navn, en e-mail, personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller andet. Der er tale om personoplysninger, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Man siger, at oplysningen er “personhenførbar”.

Du er dataansvarlig

Når du registrerer disse oplysninger om dine kunder, så bliver du dataansvarlig i forordningens forstand. Persondataforordningen medfører en række krav og pligter til dig som dataansvarlig.

Som dataansvarlig skal du derfor bl.a. sikre dig, at du:

• overholder persondataforordningen, og at du kan dokumentere dette, herunder ved hjælp af inkorporering af nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i virksomheden,
• har et behandlingsgrundlag (en behandlingshjemmel), som giver dig lov til at behandle de oplysninger, som du og dine eventuelle databehandlere er i besiddelse af,
• er i stand til at imødekomme og efterleve dine kunders rettigheder som registrerede personer, som f.eks. at du kan opfylde din oplysningspligt, berigtigelsespligt eller give den registrerede indsigt i de oplysninger du opbevarer om personen,
• har gyldige aftaler med klare instruksbeføjelser til eventuelle databehandlere, som du ønsker at gøre brug af,
• får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

Ovenstående er alene eksempler på nogle af de pligter, du kan være underlagt i Persondataforordningen.

De grundlæggende principper for behandling

Udover at du som dataansvarlig er pålagt nogle krav for behandling af dine kunders personoplysninger, så indeholder databeskyttelsesreglerne videre følgende grundlæggende principper, du som dataansvarlig altid skal overholde:

• Behandlingen skal overholde databeskyttelsesreglerne om lovlighed, rimelighed og gennemsigtighed.
• Det skal ved indsamling være klart, hvilke saglige formål oplysningerne skal anvendes til og en eventuel senere behandling må ikke være uforenelig med det oprindelige formål, som personoplysningerne blev indsamlet til.
• Behandling af oplysningerne, herunder opbevaring, skal begrænses til det, der er nødvendigt for at opfylde formålet.
• Oplysninger skal ajourføres, og konstateres det, at oplysningerne er urigtige skal disse slettes eller berigtiges.
• Oplysningerne må ikke opbevares længere tid end nødvendigt for behandlingen. Når de ikke længere er nødvendige, skal de anonymiseres eller slettes.
• Oplysningerne skal passes godt på. De må ikke komme uvedkommende til kendskab, gå tabt eller blive beskadiget.

De grundlæggende principper for behandling kan findes i forordningens art. 5.

Hvad skal du gøre nu?

Det er vigtigt, at du er compliant med persondataforordningen, og dermed overholder reglerne og kravene som dataansvarlig. De mulige retsmidler, det ansvar og de sanktioner, der kan opstå som følge af manglende overholdelse af forordningen, understreger vigtigheden heraf.

Konsekvensen kan være vidtgående. I Danmark blev det første selskab i marts 2019 således indstillet til en bøde på 1,2 millioner kroner for manglende sletning af personhenførbare kundeoplysninger efter et tilsynsbesøg fra Datatilsynet. Indstillingen understreger, at Datatilsynet ikke tager let på brud med Databeskyttelsesforordningen. Alle afgørelserne kan findes på Datatilsynets hjemmeside.

Har du spørgsmål til persondatareglerne eller vil du vide, om du er compliant, er du meget velkommen til at kontakte ØENS persondataspecialist Lisa Lykke-Kielberg.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke-Kielberg

Advokat, associeret partner

Afdeling:

Overholder din virksomhed persondatareglerne?
GDPR har til formål at fremme beskyttelsen af persondata. Hvis virksomheder ikke efterlever persondatareglerne, er der i GDPR, persondataforordningen, hjemmel til at pålægge private virksomheder store bøder på op til 20 millioner euro eller op til 4 % af virksomhedens/koncernens globale årsomsætning – afhængig af, hvad der er højest.

Hvad er persondata?
Håndtering af persondata gælder både følsomme og ikke-følsomme personoplysninger. Eksempler på følsomme oplysninger er personnummer, helbredsoplysninger, politisk tilhørsforhold og strafbare forhold, mens data som navn, adresse og telefonnummer betragtes som ikke-følsomme oplysninger.

