Lisa Bo Larsen Tina Brøgger Sørensen Frank Bøggild Jan Ussing Andersen Daiga Grunte-Sonne Partner Partner Partner Partner Advokat

DET NYE SORTPERSONDATA

www.kromannreumert.com/insights 1/9

PERSONDATADET NYE SORTMan behøver blot åbne avisen for at konstatere, at samfundsudviklingen har gjort persondata til et særdeles aktuelt emne. Også hos de fleste virksomheder. Forslaget til en ny persondataforordning forventes vedtaget ved årsskiftet, og det foreliggen-de udkast lægger op til intensiverede og ganske omfattende krav til intern træning, udarbejdelse af retningslinjer og politikker, risici og konsekvensanalyser mv., lige-som forslaget introducerer bøder på konkurrenceretsligt niveau. At persondata er et emne, som vækker interesse, blev i den grad synligt, da Kromann Reumert satte fokus på behandlingen af persondata og den nye EU-forordning ved to velbe-søgte konferencer i begyndelsen af november.

Med spørgsmålene “Overholder din virksomhed persondataloven, og er I klædt på til at hånd-tere den kommende EU-forordning?” slog Kromann Reumert dørene op til Persondatadagen 2015.

På konferencen blev der sat fokus på persondataloven, den kommende EU-forordning og de skærpelser, der forventes indført med forordningen. Der var mulighed for at møde den nye direktør for Datatilsynet, Cristina Angela Gulisano, og høre hendes bud på fremtidens datatil-syn. Og så blev der stillet skarpt på udvalgte områder, hvor persondataretten typisk giver anledning til udfordringer i hverdagen, herunder personaleadministration og datasikkerhed, sikkerhedskrav og udfordringer ved cloud-løsninger og digital markedsføring.

FREMTIDENS DATATILSYNDatatilsynets nye direktør, Cristina Angela Gulisano, præsenterede sit syn på frem-tidens Datatilsyn og omtalte såvel Datatilsynets nuværende som kommende op-gaver – set i lyset af den nye forordning om databeskyttelse, som fortsat er under forhandling i EU.

DIALOG MED VIRKSOMHEDEREt at de områder, Cristina Angela Gulisano virkelig håber, at Datatilsynet flytter sig på, er antallet af inspektioner. Sidste år foretog Datatilsynet 68 inspektioner, fordelt på offentlige myndigheder, private virksomheder, private forskere mv. – og selv om antallet af inspektioner er steget år for år siden 2011, så må det meget gerne, ifølge den nye direktør, stige yder-ligere. Det primære formål med Datatilsynets inspektioner er at foretage kontrol og sikre en bedre overholdelse af loven. Inspektionerne gavner imidlertid også de inspicerede virksom-heder, da det er en god anledning til at få igangsat en dialog med Datatilsynet om, hvordan persondataloven - og fremadrettet den nye EU-forordning - skal bruges og forstås. Det er i øvrigt heller ikke utænkeligt, at et besøg fra Datatilsynet kan være det lille ekstra skub, der skal til, for at nogle IT-afdelinger rundt omkring bedre kan få ledelsen i tale, når det handler om persondataretlig compliance. Cristina Angela Gulisano synes også, at der allerede nu kan spores en tendens til, at det ”at behandle personoplysninger sikkert” ligefrem begynder at være et konkurrenceparameter for virksomheder - noget, der således med fordel kan bruges i virksomheders markedsføring over for forbrugerne.

Lisa Bo Larsen November 2015Partner

Mobil: +45 24 86 00 16Direkte: +45 38 77 45 68lbl@kromannreumert.com

Tina Brøgger SørensenPartner

Mobil: +45 61 20 35 33Direkte: +45 38 77 44 08tib@kromannreumert.com

Frank BøggildPartner

Mobil: +45 24 86 00 11Direkte: +45 38 77 45 95fb@kromannreumert.com

Jan Ussing AndersenPartner

Mobil: +45 61 61 30 10Direkte: +45 38 77 44 25jus@kromannreumert.com

Daiga Grunte-SonneAdvokat

Mobil: +45 61 20 99 95Direkte: +45 38 77 41 18dso@kromannreumert.com

www.kromannreumert.com/insights 2/9

INTERNATIONALT SAMARBEJDEFor så vidt angår fremtidens datatilsyn så lægges der med forslaget til den nye EU-forordning om databeskyttelse op til et udvidet samarbejde blandt de europæiske tilsynsmyndigheder. En del af samarbejdet vil forme sig gennem den såkaldte “one-stop-shop-mekanisme”, som indebærer, at én tilsynsmyndighed (“lead authority”) i visse grænseoverskridende sager vil være enekompetent til at træffe afgørelse i konkrete sager. Det gensidige samarbejde vil endvidere bl.a. omfatte anmodning om oplysninger og tilsynsforanstaltninger, som f.eks. an-modning om gennemførelse af forudgående godkendelse, høring og inspektioner. Cristina Angela Gulisano forudser derfor, at meget fremtidigt arbejde for hende og kollegaerne i tilsynet vil ligge i Bruxelles, og at tilsynet derfor med al sandsynlighed nok vil få brug for en international afdeling.

ET RÅDFor at være bedst muligt forberedte på den kommende EU-forordning om databeskyttelse råder Cristina Angela Gulisano i øvrigt til, at de dataansvarlige får styr på de gældende regler og deres datastrømme, herunder:

Hvilke oplysninger har vi?

Hvem behandler dem?

Hvor ligger de?

Et af Kromann Reumerts vigtigste budskaber under konferencerne har netop været, at det er vigtigt at have fokus på overholdelse af gældende regler, da dette vil lette overgangen i for-hold til de kommende regler. At Cristina Angela Gulisano har haft det samme udgangspunkt, vidner bestemt om, at forberedelsen til fremtiden skal starte i dag.

PERSONDATARETTENS ABCDaiga Grunte-Sonne fortsatte det faglige program med fokus på grundlæggende persondataret, herunder begreberne “persondata”, “dataansvarlig” og “databe- handler”, samt de vigtigste behandlingsregler.

Hun forklarede, at det ofte bliver overset, at oplysninger, som kun indirekte kan identificere en fysisk person, også er persondata. For at persondataloven finder anvendelse, er det til-strækkeligt, at oplysningerne blot kan føres tilbage til en person, uanset om koblingen skal findes gennem flere led. Det er også en almindelig misforståelse, at virksomheden kun skal være på vagt, når man har følsomme persondata i hænde, såsom information om religion, fagforeningstilhørsforhold, helbred, strafbare forhold mv. Men de grundlæggende krav om, at alene relevante og nødvendige persondata indsamles, og at der sker sletning af unødven-dig information, gælder alle former for persondata.

Daiga Grunte-Sonne omtalte også overførsel af persondata til tredjelande, som alene er mulig, hvis der bruges EU-standardmodelkontrakter eller Binding Corporate Rules, eller der er tale om overførsel til de såkaldte sikre tredjelande (såsom Israel, Argentina eller Schweiz). Undtagelserne, såsom samtykke eller kontraktgrundlag, kan også efter omstændighederne benyttes.

www.kromannreumert.com/insights 3/9

Safe Harbour-ordningen, som var baseret på en aftale mellem EU og USA og er blevet brugt flittigt af mange amerikanske virksomheder, blev den 6. oktober 2015 kendt ugyldig af EU-Domstolen, der vurderede at ordningen ikke ydede tilstrækkelig beskyttelse af EU-borg-ernes persondata.

Dommen har skabt en del bekymringer og ikke mindst en række praktiske udfordringer for virksomheder, som overfører persondata til USA. Pt. arbejdes der stadigvæk på at analy-sere konsekvenserne af dommen, og dette sker blandt andet i regi af den såkaldte Artikel 29-gruppe, hvor alle de europæiske datatilsyn deltager. Artikel 29-gruppen har opfordret USA og EU til dialog og givet mulighed for at komme med en holdbar løsning inden den 31. januar 2016. Lige nu forhandles der om “Safe Harbour v. 2”, men resultatet er endnu langt fra sikkert.

DEN KOMMENDE EU-FORORDNING Alle tegn i sol, måne og stjerner tyder på, at den nye EU-forordning for persondata efter fire års barsel bliver vedtaget ved årsskiftet. Forordningen er p.t. genstand for afsluttende trilog-forhandlinger mellem Kommissionen, Parlamentet og Rådet, hvor seneste udmelding er, at der er opnået enighed om 70 - 80 % af indholdet.

Under overskriften “Den kommende EU-forordning” gav partner Lisa Bo Larsen sit bud på forventet indhold af den kommende EU-forordning, og hvilke ændringer der må forventes i forhold til de gældende regler.

DATABEHANDLERE BLIVER OMFATTET AF REGULERINGENDen nugældende persondatalovgivning omfatter alene den dataansvarlige, mens såkaldte databehandlere ikke kan stilles til ansvar for manglende overholdelse af behandlingsreglerne. Som databehandler har man således hidtil kunne nøjes med at sikre sig, at man overholdt sine kontraktmæssige forpligtelser i indgåede databehandleraftaler mv. Med den nye forordning ser dette ud til at ændre sig markant, idet det forventes, at databehandlere også vil blive om-fattet. De kan dermed se frem til at blive underlagt en række krav og forpligtelser, herunder de skærpede sanktionsmuligheder.

“Som databehandler bør man derfor sætte sig grundigt ind i de kommende regler og sikre, at man er compliant. Det gælder, uanset om databehandling er en kerneaktivitet eller alene udføres som led i en koncernintern administrativ opgavefordeling, hvor eksempelvis et kon-cernselskab behandler kunde- eller personaledata på vegne af hele koncernen,” siger Lisa Bo Larsen.

www.kromannreumert.com/insights 4/9

LOVLIGT, RETFÆRDIGT OG TRANSPARENT

Det bærende fundament for forordningen er et ønske om øget beskyttelse af individets ret-tigheder under parolen Lovlig, Retfærdig og Transparent. Selvom der ikke ser ud til at blive introduceret skelsættende forandringer med hensyn til, hvad der anses for persondata, eller med hvilken hjemmel data kan indsamles og behandles, så er den røde tråd i forordningen, at der skrues væsentligt op for kravene til risikostyring, information og dokumentation. Blandt forordningens nye tiltag kan eksempelvis nævnes:

Krav om kortfattede, gennemsigtige og lettilgængelige regler for behandlingen af data og udøvelse af den registreredes rettigheder

Krav om standardiserede informationspolitikker til behandling af indsigtsbegæringer

Pligt til at gennemføre “mekanismer”, der sikrer overholdelse af slettefrister og/eller peri-odisk evaluering af nødvendigheden af fortsat opbevaring

Pligt til udarbejdelse af risikoanalyser samt - afhængig heraf - udarbejdelse af konsekvens- analyser.

“Det vil med andre ord ikke længere være nok at agere compliant. Hvis Datatilsynet banker på døren, skal man fremadrettet også kunne dokumentere, hvordan man har sikret sig ved implementering af diverse politikker, træning, analyser samt tekniske og organisatoriske me-kanismer,” siger Lisa Bo Larsen.

Ønsket om øget beskyttelse af individets rettigheder afspejles også i forordningens fokus på kravene til et gyldigt samtykke, som skal være udtrykkeligt, frivilligt, specifikt, formålsbe-grænset og informeret. Blandt andet introduceres et nyt gyldighedskrav om, at den registrere-de samtidig med afgivelse af samtykket specifikt skal informeres om retten til at tilbagekalde dette. De nøjagtige overgangsregler på dette område ligger endnu ikke fast, men det er tydeligt, at der her er tale om en skærpelse, der vil berøre mange virksomheder.

“Man kan med fordel skærpe opmærksomheden på dette område allerede nu og dermed sikre sig, at de samtykker, der p.t. indhentes, også vil være langtidsholdbare under den nye forordning,” siger Lisa Bo Larsen.

ULVEN KOMMER … NOK IKKEI forbindelse med den kommende EU-regulering har der været forlydender om, at det med forordningen ville blive obligatorisk at etablere en ny og uafhængig Data Protection Offi-cer-funktion (“DPO”) i virksomhederne. Et krav, som mange små og mellemstore virksom-heder ville få svært ved at se sig ud af organisatorisk. Kommissionens oprindelige forslag indeholdt et sådant krav, men med de seneste input fra Rådet ser det ud til, at DPO-bestem-melserne ændrer karakter fra “skal” til “kan” og dermed ikke bliver obligatoriske. Intet er dog sikkert endnu, og det er ingen hemmelighed, at Parlamentet har haft et stort ønske herom og muligvis ikke er villig til at opgive kravet om DPO.

HAMMEREN FALDERSanktionsbestemmelserne forhandles stadig, men det ligger fast, at der vil blive tale om meget væsentlige skærpelser. Hvor bødeniveauet for overtrædelser i Danmark p.t. ligger på mellem 3.000 - 10.000 kr. - med en enkelt historisk bøde på 25.000 kr. - forhandles der p.t. om et bødeniveau spændende fra 1 mio. euro eller 2 % af den globale koncernomsætning til 100 mio. euro eller 5 % af den globale koncernomsætning.

www.kromannreumert.com/insights 5/9

“Det meget lave bødeniveau, vi har haft i Danmark for overtrædelser af persondatalovgivnin-gen, har nok medført, at mange virksomheder ikke har haft persondata-compliance ret højt på deres prioriteringsliste. Vi mærker dog tydeligt, at udsigten til bøder på konkurrenceretsligt niveau har givet området en helt ny bevågenhed, herunder plads på dagsordenen hos bestyr-elserne,” siger Lisa Bo Larsen.

Et andet område, hvor skruen strammes, er konsekvenserne af sikkerhedsbrister /datalækage. Under den nugældende persondatalov har man ikke som dataansvarlig pligt til af egen drift at indberette sikkerhedsbrister til Datatilsynet, men skal alene håndtere risikoen for reputational damage. Med den kommende forordning går den ikke længere, da der fremover bliver både indberetnings- og dokumentationspligt over for tilsynsmyndighederne i tilfælde af datalæk-age, herunder med nogle ganske skrappe frister på 24 - 72 timer. Netop sikkerhedsbrister er blandt de allerstørste praktiske udfordringer hos såvel virksomheder som offentlige myn-digheder.

“Vi ser et tiltagende antal eksempler på datalækage som følge af enten hacking eller menne-skelige fejl,” siger Lisa Bo Larsen og tilføjer: “Det her er en udfordring, som i høj grad skyldes, at man ikke har haft tradition for at tænke på tværs af organisationen i persondataspørgsmål. Ud over afdækning af dataflow og -risici og forståelse af juraen er det helt afgørende, at man også får inddraget IT-afdelingen og etableret nogle intelligente sikkerhedsmekanismer”.

PERSONALEADMINISTRATION OG DATASIKKERHEDI artikel 82 til forslaget til EU-forordning har medlemsstaterne fået mulighed for fastsættelse af mere specifikke bestemmelser for at sikre beskyttelsen af rettighed-er og frihedsrettigheder i forbindelse med behandling af arbejdstageres person- oplysninger i personaleforhold.

Det er for tidligt på nuværende tidspunkt at udtale sig om, hvorvidt Danmark vil udnytte denne mulighed, og i givet fald i hvilken udstrækning. Ifølge Datatilsynet er der dog ingen forventning om, at reglerne bliver mindre restriktive, end de er i dag. Det er Datatilsynets råd, at virksomheder bruger de næste par år på at sikre, at de som minimum overholder de nugældende regler om personaleadministration.

”Der er næppe nogen virksomhed i kongeriget Danmark, der til fulde overholder reglerne om personaleadministration,” siger partner Tina Brøgger Sørensen. På grund af forventningen om en betydelig forhøjelse af bødeniveauet bør det ifølge Tina Brøgger Sørensen give stof til eftertanke.

FØLSOMME OPLYSNINGER KRÆVER SAMTYKKE FRA MEDARBEJDERAlmindelige oplysninger om medarbejderne, herunder f.eks. navn, personnummer, adresse mv., kan i udgangspunktet behandles uden indhentelse af medarbejdernes samtykke, og behandlingen kræver ikke tilladelse fra Datatilsynet. Hvis en virksomhed derimod behandler følsomme oplysninger om f.eks. racemæssig eller etnisk baggrund, politisk og religiøs over-bevisning, oplysninger om helbredsmæssige og seksuelle forhold samt andre helt private oplysninger om strafbare forhold mv., så er det hovedreglen, at medarbejderen skal give udtrykkeligt samtykke til behandlingen. Som en undtagelse dertil kan dog f.eks. nævnes, hvis det er nødvendigt, for at retskrav kan fastlægges, gøres gældende eller forsvares. Under alle omstændigheder kræver behandlingen forudgående tilladelse fra Datatilsynet.

www.kromannreumert.com/insights 6/9

Da der næppe er nogen virksomheder, der ikke på et eller andet tidspunkt skal behandle følsomme oplysninger vedrørende medarbejdere, er det vores råd, at virksomheden indhenter tilladelse fra Datatilsynet til personaleadministration. Der gælder særlige regler om indhen-telse af oplysninger om jobansøgere/medarbejdere, herunder f.eks. indhentelse af referencer fra tidligere arbejdsgivere, kreditoplysninger og straffeattester. Så hvis din virksomhed ind-henter sådanne oplysninger, er det vores råd, at det afklares, om reglerne derom overholdes.

OPBEVARING OG UDVEKSLING AF DATAEt ansættelsesretligt krav forældes efter 5 år, men konkret kan der være givet afkald på krav eller lignende, hvorefter der ikke længere er grundlag for at opbevare konkrete oplysninger. Hvis en retssag strækker sig ud over 5 år, kan det modsat give grundlag for at opbevare oplysningerne i længere tid. Derfor er det såvel under ansættelsen som i forbindelse med sager om opsigelse og bortvisning samt tvister/retssager vigtigt, at det løbende sikres, at det fortsat er relevant at gemme alle oplysninger.

Hvis man i koncernforhold har behov for udveksling af data om medarbejdere til brug for f.eks. udarbejdelsen af lønstatistikker, beregning af head counts mv., skal man være opmærk-som på, at videregivelse i koncernforhold betragtes som videregivelse til tredjemand, og at de sædvanlige behandlingsregler derfor skal overholdes. Hvis koncernselskabet er placeret i et såkaldt tredjeland, gælder der herudover særlige krav om videregivelse til sådant land.

Vi anbefaler også, at virksomheder er særligt opmærksomme på Datatilsynets minimumskrav om datasikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standardvilkår krav om iagttagelse af disse. Minimumskravene omfatter blandt andet krav om beskrivelse af, hvordan beskyttelsen foregår i praksis, at adgangen til personaleoplysninger begrænses til så få personer som muligt, krav til opbevaring, brugen af adgangskoder, anbefaling om krypter-ing, når der videresendes følsomme personaleoplysninger og personnumre mv.

CLOUD-LØSNINGER OG DATASIKKERHED Cloud-baserede IT-løsninger bliver mere og mere udbredte på grund af en række åbenlyse fordele sammenlignet med de klassiske IT-leverancemodeller. Cloud-løsninger giver blandt andet færre opstartsomkostninger, er typisk lettere at imple-mentere, og virksomheden skal ikke selv bekymre sig om sin IT-drift. Imidlertid giver cloud-løsninger en række regulatoriske udfordringer, specielt af persondataretlig karakter. Samtidig er der en række øvrige gode råd, man bør være opmærksom på, inden man indgår en aftale om en cloud-løsning.

MANGLENDE KONTROL GIVER UDFORDRINGEROpbevarer din virksomhed persondata i en cloud-løsning, står virksomheden som dataan- svarlig med en række udfordringer i forbindelse med opfyldelse af persondatalovens regler. Specielt kravene til sikker og korrekt behandling af persondata er svære at opfylde, idet virk-somheden som udgangspunkt slipper kontrol med oplysningerne.

www.kromannreumert.com/insights 7/9

Først og fremmest skal virksomheden foretage en risikovurdering af løsningen, hvor det bl.a. skal 1) vurderes, om virksomheden reelt har kontrol over data, og 2) sikres, at der er gennem-sigtighed omkring selve databehandlingen. Det forudsætter, at man som virksomhed har styr på dataflows, herunder underleverandørers adgang til data og cloud-leverandørens proces-ser. Virksomheden skal blandt andet forstå og sikre krav til fysisk og teknologisk adgangskon-trol, korrekt sletning af data samt logning i visse tilfælde.

Den nødvendige regulering til sikring af en korrekt håndtering af persondata skal desuden inkluderes i aftalen med underleverandøren. Vi anbefaler også, at brugere af cloud-løsninger stiller krav om, at leverandøren overholder relevante standarder, f.eks. ISO 27001 om generel IT-sikkerhed eller ISO 27017 om sikkerhed for cloud-løsninger.

OVERFØRSLER TIL TREDJELANDEMange cloud-løsninger indebærer, at data overføres til lande uden for EØS. Som udgangs-punkt er en sådan overførsel ulovlig. Overførslen kan dog ske lovligt, hvis den f.eks. sker på baggrund af et samtykke fra den registrerede person, på baggrund af EU-Kommissionens standardkontrakter eller Binding Corporate Rules.

Hvis man overfører data om f.eks. seksuel observans, fagforeningsforhold eller sundheds-mæssige forhold på baggrund af Kommissionens standardkontrakter, skal man dog være opmærksom på, at det kan udløse en oplysningspligt over for de registrerede.

Som nævnt var det tidligere muligt at benytte den såkaldte Safe Harbour-ordning i forbin-delse med overførsler af persondata til USA. Siden den 6. oktober 2016 har dette dog ikke været muligt, da ordningen er kendt ugyldig af EU-Domstolen.

FORHANDLING AF CLOUD-KONTRAKTENForhandlingsrummet i forhold til at kræve forbedringer af leverandørens standardvilkår er for cloud-kontrakter typisk langt ringere end på andre dele af IT-markedet. Som kunde bør man derfor i stedet benytte kontrakten som et konkurrenceparameter og som en sikring af de regulatoriske forhold, der gælder for løsningen, herunder i forhold til persondataloven. Man skal som kunde dog sikre sig, at der sker en korrekt regulering af en række forhold, herunder

Betalingsmekanismerne

SLA’er og bodsberegningen heraf

Exit og ophørssituationer.

Hvad skal man så gøre?

Samlet set bør en virksomhed, der overvejer at indgå en aftale om en cloud-løsning, først og fremmest 1) grundigt forstå, hvordan den pågældende løsning fungerer, 2) på den bag- grund foretage en reel risikovurdering af løsningen, 3) sikre sig, at løsningen overholder per-sondatalovens krav, og indføre de nødvendige aftalemæssige garantier herfor i aftalen med leverandøren samt 4) nøje overveje - og hvis muligt forhandle - væsentlige aftaleparametre.

Som i mange andre kontraktforhold vil der i cloud-aftaler i sidste ende være en residualrisiko, som man ikke kan pålægge leverandøren. Kunden bør derfor sikre sig enten gennem opera-tionel sikring af de væsentligste forhold (f.eks. backup hos en alternativ leverandør) og/eller økonomisk sikring mod de største tab (f.eks. en forsikring).

www.kromannreumert.com/insights 8/9

DIGITAL MARKEDSFØRING - URIMELIGE KONKURRENCEFORDELE?Der er fuld fart på den teknologiske udvikling, men lovgivningen er ikke fulgt med. Det har skabt en række uklarheder og et juridisk tomrum og kan give virksomheder, hvor compliance ikke er i højsædet, konkurrencefordele.

Ord som “behavioral marketing”, “targeting banners” og “online tracking” er velkendte i reklamebranchen - men ikke i lovgivningen eller hos myndighederne. Ved søgninger på internettet har de fleste prøvet at blive “forfulgt” af målrettede bannerreklamer. Har man én gang søgt på et hotel i en bestemt by, en bil eller trøje af et bestemt mærke, ja, så er der høj risiko for, at man i de næste mange uger eller måneder bliver eksponeret for bannerreklamer, uanset hvilke hjemmesider man bevæger sig på. Dette gælder uanset brugerens browser-indstillinger og accept af cookies. Antallet af elektroniske beskeder, der ikke er baseret på samtykker, og som sendes fra virksomheder, som brugeren ikke umiddelbart kender, men som alligevel er i stand til at målrette deres budskaber på ofte bemærkelsesværdig præcis måde, er stærkt stigende.

Mange virksomheder er bekymrede ved at gøre brug af digitale markedsføringstiltag, mens andre virksomheder, for hvem compliance måske ikke er et nøgleord, tager mere afslappet på det retlige tomrum. De opnår derved en urimelig konkurrencefordel ved at gøre brug af de teknologiske muligheder, som datamarkedsføring giver, uanset om tiltagene lever op til reglerne i persondataloven, cookie-bekendtgørelsen eller markedsføringsloven.

VIGTIGE SPØRGSMÅL, DU BØR STILLE DIG SELV:

Gør din virksomhed brug af (person-)data i markedsføringen?

Ved du, hvilke data der er tale om, og om de er omfattet af persondatareglerne?

Hvordan bruges oplysningerne?

Deler du dem (ufrivilligt) med andre, f.eks. via samarbejdspartnere?

Får jeres kunder de oplysninger, de har krav på?

Og ikke mindst: Går din virksomhed glip af muligheder for at gøre brug af data endnu bedre end i dag?

Med den kommende persondataforordning er det forventningen, at der bliver indført en vis regulering af behavioral marketing. Det sker med regulering af profilering, der sker ved automatiserede processer, og hvor kombinationen med de kommende samtykkekrav og en regulering af “pseudonymous data” kan påvirke mulighederne for behavioral marketing.

Kan din virksomheds digitale markedsføring gøres (mere) lovlig uden store inves-teringer, og kan du allerede i dag forberede dig på de kommende regler?

Svaret er i mange tilfælde, at det er muligt at gøre brug af data i markedsføringen på en bedre måde, hvor du samtidig indretter dig i overensstemmelse med de regler, vi forventer, der vil gælde i fremtiden. Det handler om at få genbesøgt jeres persondatapolitik, cookiepolitik og samtykketekster samt at få ryddet op i databasen.

www.kromannreumert.com/insights 9/9

KROMANN REUMERTS RÅDGIVNINGKromann Reumerts forretningsgruppe for compliance, persondata og interne undersøgelser rådgiver om alle juridiske aspekter af persondataretten inden for alle brancher, bl.a. den fi-nansielle sektor, forsknings- og sundhedssektoren og telebranchen, og vi har over de senere år udvidet vores kompetencer og rådgivning inden for persondataretten ganske betragteligt. Det betyder, at Kromann Reumert med en række erfarne og dygtige advokater er et af de væsentligste firmaer i Danmark inden for dette felt.