D-dag for EU’s Persondataforordning: Nye regler presser alle, der håndterer persondata

Borgerne får flere rettigheder, virksomheder risikerer enorme bøder, og eneste vej udenom er at nøjes med at behandle anonyme data ...

Jorden kommer til at brænde under en række organisationer, når EU’s nye databeskyttelsesforordning, GDPR, træder i kraft i dag, 25. maj. For de nye regler medfører en række nye eller skærpede rettigheder for borgerne, som det er tvivlsomt, at f.eks. Facebook, og andre medier for den sags skyld, ejere af overvågningskameraer og offentlige organisationer lever op til.

Umiddelbart burde det være en overkommelig opgave at overholde GDPR, hvis man vel at mærke opfyldte den gamle persondatalov til punkt og prikke. Men det var nok bare de færreste, der gjorde det.

Den helt store og langt den mest omtalte nyskabelse i GDPR er de potentielt enorme bøder, som Data­tilsynet får mulighed for at tildele virksomheder, der sjusker med data.

Bøder, der kan mærkes

De største forseelser kan udløse bøder på op til 4 procent af en virksomheds globale omsætning eller op til 150 millioner kroner. Mindre alvorlige lovbrud kan straffes med bøder på op til 2 procent af den globale omsætning eller op til 75 millioner kroner. I begge tilfælde er det det højeste beløb, der udgør den maksimale bødestørrelse.

Herhjemme kan også offentlige myndigheder blive tildelt bøder på op til 4 procent af driftsbudgettet, dog maksimalt 16 millioner kroner.

En af de store nyskabelser i GDPR for brugerne er, at at hvis ikke der decideret er en lov, som kræver eller tillader behandling af bestemte oplysninger, vil det som regel kræve et samtykke fra den person, data omhandler. Og de nye samtykkekrav er mere vidtgående end de gamle.

Med GDPR bliver det definitivt op til den enkelte virksomhed ikke bare at indhente et samtykke, men også at dokumentere, at brugeren er blevet spurgt.

Samtykke skal gives skriftligt, og formuleringen i teksten skal være letforståelig, i et klart og enkelt sprog og må ikke være gemt i bunker af anden tekst – som f.eks. en privatlivspolitik. Det skal desuden være lige så let at trække et samtykke tilbage, som det er at give det.

Allerede nu diskuteres det, om de samtykker, vi f.eks. giver til Facebook, er tilstrækkeligt tydelige og specifikke som grundlag for den profilering af brugerne, som tjenesten gennemfører, også i forhold til følsomme persondata om f.eks. religiøse, politiske og seksuelle interesser.

Det har en række jurister ifølge DR stillet sig stærkt tvivlende over for. Med andre ord kan Facebooks databehandling vise sig at være ulovlig, når GDPR træder i kraft i dag.

Formanden for IT-Politisk Forening, Jesper Lund, konkluderer også i et debatindlæg her på Version2, at Facebook behandler persondata ulovligt med deres mangelfulde samtykker fra brugerne. Bl.a. kan brugen af Facebook ikke gøres afhængig af, at brugerne accepterer et samtykke til målrettede reklamer. Det skal præsenteres særskilt og uafhængigt.

Men også danske medier kan komme i klemme med GDPR. Fremover skal de alle sammen have pinligt tjek på, hvad der sker med de data, som hundredvis af firmaer indhenter fra brugerne af deres hjemmesider, lyder det fra forskere på Aalborg Universitet.

Persondata om vores adresser og indkøbsvaner havner også hos ukendte firmaer. Det er altså næppe at stramme konklusionen, hvis man antager, at den krævede dataindsigt ikke findes i dag.

Nye rettigheder

Privacy-bevidste forbrugere får med GDPR en ny ret, som de kan gøre brug af – og som indebærer en ikke ubetydelig risiko for, at forbrugere kan knække en virksomhed, der kommer ud i en såkaldt shitstorm.

Det er retten til såkaldt dataportabilitet, der betyder, at alle kan bede om at få deres data udleveret og overført i et struktureret, maskinlæsbart format, så den registrerede kan tage sine data med til konkurrenten.

Hvordan det skal fungere i praksis er omdiskuteret. Der er udgivet vejledninger, men i værste fald kan en virksomhed altså pludselig blive ramt af en kampagne på sociale medier, hvor tusindvis af kunder beder om indsigt på én gang. Evner virksomheden ikke at udlevere data inden for 14 dage, som GDPR kræver, risikerer den en af de helt store bøder, der vil kunne ryste eller endda lukke nogle virksomheder.

Men også bare det, at man som bruger får ret til indsigt i billeder fra landets 1,5 mio. overvågningskameraer i bl.a. supermarkeder, banegårde, lufthavne og storcentre, kan blive dyrt og besværligt, som Ingeniøren skrev for tre uger siden.

Læs også: Borgerindsigt er en bombe under dansk videoovervågning

Et foto eller en overvågningsvideo af en person er nemlig ‘personhenførbare data’, og derfor har enhver ret til at få billederne af sig selv udleveret.

Fra såvel Coop som Dansk Super­marked og landets største ejer af overvågningskameraer, DSB, var beskeden til Ingeniøren den samme: Der er endnu meget få, der beder om billederne, men hvis flere får øjnene op for mulig­heden, bliver det dyrt.

Også andre data-­rettigheder, som vi i dag har som forbrugere, bliver med GDPR enten bevaret eller styrket. EU-loven introducerer nemlig også to andre nye rettigheder, som privacy-bevidste forbrugere kan gøre brug af.

Retten til sletning – eller ‘retten til at blive glemt’ – kræver, at den dataansvarlige sletter indsamlede data, hvis de ikke længere er nødvendige, eller hvis behandlingen er ulovlig eller sletningen lovpligtig. Det skal ikke kun ske, når utilfredse borgere sparker døren ind.

Retten til at begrænse behandlingen giver som noget nyt borgere ret til at begrænse behandlingen af personoplysninger i en periode, hvis borgeren har mistanke om, at databehandlingen ikke går efter bogen. I sådan et tilfælde kan borgeren gøre indsigelse mod behandlingen, og indtil den protest er kontrolleret, skal virksomheden stoppe behandlingen.

Privacy by design og by default

Helt grundlæggende skal databeskyttelse nu være indbygget i de tekniske systemer, hvor data behandles. Det vil sige, at systemer fra starten skal designes, så de f.eks. automatisk sletter bestemte oplysninger.

Justitsministeriet har i sin betænkning til forordningen vurderet, at kravet ikke betyder, at ældre it-systemer skal re-designes – hvis der kan sættes andre organisatoriske sikkerhedsforanstaltninger op i stedet.

Loven kræver også, at systemers standardindstillinger sikrer, at kun nødvendige data behandles, at der ikke indsamles mere data end nødvendig, og at data ikke opbevares længere tid end nødvendigt.

Version2 afslørede i efteråret, hvordan et Wiki-lignende dokumentstyringssystem i Region Hovedstaden åbent gav adgang til login­informationer til en personlig profil i et system for en sædbank. En sådan teknisk it-sikkerhed er næppe lovlig med GDPR.

Læs også: Åbent Region H-dokumentsystem gav adgang til lægekonto hos sædbank

Data om børn

For første gang indeholder GDPR særlige regler for børn og deres data. Det betyder, at en tjeneste, der er rettet mod børn, skal skrive samtykke­teksten på en måde, så børn kan forstå det.

Med til forordningen hører desuden, at hvert medlemsland sætter en grænse for, hvornår et barn er gammelt nok til selv at give sit samtykke. Her har Danmark valgt 13 år, der er minimumsgrænsen fastsat af EU. Problemet er, at også børn under 13 anvender Facebook, Instagram og Snapchat, men alle vender det blinde øje til. Hvordan alders­kriteriet vil blive håndhævet står stadig hen i det uvisse.

Med GDPR’s indtog bliver reglerne for overførsel af data til en part uden for EU underlagt strengere krav. De europæiske datatilsyn har i 2016 opstillet fire essentielle europæiske garantier, der altid skal efterleves, uanset hvor i verden man vil sende data hen.

1) Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler.

2) Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal være nødvendig og proportional – der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv.

3) Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet. Det er et krav, hvor det hidtil har haltet alvorligt. Blandt mange sager om svigtende tilsyn med databehandlere afslørede Version2 i starten af året, at Statens Serum Institut ikke havde ført et eneste tilsyn med deres databehandlere. Dommen fra en jurist var klar: Det ville have givet bøde efter 25. maj.

Læs også: Ulovlig datahåndtering hos Statens Serum Institut: Holder ikke øje med databehandlere

Læs også: Jurist: Under GDPR ville Statens Serum Institut være blevet ramt af bøde-hammeren

4) Der skal være tilgængelige og effektive retsmidler for de registrerede i tredjelandet.

Læs også: Statens Serum Institut sender patientdata til USA uden at fortælle borgerne om det

Dertil kommer, at virksomheder generelt skal have fat i et frivilligt, specifikt, informeret og utvetydig samtykke fra brugeren – inden data ryger ud af EU.

Hvem gælder det for?

Alle virksomheder, der har aktiviteter inden for EU, skal leve op til reglerne – uanset om der er tale om en lille filial eller et datterselskab.

Det gælder således store multinationale virksomheder såvel som frisøren på hjørnet, der skal overveje, om medarbejder- og kundedata opbevares korrekt.

Hvis man gerne vil undgå postyret, kan man sørge for, at man kun behandler anonyme oplysninger, der ikke betragtes som person­henførbare – og derfor pr. defini­tion ikke falder inden for forord­ningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere