Hvis din virksomhed allerede i dag opfylder persondataloven til punkt og prikke, er det en overkommelig opgave at blive klar til EU’s nye databeskyttelsesforordning, GDPR. Ikke desto mindre er der en række nye elementer, som bliver til lov om 100 dage – når GDPR træder i kraft den 25. maj.
Version2 giver her en oversigt over de væsentligste nye ændringer, GDPR bringer med sig.
Bøder, bøder, bøder
Den helt store – og langt mest omtalte – nyskabelse i GDPR er de potentielt enorme bøder, som Datatilsynet får mulighed for at tildele virksomheder, der sjusker med data.
Bøderammen er opdelt i to dele. De største forseelser kan udløse bøder på op til 4 procent af en virksomheds globale omsætning eller op til 150 millioner kroner. Mindre alvorlige lovbrud kan straffes med bøder på op til 2 procent af den globale omsætning eller op til 75 millioner kroner. I begge tilfælde er det det højeste beløb, der udgøre den maksimale bødestørrelse.
Når tilsynet skal afgøre en bødes størrelse, vil myndigheden skele til antallet af berørte brugere samt den skade et læk har voldt de berørte. Bødestørrelsen kan også påvirkes af, om lovbruddet er et læk, som følge af et brud på virksomhedens interne regler, eller om der er tale om bevidst misbrug af brugerdata – fx videresalg til marketingsformål.
Det er op til hvert enkelt medlemsland at beslutte sig for, om også offentlige myndigheder skal have bøder for at bryde loven. Herhjemme har regeringen foreslået, at myndigheder kan blive tildelt bøder på op til 4 procent af driftsbudgettet – dog maksimalt 16 millioner kroner. Version2 tæller ned til den 25. maj, hvor Databeskyttelsesforordningen træder i kraft med skærpede samtykkeregler, nye brugerrettigheder og ikke mindst massive bøder for datasjusk til både myndigheder og virksomheder. Læs med om hovedpiner, værktøjer og strategier, som forskellige virksomheder har brugt for at blive klar til regelsættet.
Forordningen kommer
Sikkerhedsbrud må ikke holdes hemmelige
Med GDPR får alle virksomheder pligt til at informere Datatilsynet, hvis de har haft brud på sikkerheden, som har sendt persondata på afveje.
Hvis persondata mistes, slettes, lækkes eller lignenende skal tilsynet informeres inden for 72 timer. I praksis kommer dette til at foregå gennem virk.dk.
Datatilsynets vejledning på området kan læses her.
Samtykke? Ja tak
Hvis ikke der decideret er en lov, som kræver eller tillader behandling af bestemte oplysninger, vil det som regel kræve et samtykke fra den person, data omhandler.
Med GDPR bliver det definitivt op til den enkelte virksomhed ikke bare at indhente et samtykke, men også at dokumentere, at brugeren er blevet spurgt.
Samtykke skal gives skriftligt og formuleringen i teksten skal være letforståelig, i et klart og enkelt sprog, og må ikke være gemt i bunker af anden tekst – som fx en privatlivspolitik.
Det skal desuden være lige så let at trække et samtykke tilbage, som det er at give det.
Datatilsynets vejledning på området kan findes her.
DPO eller ej
En række virksomheder og alle myndigheder bliver pålagt at udpege en Data Protection Officer – eller DPO.
DPO'en har en rådgivnings- og overvågningsrolle, og fungerer som kontaktperson for dem, hvis data virksomheden behandler.
Der er ikke noget krav om specifik uddannelse, før man kan blive DPO. Man behøver fx ikke være jurist. Og DPO'en kan også findes internt blandt de ansatte, så længe der ikke er en interessekonflikt.
Dvs. DPO'en må ikke samtidig være it-chef, HR-chef eller en anden post med øvre ansvar for at behandle persondata.
For private virksomheder bliver det undtagelsen snarere end reglen, at man skal have sig en DPO. Kun private virksomheder, der som deres kerneaktivitet behandler følsomme oplysninger eller oplysninger om strafbare forhold i et stort omfang eller foretager regelmæssig og systematisk overvågning af personer i stort omfang, er forpligtede til at udpege en databeskyttelsesrådgiver.
Datatilsynet har udgivet en vejledning på området.
Nye rettigheder
Alle de data-rettigheder vi i dag har som forbrugere bliver med GDPR enten bevaret eller styrket. Men EU-loven introducerer også tre nye rettigheder, som privacy-bevidste forbrugere kan gøre brug af.
Retten til sletning – eller retten til at blive glemt – kræver at den dataansvarlige sletter indsamlede data, hvis de ikke længere er nødvendige, eller hvis behandlingen er ulovlig eller sletningen lovpligtig. Det skal ikke kun ske, når utilfredse borgere sparker døren ind.
Retten til at begrænse behandlingen giver som noget nyt borgere ret til at begrænse behandlingen af personoplysninger i en periode, hvis borgeren har mistanke om, at databehandlingen ikke går efter bogen. I sådan et tilfælde kan borgeren gøre indsigelse mod behandlingen, og indtil den protest er kontrolleret, skal virksomheden stoppe behandlingen.
Retten til dataportabilitet betyder, at alle kan bede om at få sine data udleveret og overført i et struktureret, maskinlæsbart format, så den registrerede kan gå til hen til konkurrenten og få sin data med. Hvordan det skal fungere i praksis er omdiskuteret. EU-gruppen Working Party Artikel-29 har udgivet en vejledning og en FAQ om netop denne rettighed.
Datatilsynet har en vejledning om brugerrettigheder, der kan læses her.
Data om børn
For første gang indeholder GDPR særlige regler for børn og deres data.
Det betyder, at en tjeneste, der er rettet mod børn, skal skrive samtykketeksten på en måde, så børn kan forstå det.
Med til forordningen hører desuden, at hvert medlemsland sætter en grænse for, hvornår et barn er gammelt nok til selv at give sit samtykke. Her har Danmark valgt 13 år, der er minimumsgrænsen fastsat af EU.
Tredjelande
Med GDPR’s indtog bliver reglerne for overførsel af data til en part uden for EU underlagt strengere krav.
De europæiske datatilsyn har i 2016 opstillet fire essentielle europæiske garantier, der altid skal efterleves, uanset hvor i verden, man vil sende data hen.
Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler.
Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal være nødvendig og proportional (der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv.
Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet.
Der skal være tilgængelige og effektive retsmidler for de registrerede i tredjelandet.
Dertil kommer, at virksomheder generelt skal have fat i et frivillig, specifik, informeret og utvetydig samtykke fra brugeren – inden data ryger ud af EU. Med reglen følger en række undtagelser – Datatilsynet lister dem alle i vejledningen, der kan findes her.
Ny kategorisering af data
GDPR understreger at lokaliseringsdata, DNA og IP-adresser er personoplysninger. Samtidig bliver data om biometri og genetik kategoriseret som følsomme.
Til gengæld udgår den særligt danske data-kategori ‘semi-følsomme data’. Det er data, som i EU hører under almindelige personoplysninger, men som i Danmark hidtil har nydt samme beskyttelse som de følsomme personoplysninger. Det betyder, at oplysninger om blandt andet sociale problemer og foreningsmedlemskaber – som ikke er fagforeningen – fremover bliver behandlet som almindelige oplysninger.
Dokumentation og fortegnelser
GDPR indfører krav om at lave såkaldte fortegnelser, hvori virksomheder skal holde overblik over de behandlinger, de har sat i gang.
Fortegnelser er på den måde et påkrævet værktøj, som skal gøre virksomheder i stand til at leve op til forordningens øvrige regler om fx hvilke oplysninger man kan behandle, håndtering af henvendelser og anmeldelser af brud på persondatasikkerheden.
Fortegnelser skal i udgangspunkt ikke vises til nogen – med mindre Datatilsynet beder om det.
De fungerer altså som en intern forpligtelse, der i øvrigt erstatter de nuværende krav om at anmelde databehandlinger til Datatilsynet.
Efter de nye regler antager tilsynet, at virksomheden har styr på reglerne, men kræver til gengæld at dokumentation kan findes frem, hvis det bliver nødvendigt.
Kravet om fortegnelser gælder generelt ikke for virksomheder med under 250 medarbejdere. Men det er en undtagelse med modifikationer, som det kan ses i figuren til højre.
Dermed kommer de fleste virksomheder – uafhængigt af størrelsen – sandsynligvis til at dykke ned i arbejdet med fortegnelser.
Datatilsynet har lavet en vejledning til, hvordan fortegnelserne laves, og hvad de skal indeholde.
Privacy by design og by default
Fra den 25. maj skal databeskyttelse være indbygget i de tekniske systemer, hvor data behandles. Det vil sige, at systemer fra starten skal designes, så de fx automatisk sletter bestemte oplysninger.
Justitsministeriet har i sin betænkning til forordningen vurderet, at kravet ikke betyder at ældre it-systemer skal re-designes – hvis der kan sættes andre organisatoriske sikkerhedsforanstaltninger op, som løser opgaven.
Loven kræver også, at systemers standardindstillinger sikrer, at kun nødvendige data behandles, at der ikke indsamles mere data end nødvendig, og at data ikke opbevares længere tid end nødvendigt.
Datatilsynet har endnu ikke udgivet en vejledning til området.
Hvem gælder det for?
Alle virksomheder, der har aktiviteter inden for EU, skal leve op til reglerne – uanset at der er tale om en lille filial eller et datterselskab.
Det gælder således store multinationale virksomheder såvel som frisøren på hjørnet, der skal overveje, om medarbejder og kundedata opbevares korrekt.
Hvis man gerne vil undgå postyret kan man sørge for, at man kun behandler anonyme oplysninger, der ikke betragtes ikke som personhenførbare – og derfor per definition ikke falder inden for forordningens regler. Det gør til gengæld pseudonymiseret data.
Denne artikel opdateres løbende i takt med, at der kommer flere vejledninger til overholdelse af GDPR.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
