100 dage tilbage: Her er en GDPR-guide til junglen af ændringer i databeskyttelse

Illustration: Labunskiy K./Bigstock
Databeskyttelsesforordningen nærmer sig – Version2 giver dig her et overblik over de vigtigste ændringer, som træder i kraft den 25. maj.

Hvis din virksomhed allerede i dag opfylder persondataloven til punkt og prikke, er det en overkommelig opgave at blive klar til EU’s nye databeskyttelsesforordning, GDPR. Ikke desto mindre er der en række nye elementer, som bliver til lov om 100 dage – når GDPR træder i kraft den 25. maj.

Version2 giver her en oversigt over de væsentligste nye ændringer GDPR bringer med sig.

Bøder, bøder, bøder

Den helt store – og langt mest omtalte – nyskabelse i GDPR er de potentielt enorme bøder, som Datatilsynet får mulighed for at tildele virksomheder, der sjusker med data.

Bøderammen er opdelt i to dele. De største forseelser kan udløse bøder på op til 4 procent af en virksomheds globale omsætning eller op til 150 millioner kroner. Mindre alvorlige lovbrud kan straffes med bøder på op til 2 procent af den globale omsætning eller op til 75 millioner kroner. I begge tilfælde er det det højeste beløb, der udgøre den maksimale bødestørrelse.

Når tilsynet skal afgøre en bødes størrelse, vil myndigheden skele til antallet af berørte brugere samt den skade et læk har voldt de berørte. Bødestørrelsen kan også påvirkes af, om lovbruddet er et læk, som følge af et brud på virksomhedens interne regler, eller om der er tale om bevidst misbrug af brugerdata – fx videresalg til marketingsformål.

Det er op til hvert enkelt medlemsland at beslutte sig for, om også offentlige myndigheder skal have bøder for at bryde loven. Herhjemme har regeringen foreslået, at myndigheder kan blive tildelt bøder på op til 4 procent af driftsbudgettet – dog maksimalt 16 millioner kroner.

Sikkerhedsbrud må ikke holdes hemmelige

Med GDPR får alle virksomheder pligt til at informere Datatilsynet, hvis de har haft brud på sikkerheden, som har sendt persondata på afveje.

Hvis persondata mistes, slettes, lækkes eller lignendende skal tilsynet informeres inden for 72 timer.

Datatilsynets vejledning på området er endnu ikke udgivet.

Læs også: Advokat om ny persondatalov: Hammeren falder prompte, hvis Datatilsynet først læser om datalæk i medierne

Samtykke? Ja tak

Hvis ikke der decideret er en lov, som kræver eller tillader behandling af bestemte oplysninger, vil det som regel kræve et samtykke fra den person, data omhandler.

Med GDPR bliver det definitivt op til den enkelte virksomhed ikke bare at indhente et samtykke, men også at dokumentere, at brugeren er blevet spurgt.

Samtykke skal gives skriftligt og formuleringen i teksten skal være letforståelig, i et klart og enkelt sprog, og må ikke være gemt i bunker af anden tekst – som fx en privatlivspolitik.

Det skal desuden være lige så let at trække et samtykke tilbage, som det er at give det.

Datatilsynets vejledning på området kan findes her.

Læs også: Sky-løsning skal gøre bilbranchen klar til GDPR: Håndtering af samtykke stinker lidt

DPO eller ej

En række virksomheder og alle myndigheder bliver pålagt at udpege en Data Protection Officer – eller DPO.

DPO'en har en rådgivnings- og overvågningsrolle, og fungerer som kontaktperson for dem, hvis data virksomheden behandler.

Der er ikke noget krav om specifik uddannelse, før man kan blive DPO. Man behøver fx ikke være jurist. Og DPO'en kan også findes internt blandt de ansatte, så længe der ikke er en interessekonflikt.

Dvs. DPO'en må ikke samtidig være it-chef, HR-chef eller en anden post med øvre ansvar for at behandle persondata.

For private virksomheder bliver det undtagelsen snarere end reglen, at man skal have sig en DPO. Kun private virksomheder, der som deres kerneaktivitet behandler følsomme oplysninger eller oplysninger om strafbare forhold i et stort omfang eller foretager regelmæssig og systematisk overvågning af personer i stort omfang, er forpligtede til at udpege en databeskyttelsesrådgiver.

Datatilsynet har udgivet en vejledning på området.