Overordnet om persondataforordningen:

• Persondataforordningen giver en række rettigheder til de personer, hvis personoplysninger behandles (de registrerede), herunder en oplysningspligt om indsamling samt behandling af data.
• Persondataforordningen stiller krav til skriftlige databehandleraftaler mellem virksomheder og leverandører, som opbevarer eller behandler data på vegne af virksomheden.
• Virksomheder, hvis forretningsområde er at være databehandler, har udvidede forpligtelser og ansvar for overtrædelser. Den dataansvarlige, der har bestilt databehandlingen, skal dog stadig opfylde forpligtelserne over for de registrerede, herunder en oplysningspligt om enhver indsamling og behandling af data om den pågældende.
• Virksomheden skal have IT-systemer og applikationer, der kan anvendes til behandling af persondata, og de skal opfylde et krav om “Privacy by Design”. Det betyder, at de som standardindstilling skal sikre størst mulig beskyttelse af persondata.
• Kravene til den registreredes gyldige samtykke er skærpet og er eksplicit fastsat i lovgivningen.
• I har en selvanmeldelsespligt ved databrud, f.eks. ved hackerangreb, hvor persondata kompromitteres. Anmeldelse skal ske inden 72 timer til Datatilsynet.

Det er ikke nok, at I overholder reglerne i persondataforordningen. I skal ligeledes kunne dokumentere denne overholdelse. Kravene til dokumentation for at I overholder persondataforordningen (compliance) er blevet skærpet væsentligt og skal kunne vises til Datatilsynet, hvis de kommer på uanmeldt besøg.

Hvordan kommer I i gang?

Vi anbefaler at I udpeger relevante nøglepersoner i virksomheden, og afsætter tid og økonomi til arbejdet.
Dernæst skal I få kortlagt persondata i virksomheden, herunder:

• Hvilke persondata behandles?
• Hvem behandler vi persondata om?
• Hvad er formålet med databehandlingen?
• Er der samtykke eller andet lovligt grundlag for databehandlingen?
• Hvor gemmes data og hvem har adgang hertil?
• Deles data med tredjemand?
• Hvor længe gemmes data?

Når I har kortlagt persondata i virksomheden, bør I:

• Få skriftlige databehandleraftaler på plads i det omfang, det er nødvendigt.
• Få udarbejdet persondatapolitikker for de relevante funktioner, f.eks. HR, salg/marketing samt jeres egen personalehåndbog mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav.
• Implementere de nødvendige tekniske og organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata.
• Få udviklet processer, der sikrer, at medarbejdere, kunders mv. (de registrerede) rettigheder bliver overholdt. F.eks. oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke.
• Vær klar til et eventuelt databrud. I skal have udarbejdet en procedure og et beredskab til håndtering heraf.
• Sørg for uddannelse af medarbejdere.
• Udpeg en persondataansvarlig, som følger op og sikrer fortsat compliance i virksomheden.

Få vores hjælp til GDPR

ØENS Advokatkontor kan hjælpe jer videre i forbindelse med persondatatjek og overholdelse af persondataforordningen. Vi vil sikre:

• Persondatatjek af jeres virksomhed.
• Persondatainstruks til HR-medarbejdere eller andre nøglepersoner.
• Persondatapolitik til rekruttering.
• Opdatering/udarbejdelse af intern personalehåndbog vedr. persondata.
• Persondatapolitik til virksomhedens hjemmeside og dermed jeres kunder.
• Persondatainstruks ift. it-sikkerhedspolitik.
• Procedure for håndtering af databrud.
• Udarbejdelse/gennemgang af databehandleraftaler.
• Tekstforslag og procedure for samtykkeerklæringer.
• Løbende uddannelse af medarbejdere, der håndterer.

Der er meget at tage fat på. Brug ØENS persondataspecialist Lisa Lykke-Kielberg til at afdække jeres behov og til prioritering af jeres opgaver.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke-Kielberg

Advokat, associeret partner

Afdeling: