Pas på nye privacy-regler: Datatilsynet får kæmpe bødehammer

26. januar 2012 kl. 13:365
Virksomheder og myndigheder i EU overtager et større ansvar for persondatasikkerhed, men Datatilsynet får drastisk øgede sanktionsmuligheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Om få år slipper erhvervslivet og myndigheder for Datatilsynet som barnepigen, der skal spørges om lov til alt og med fri ret til inspektion af 'børneværelset'. Lettelsen fremgår af det forslag til en reform af EU's persondatalovgivning, som EU-kommissionen fremlagde i går. Der er tale om en forordning, og en sådan skal i modsætning til et direktiv ikke til behandling i Folketinget.

Det mindskede bureaukrati har dog en pris. Hammeren falder, så det kan mærkes på pengepungen, hvis ansvaret for sikker persondatabehandling svigtes. Herhjemme har Datatilsynet hidtil kun kunnet uddele næser, men ifølge EU-forslaget vil tilsynet kunne idømme bøder på op til en million euro (7,4 mio. kroner) eller op til to procent af en koncerns globale årlige omsætning.

Væk med anmeldelser

Skiftet fra at de registerførende skal bede om lov til næsten alt, indebærer et farvel til det forsinkende anmeldelses- og godkendelsesbureaukrati, der har hersket herhjemme siden Datatilsynets forgænger, Registertilsynet, blev oprettet i 1979.

»Datatilsynets sanktionsmuligheder bliver mere lig konkurrencemyndighederne, der har gjort indtryk takket være de store bøder,« lyder kommentaren fra advokatfuldmægtig Pernille Kirk Østergaard fra advokatfirmaet BvHD til Version2. Hun er specialiseret inden for persondata- og it-ret.

Informationspligt ved datatab

Yderligere et krav har store konsekvenser. EU’s virksomheder og institutioner får pligt til at orientere berørte borgere, hvis der sker datatab, og hvis muligt inden for 24 timer. Informationspligten gælder, hvad enten der er tale om hackerangreb, tab af forsendelse af personregister eller noget helt tredje.

Artiklen fortsætter efter annoncen

Orienteringspligten har længe været gældende i flere amerikanske stater, og det har kostet virksomheder dyrt både på imagekonto og bankkonto. De nuværende EU-regler stammer imidlertid fra en tid med et helt andet risikobillede, da de er 17 år gamle.

Besparelser

EU lægger vægt på at fortælle, at indførelsen af nye fælles europæiske regler for persondatahåndtering giver besparelser for erhvervslivet. Ifølge EU vil alene bortfaldet af registreringspligt give administrative besparelser på 2,3 milliarder euro årligt (godt 17 mia. kroner).

»Dog skal man stadig anmelde, hvis data skal behandles uden for EU, såsom for eksempel i Indien eller Pakistan, og man skal i kontrakter gøre det krystalklart, at det er EU-love og hjemlandets datatilsynsmyndigheder, der alene råder,« siger Pernille Kirk Østergaard.

Dataansvarlig chef

Virksomheder og organisationer med over 250 ansatte skal også oprette en ekstra chefpost, hvis denne ikke forefindes.

»Der skal forefindes en såkaldt data protection officer, der bliver ansigtet mod offentligheden, og som får det overordnede ansvar,« fortæller Pernille Kirk Østergaard.

Advokatfuldmægtigen fornemmer, at grænsen på de 250 er sat for i særlig grad at få de store internationale koncerner til at få bedre styr på persondatasikkerheden, men – som hun siger – en mindre e-virksomhed kan meget vel stå for lige så megen persondatabehandling eller mere som den store.

Flere rettigheder til borgere

Den nye EU-forordning giver borgere flere rettigheder, og det kommer erhvervslivet til at mærke, også som en konkurrenceudfordring. Borgeren har for eksempel ret til hurtigt at få egne data med sig videre.

»En kunde, der vil skifte til en anden teleudbyder, kan således med EU-ordningen i hånden kræve at få sine data overført langt hurtigere end i dag, hvor det typisk går langsomt,« siger Pernille Kirk Østergaard.

Sletning og det med småt

Borgeren kan også kræve egne data slettet, hvis intet juridisk taler imod, hvilket ifølge advokatfuldmægtigen p.t. især synes rettet mod Facebook.

»Alt i alt vil EU-borgere – i hvert fald på papiret - stå stærkere overfor for store udenlandske nettjenester, da datatilsynet i borgerens hjemland bliver myndigheden, som den udenlandske tjeneste er oppe imod,« siger Pernille Kirk Østergaard. »Men der er klassiske problemer ved grænseoverskridende forretning som næppe forsvinder,« fortsætter hun.

Hun påpeger, at virksomheder fremover også skal have borgerens eksplicitte godkendelse af ”det, der er skrevet med småt”. EU understreger dermed igen, at ingen blot må gå ud fra et stiltiende samtykke.

Større hensyn til børn

Ifølge advokaten rummer forordningen en lidt overset del, nemlig et større hensyn til børnene, der færdes på nettet.

»Man har fokuseret meget på de ting, der er vigtige for voksne borgere, men det er på høje tid, at børnenes data beskyttes bedre mod udnyttelse,« siger Pernille Kirk Østergaard.

Hun pointerer, at netop børn kaster sig ind i nettets verden – fra chat til konkurrencer - ofte uden at tænke over konsekvenserne over at aflevere persondata til højre og venstre, og disse data kan misbruges blandt andet til markedsføring direkte rettet mod barnet.

Politi og persondata

Selv om den nye persondataforordning giver borgerne flere rettigheder, indebærer den paradoksalt nok ingen lempelse, hvad angår den øgede registrering af borgernes færden på nettet, som terrorlovgivningen medførte.