Læs også: DPO eller ej? Langt de fleste virksomheder kan undvære en Data Protection Officer

Nye rettigheder

Alle de data-rettigheder vi i dag har som forbrugere bliver med GDPR enten bevaret eller styrket. Men EU-loven introducerer også tre nye rettigheder, som privacy-bevidste forbrugere kan gøre brug af.

Retten til sletning – eller retten til at blive glemt – kræver at den dataansvarlige sletter indsamlede data, hvis de ikke længere er nødvendige, eller hvis behandlingen er ulovlig eller sletningen lovpligtig. Det skal ikke kun ske, når utilfredse borgere sparker døren ind.

Retten til at begrænse behandlingen giver som noget nyt borgere ret til at begrænse behandlingen af personoplysninger i en periode, hvis borgeren har mistanke om, at databehandlingen ikke går efter bogen. I sådan et tilfælde kan borgeren gøre indsigelse mod behandlingen, og indtil den protest er kontrolleret, skal virksomheden stoppe behandlingen.

Retten til dataportabilitet betyder, at alle kan bede om at få sine data udleveret og overført i et struktureret, maskinlæsbart format, så den registrerede kan gå til hen til konkurrenten og få sin data med. Hvordan det skal fungere i praksis er omdiskuteret. EU-gruppen Working Party Artikel-29 har udgivet en vejledning og en FAQ om netop denne rettighed.

Læs også: Advokat om retten til at flytte egne data: Hvordan i h... skal det lade sig gøre?

Data om børn

For første gang indeholder GDPR særlige regler for børn og deres data.

Det betyder, at en tjeneste, der er rettet mod børn, skal skrive samtykketeksten på en måde, så børn kan forstå den.

Med til forordningen hører desuden, at hvert medlemsland sætter en grænse for, hvornår et barn er gammelt nok til selv at give sit samtykke. Her har Danmark valgt 13 år, der er minimumsgrænsen fastsat af EU.

Tredjelande

Illustration: Datatilsynet

Med GDPR’s indtog bliver reglerne for overførsel af data til en part uden for EU underlagt strengere krav.

De europæiske datatilsyn har i 2016 opstillet fire essentielle europæiske garantier, der altid skal efterleves, uanset hvor i verden, man vil sende data hen.

  • Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler.

  • Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal være nødvendig og proportional (der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv.

  • Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet.

  • Der skal være tilgængelige og effektive retsmidler for de registrerede i tredjelandet.

Dertil kommer, at virksomheder generelt skal have fat i et frivillig, specifik, informeret og utvetydig samtykke fra brugeren – inden data ryger ud af EU. Med reglen følger en række undtagelser – Datatilsynet lister dem alle i vejledningen, der kan findes her.

Ny kategorisering af data

GDPR understreger at lokaliseringsdata, DNA og IP-adresser er personoplysninger. Samtidig bliver data om biometri og genetik kategoriseret som følsomme.

Til gengæld udgår den særligt danske data-kategori ‘semi-følsomme data’. Det er data, som i EU hører under almindelige personoplysninger, men som i Danmark hidtil har nydt samme beskyttelse som de følsomme personoplysninger. Det betyder, at oplysninger om blandt andet sociale problemer og foreningsmedlemskaber – som ikke er fagforeningen – fremover bliver behandlet som almindelige oplysninger.

Dokumentation og fortegnelser

Illustration: Datatilsynet

GDPR indfører krav om at lave såkaldte fortegnelser, hvori virksomheder skal holde overblik over de behandlinger, de har sat i gang.

Fortegnelser er på den måde et påkrævet værktøj, som skal gøre virksomheder i stand til at leve op til forordningens øvrige regler om fx hvilke oplysninger man kan behandle, håndtering af henvendelser og anmeldelser af brud på persondatasikkerheden.

Fortegnelser skal i udgangspunkt ikke vises til nogen – med mindre Datatilsynet beder om det.

De fungerer altså som en intern forpligtelse, der i øvrigt erstatter de nuværende krav om at anmelde databehandlinger til Datatilsynet.

Efter de nye regler antager tilsynet, at virksomheden har styr på reglerne, men kræver til gengæld at dokumentation kan findes frem, hvis bliver nødvendigt.

Kravet om fortegnelser gælder generelt ikke for virksomheder med under 250 medarbejdere. Men det er en undtagelse med modifikationer, som det kan ses i figuren til højre.

Dermed kommer de fleste virksomheder – uafhængigt af størrelsen – sandsynligvis til at dykke ned i arbejdet med fortegnelser.

Datatilsynet har lavet en vejledning til, hvordan fortegnelserne laves, og hvad de skal indeholde.

Privacy by design og by default

Fra den 25. maj skal databeskyttelse være indbygget i de tekniske systemer, hvor data behandles. Det vil sige, at systemer fra starten skal designes, så de fx automatisk sletter bestemte oplysninger.

Justitsministeriet har i sin betænkning til forordningen vurderet, at kravet ikke betyder at ældre it-systemer skal re-designes – hvis der kan sættes andre organisatoriske sikkerhedsforanstaltninger op, som løser opgaven.

Loven kræver også, at systemers standardindstillinger sikrer, at kun nødvendige data behandles, at der ikke indsamles mere data end nødvendig, og at data ikke opbevares længere tid end nødvendigt.

Datatilsynet har endnu ikke udgivet en vejledning til området.

Hvem gælder det for?

Alle virksomheder, der har aktiviteter inden for EU, skal leve op til reglerne – uanset at der er tale om en lille filial eller et datterselskab.

Det gælder således store multinationale virksomheder såvel som frisøren på hjørnet, der skal overveje, om medarbejder og kundedata opbevares korrekt.

Hvis man gerne vil undgå postyret kan man sørge for, at man kun behandler anonyme oplysninger, der ikke betragtes ikke som personhenførbare – og derfor per definition ikke falder inden for forordningens regler. Det gør til gengæld pseudonymiseret data.

Denne artikel opdateres løbende i takt med, at der kommer flere vejledninger til overholdelse af GDPR.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
Casper Bang

GDPR trådte i kraft i april 2016, men det er først fra den 25. maj at den håndhæves - efter virksomheder har haft 2 år til at gøre deres software og data-praksis compliant.

Det er uheldigt at det af medier udlægges som "vi skal gøre noget inden den 25 maj 2018" for det er jo nok en af forklaringerne på, at det ikke har haft nok fokus for virksomheder - og hvorfor så få reelt når at efterleve lovgivningen.

Kurt Frederiksen

Jeg er i en vis grad enig med dig, men virksomheder har jo et objektivt ansvar for egen forretning og jeg synes lidt du her giver medierne skylden for at virksomheder over en bred kam har været sløve i optrækket.

At danske medier så er rigtig dårlige til at dække privathed og sikkerhed i det hele taget er for mig en anden ting. Det burde de gøre for at oplyse og "uddanne" den danske befolkning til at deltage som kvalificerede debattører i en politisk debat om området.

Det er jo så vigtige områder at det er for farligt at overlade til eksperterne, markedskræfterne og ikke mindst politikerne.

Jesper Lund

Med til forordningen hører desuden, at hvert medlemsland sætter en grænse for, hvornår et person er et barn i en databeskyttelsessammenhæng. Her har Danmark valgt 13 år, der er minimumsgrænsen fastsat af EU.

Denne beskrivelse af GDPR og børn er misvisende.

GDPR omtaler flere steder børn, fx interesseafvejningen ved legitim interesse, men af uransagelige årsager er der ikke en definition af et barn i forordningen. I mangel af en sådan definition må det antages, at den gængse definition af et barn gælder, jf. eksempelvis FN-konventionen om barnets rettigheder, dvs. et barn er en fysisk person under 18 år.

Det som GDPR overlader til medlemsstaterne er den alder, hvor et barn selv kan give et samtykke til en informationssamfundstjeneste, eksempelvis Facebook ("digital age of consent"). Udgangspunktet i GDPR er 16 år, men medlemsstaterrne kan sætte en lavere alder helt ned til 13 år (som Danmark har valgt).

Jesper Lund
Formand, IT-Politisk Forening

Lars Christensen

Indtil nu har jeg talt med ca 150 microvirksomheder med op til 5 mill omsæt/år og ingen af dem har overhovedet bare tænkt sig at sætte sig ind i tingene - fordi det er da besværligt og hvem skal betale for at vi gør noget?
Det bliver spændende at se effekten af denne helt typiske "laden stå til" som også er kendetegnet ved følgende ofte hørte statement "når vi ikke bliver tjekket om vi betaler skat og moms, hvorfor skulle vi dog så blive tjekket for vores omgang med data?"

Jesper Lund

Hvis man logger data uden en reference til brugernavn/mail/IP m.v., men alligevel kan korrelere data per bruger på grundlag af andre unikke oplysninger er dette så anonymiseret data?

Nej.

