Advokat om ny persondatalov: Hammeren falder prompte, hvis Datatilsynet først læser om datalæk i medierne
EU's nye persondataforordning, som træder i kraft i maj 2018, betyder, at virksomheder skal gøre deres forarbejde, når det gælder om at risikovurdere og beskytte de systemer, som behandler persondata.
Det bliver med andre ord nødvendigt at forholde sig til alle de steder, hvor persondata bliver bearbejdet, og ikke mindst at dokumentere, at man har forholdt sig til det.
Det er formodentlig den mest betydende ændring, der kommer med forordningen, lyder det fra en advokat med speciale i it-ret i en nyhed fra TDC Hosting.
»Du bliver ramt af et krav om dokumentation af enhver databehandling. Det vil sige, at du skal have en plan, der beskriver, hvordan du behandler forskellige typer af data, og hvem der har adgang til at behandle dem. Og hvis nogen ændrer i de data, så skal du have en log, der viser, hvad der skete. For det skal du kunne præsentere for Datatilsynet, og hvis du ikke kan det, kan du faktisk få en bøde, selvom der ikke er sket noget,« fortæller advokat Kim G. Hansen, der er specialist i IT-ret og partner i advokatfirmaet Integra, til TDC.
Dokumentationskravene betyder også, at man som virksomhed skal begynde at risikovurdere alle de systemer, hvor der arbejdes med persondata.
Det vil sige, at man skal forholde sig aktivt til den konsekvens, det kan have for de berørte, hvis data bliver lækket.
»Risikovurdering er noget, alle skal lave, og det handler om at vurdere: Hvad sker der, hvis de data, jeg behandler, kommer ud? Noget kan populært sagt klares på bagsiden af en serviet, og andet kræver en større manual, før det er dokumenteret tilstrækkeligt. Det er en del af det arbejde, du skal have lavet,« fortæller Kim G. Hansen.
En IP-adresse er også persondata
Mange plejer at kalde det personfølsomme oplysninger eller følsomme data, men EU-persondataforordningen kalder det slet og ret persondata.
For det handler ikke kun om kreditkort- eller helbredsoplysninger, definitionen er meget bredere.
»Persondata er alle de data overhovedet, der på noget tidspunkt gør, at man kan identificere en person. Grunden til, at det er så bredt defineret, er, at de mange oplysninger tilsammen kan lave en profil på en person. Det er derfor, at sådan noget som en IP-adresse også er en personoplysning, hvis det på noget tidspunkt gør, at man kan koble den sammen med mig,« forklarer Kim G. Hansen.
Den definition betyder, at man ikke kan nøjes med at se isoleret på persondata i ét system, de skal ses i sammenhæng med de andre steder, hvor data behandles.
Ifølge forordningen betyder behandling af data enhver ting, man overhovedet kan gøre med data: indsamling, videregivelse og bearbejdning - alt.
Alene det at give nogen adgang til persondata konstituerer behandling. Desuden skal du løbende vurdere, hvornår de data, du behandler, ikke længere er relevante, og slette dem.
»Du må ikke beholde data, når du ikke har brug for dem mere. Og du må ikke behandle data, der ikke er nødvendige. Så du må ikke spørge en kunde om data, som ikke er nødvendige. Hvis Google Maps spurgte om dit CPR-nummer, for at du kan bruge tjenesten, så ville det være ulovligt. Det vil sige, at du hele tiden skal spørge dig selv: Er det nødvendigt, jeg behandler de her data, og har jeg det nødvendige samtykke fra ejeren?« siger Kim G. Hansen.
Pligt til indberetning af læk
Selvom du har lavet de rigtige analyser og forberedt dine systemer godt, kan du alligevel komme ud for at blive hacket og miste persondata.
Hvis det sker, skal du selv fortælle tilsynsmyndigheden, hvad der er sket. I Danmark er det Datatilsynet, og de skal have besked om et læk senest 72 timer efter, at du har fundet ud af, at det er sket.
»Hvis datatilsynet læser i Ekstra Bladet, at der er sket et datalæk hos dig, så kører vi helt op i toppen af bødeskalaen med det samme. Og hvis de mistede data har stor betydning for ejeren, så kan du blive tvunget til at fortælle, at du har mistet deres oplysninger. I min verden må det være noget af det værste, man kan komme ud for. Man risikerer da i hvert fald at miste en kunde, hvis sådan noget sker,« siger advokat Kim G. Hansen.
Det bliver nødvendigt at kunne bevise, at du har taget de nødvendige skridt i forhold til at kortlægge datastrømme, kryptere data og begrænse adgange, når det gælder persondata.
For det er ikke nok bare at sige til Datatilsynet, at du har mistet data.
»Det går ikke. Du skal kunne sige, hvad der er sket, og hvilke konsekvenser det har haft. Hvad har du gjort for at afhjælpe det og så videre. Og hvis du ikke gør det inden for de 72 timer, har du et kæmpe forklaringsproblem,« vurderer Kim G. Hansen.
Afhængigt af, hvor alvorlig situationen er, kan du blive pålagt at betale en bøde, der modsvarer 4 procent af hele koncernens årlige omsætning.
Bødens størrelse kommer an på den dokumentation, du kan lægge frem, og de forberedelser, du har gjort. Jo bedre du kan dokumentere dine forberedelser, des bedre stillet er du i forhold til bøder og sanktioner.
Jo større konsekvens, des større beskyttelse
Forordningens motiv er at få dig til at tænke mere aktivt over den måde, du arbejder med persondata på, og hvordan du beskytter dem.
Den vil betyde, at dataejere danner sig et billede af, hvor man skal gøre en særlig indsats for at passe på persondata. Og hvis man gennemfører analysearbejdet, er man også bedre stillet over for de bøder og sanktioner, som forordningen bringer.
»Jo større skaden ved et læk kan være, des mere skal man gøre for at beskytte sig. Hvis skaden ikke er stor, behøver man ikke gøre så meget. Men hvis du ikke kan lægge papirerne frem som bevis, så kan du alene af den grund - uanset om der er sket noget eller ej - få en bøde,« forklarer Kim G. Hansen.
Den nye EU Persondataforordning træder officielt i kraft den 25. maj 2018.