EU-kommissionen har holdt terror og anden kriminalitet ude. Politiets beføjelser fremlægges i et separat direktiv, hvis skærpelser skal godkendes lokalt. Danmark har i forvejen et forbehold over for det gamle direktiv om politisamarbejde på tværs af grænser.

Tidsfristen

Ifølge reformforslaget skal det træde i kraft om to år, men det kan blive forsinket som følge af den kommende hørings- og forhandlingsfase i EU-landene.

Det interessante ved valget af en forordning frem for et direktiv er imidlertid, at ingen EU-lande længere kan kaldes dukse frem for andre, eftersom en forordning er direkte gældende for medlemslandene.
Advokatfuldmægtigen giver dog udtryk for, at utvivlsomt vil være store udfordringer i de enkelte EU-lande, blandt andet fordi der vil være national lovgivning, som skal konsekvensrettes, ligesom også de forskellige kulturer i EU-landene spiller ind. Samme holdning udtrykte Datatilsynet onsdag i en pressemeddelelse.

»EU skal også selv finde egne ben, og det er en meget stor og kompleks pakke,« siger Pernille Østergaard.

Fakta:

  • EU-kommissionen fremlagde i går (onsdag) en omfattende reform af EU’s databeskyttelsesregler fra 1995.
  • EU begrunder behovet for en ny lovgivning med, at den teknologiske udvikling har gjort de gamle regler forældede, men også med det uhensigtsmæssige i, at 1985-reglerne er implementeret forskelligt i de 27 medlemsstater.
  • Ifølge EU vil den nye persondataforordning lette erhvervslivets administrative belastning, samt styrke borgernes tillid til online services. EU tilkendegiver, at disse to ting skaber vækst, job og innovation i Europa.
  • Persondataforordningen går uden om politiets jurisdiktion. Den rummes i et direktiv, der er fremlagt samtidig.
5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
28. januar 2012 kl. 12:27

Selv om jeg er repræsentant for "erhvervslivet", så mener jeg personligt, at de borgerrettigheder man får i forhold til dataregistrering er et kæmpe fremskridt.

At det er netop borgeren, der får rettighederne frem for en formynderisk institution, som skal forvalte borgerens interesser, er det eneste fornuftige i en tid, hvor tingene bevæger sig så hurtigt, som de gør i dag. Og at man som virksomhed får stillet større krav og skal tage ansvar for borgernes data på en helt anden måde, ser jeg kun som en fordel for de virksomheder, som allerede i dag behandler borgernes data ansvarligt - og selvfølgelig en ulempe for de andre.

Hatten af for EU - der her virkelig har taget fat i et område, hvor teknologien har gjort et Big Brother-samfund muligt og hvor den eneste vej til at undgå det, er styrkede digitale borgerrettigheder. Man kan håbe, at det direktiv, der vil berører politi og overvågning bliver lige så klart og tydeligt i styrkelse af borgerens digitale rettigheder.

Niki Nicolas Grigoriou CEO / Software Archtect

3
27. januar 2012 kl. 08:24

Jeg syntes helt klart det her er skridt i den rigtige retning. Noget jeg glæder mig meget over er "Informationspligt ved datatab" Vi har retten til at blive informeret når netop det her går galt.

Bøder er jeg nok ikke så vild med. Jeg så hellere at den der tabte sine data blev stillet en kompensation, til dækning af hvad det ville koste den enkelt i tid og administration til eksempelvis at kunne få et nyt CPR nr eller nye kreditkort med tilhørende konti hvis det eks. var tilfældet at det var det der blev kompromitteret. Alene dækningen af administrations gebyret, tror jeg ville være bøde nok i sig selv. Hvis det eksempelvis koster 200kr pr konti der blev kompromitteret så ville et tab af 100.000 konti være et administrations gebyr 20.000.000

Der skal ikke skeles til om man er stor eller lille. Behandler man data er det uanset hvad det samme man mister og det koster i virkeligheden det samme.

Det lyder højt men det er muligheden for den enkelte borger at kunne blive "U-kompromitteret" igen. Jeg mener ikke at administrationen skal være gratis, og jeg mener heller ikke at den der bliver kompromitteret skal have pengene udbetalt på en check. Det skal køre helt automatisk og den der skal foretage administrationen skal have del i gebyret.

\Lenny

4
27. januar 2012 kl. 17:21

@Lenny:

Det er desværre sjældent ligetil at blive "U-kompromitteret".

Det kræver nærmest en kønsskifteoperation at få nyt CPR-nummer i Danmark. Og det er jo heller ikke sikkert, at man har lyste til at skifte navn og adresse.

Selvom det er teknisk muligt, hvordan prissætter man det så rimeligt? Hvis jeg skal skifte køn, få nyt navn, skifte telefonnummer, sælge mit firma, nedlægge mine hverv i foreninger og flytte til ny bolig, vil jeg mene, at erstatningen bør udgøre mere end de rent administrative udgifter.

En kraftig bøde, der kan mærkes på bundlinien, er nok en bedre løsning.

2
27. januar 2012 kl. 07:13

Der bliver mindre kontrol med om vores data opbevares forsvarligt, konsekvensen bliver til gengæld værre hvis det opdages. Jeg kan ikke rigtig blive enig med mig selv om det er en god ide eller ej, principielt jo, men afskrækker bødestørrelsen nok?

1
Indsendt af Thomas Hansen (ikke efterprøvet) den tor, 01/26/2012 - 14:39

Det ser ud til at man i EU har de rette intentioner, og vilje til at fører disse ud i livet.