Et godt råd i de kommende $$$$-bøde tider: du skal være meget sikker, hvis du vil hævde at du har med anonyme data at gøre. Anonyme data falder nemlig helt uden for forordningen.

Lars Christensen

Der er vel egentligt kun to muligheder, enten overholder du nedenstående princip fra GDPR, eller også lægger du ALLE data i boks og sender dem som i gamle dage (for 10 år siden) med kurer - det er ikke så svært.

26) Principperne for databeskyttelse bør gælde for enhver information om en identificeret eller identificerbar fysisk person. Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person. For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostninger ved og tid der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. Databeskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, dvs.
oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Denne forordning vedrører derfor ikke behandling af sådanne anonyme oplysninger, herunder til statistiske eller forskningsmæssige formål

Kurt Frederiksen

Ja, men definitionen er jo svær at overskue.

Det er jo velkendt at lovgivning altid har gråzoner og denne er selvfølgelig ingen undtagelse. Det er jo netop derfor man har dommere til at udrede detaljerne i hvert enkelt sag.

Når det er sagt, så vil man altid komme i problemer når data kan henføres til enkeltpersoner uanset hvordan det så er lavet. Selv lovgiverne er kommet længere end den oldnordiske tankegang om at intet kan pege på en bestemt person uden navn og adresse.

I en virkelighed hvor selv stavefejl og ordvalg kan pege på en bestemt person kommer man ikke langt i sit forsvar ved at tale om skjult bag ID nøgler o.s.v.

Jeg vil tro disse fremtidig sager kommer til at handle mere om god eller ond vilje omkring dataindsamlingen i forhold til loven end tekniske løsninger. Tiden hvor det var nok at undlade CPR nummer er for længst overstået.

Jesper Lund

Ja, men definitionen er jo svær at overskue. Lad os sige det unikke ID per bruger (som ikke i sig selv er personførbar) er stabilt, så kan man jo i fremtiden samle de samme data og dermed gør data personførbare direkte til en profil i samme applikation eller oven i købet i en helt anden applikation.

Nej, definitionen af personoplysninger er ikke svær at overskue. Det er kun hvis du prøver at omgå forordningen ved at hævde at der er tale om anonyme data. Der er mange andre ting, som er svære.

Persondata er oplysninger om en identificeret eller identificerbar person. Det har været definitionen i næsten 40 år (før databeskyttelsesdirektivet fra 1995).

Identificeret = du ved hvem personen er
Identificerbar = det vil være muligt at finde ud af hvem personen er, enten på grundlag af oplysninger som du selv har (fx pseudonymisering), eller på grundlag af yderligere oplysninger hos andre (fx risikoen for re-identifikation).

Oplysninger vedr. enkeltpersoner (altså modsat aggregerede oplysninger, som antal kunder i butikken fredag eftermiddag) vil så godt som altid være personoplysninger. Anonymisering er svært, meget svært, og det bliver sværere dag for dag fordi risikoen for re-identifikation vokser i takt med den mængde oplysninger om personer, som i øvrigt er tilgængelig online, jf. fx AOL search data leak.

Stig Christensen

Sådan ser jeg det også. Så selv om du har et ID som du ikke kan bruge som personførbar, fordi datasættet ikke indeholder sammekædningen, så er det ikke anonymt data, hvis du i fremtiden kan skabe sammenkædningen (også selvom det kræver at brugeren har en live session)

Hvad betyder dette mon for tracking cookies som netop prøver at korrelere data ud fra "unikke" egenskaber?

Jesper Lund

Selv lovgiverne er kommet længere end den oldnordiske tankegang om at intet kan pege på en bestemt person uden navn og adresse.

Definitionen af personoplysninger som oplysninger vedrørende en identificeret eller identificerbar person indgår i Europarådets konvention 108 fra 1981.

Når vi fejrer databeskyttelsesdagen den 28. januar, skyldes det at Europarådets konvention 108 blev underskrevet den 28. januar 1981.

Efterfølgende kom EU med databeskyttelsesdirektivet og nu GDPR, men den formelle definition af en personoplysning stammer fra Europarådets konvention 108.

Det har aldrig været nok at fjerne navne og CPR-numre.

Søren Kristensen

Ja, Det er korrekt at Justitsministeriet i sin betænkning skriver, at der ældre systemer ikke skal re-designes.
Med de skriver også i samme betænkning, at til forskel fra selve system design, så må det forventes, at standardindstillinger vil skulle ændres - også i gamle systemer, hvis det er nødvendigt for at systemet overholder forordningens krav.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017