Klar. Parat. Persondataforordning.

Et kig på forordningen i lægmandstermer.

Virksomheder, store som små, offentlige som private, har pligt til at leve op til de nye regler om persondatabeskyttelse, der trådte i kraft den 25. maj 2018. Overordnet set introducerer forordningen et nyt princip i databeskyttelsesretten – Dataansvarlighed. Det betyder  at virksomheder har pligt til ikke bare at påvise, men også at udvise dataansvarlighed i praksis. Afhængigt af virksomhedens størrelse og kompleksitet kan dette være en ganske overvældende opgave.

Persondataforordningen (GDPR) er designet med henblik på at give personer bedre kontrol med deres personlige data og for at etablere et ensartet sæt databeskyttelsesregler i Europa. Desuden er virksomheder udenfor EU også underlagt forordningens regler, når de indsamler data om EU-borgere.

 

Personoplysninger bliver personlige

Virksomheder skal vænne sig til en ny virkelighed, hvor data indsamlet på enkeltpersoner kun er til låns. Og det i en fart. Så længe disse data er i vores varetægt, skal de håndteres med omhu og integritet, og så snart vi ikke har brug for dem mere, skal de slettes eller anonymises.

Persondataforordningen definerer personoplysninger som; alle informationer der vedrører en identificeret eller identificerbar person. Dette inkluderer online identiteter, så som IP adresser og cookies forudsat, at de kan henføres til individet (data subjektet). De inkluderer også indirekte informationer som; fysiske, mentale, genetiske, økonomiske, kulturelle og sociale identiteter, der kan henføres til individet. Og der skelnes, i forordningen, ikke mellem persondata som del af personens private, offentlige eller erhvervsrelaterede liv.

 

Minimer risikoen for ridser i omdømmet og heftige bøder

Persondataforordningen introducerer store bøder for manglende overholdelse, obligatorisk databrud underretning og udvidet ansvar for dataansvarlige. Kort sagt betyder det, at enhver virksomhed, der indsamler, håndterer og opbevarer personoplysninger, skal sikre, at der er tilstrækkelige sikkerhedsforanstaltninger, politikker og kontrolfunktioner tilstede for at opfylde kravene.

Foruden den åbenlyse omdømme belastning, vil der være betydelige bøder til virksomheder, der ikke overholder reglerne (1). Potentielle bøder på op til EUR 10 mio. eller 2 procent af den globale omsætning for overtrædelser af henholdsvis: registrerings-regler, mangelfuld sikkerhed, manglende underretning ved brud på persondatasikkerheden, eller manglende konsekvensanalyse (2).

Bødestraffen kan yderligere være op til EUR 20 mio. eller 4 procent af den globale omsætning for overtrædelser relateret til henholdsvis: det retlige grundlag for behandlingen af personoplysninger, manglende samtykke, krænkelse af registreredes rettigheder, eller i tilfælde af grænseoverskridende overførsel af data (1).

Nogle af de vigtigste bestemmelser omfatter:

 

Øget dokumentationskrav

Virksomheder har pligt til at undersøge og dokumentere hvilke personoplysninger de behandler, hvor oplysningerne kommer fra, hvem de eventuelt bliver delt med, og med hvilket retsgrundlag oplysningerne opbevares og behandles.

 

Ansvarligheds princippet

Det nye ansvarligheds princip (artikel 5) kræver, at organisationer gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til omfanget, sammenhængen og formålet med behandling af personoplysninger. Sådanne foranstaltninger skal være proportionelle med den risiko, der er forbundet med de data, der opbevares, og kan omfatte:

  • Dataminimering
  • Kryptering eller pseudonymisering af personoplysninger
  • Løbende integritet, fortrolighed og tilgængelighed af systemer
  • Rettidig genoprettelse af tilgængelighed og adgang efter en hændelse
  • Indførelse af regelmæssig system-evaluering

 

Registreredes samtykke

Et centralt element i persondataforordningen er indhentning af samtykke. Det er udtrykt som; “Enhver frit givet, specifik, informeret og entydig angivelse af hans eller hendes ønsker, hvormed den registrerede, enten ved erklæring eller ved en klar bekræftende handling, tillader, at dennes personoplysninger behandles.

Organisationer skal kunne dokumentere, hvordan og hvornår samtykke blev givet. Samtykke behøver ikke, at være givet udtrykkeligt. Det kan være underforstået i kraft af individets forhold til virksomheden. Det skal imidlertid kunne påvises, at de indhentede oplysninger tjener til specifikke, udtrykkelige og legitime formål.

Den registrerede skal, til enhver tid, kunne trække sit samtykke tilbage. Denne har ret til at blive glemt, hvis data ikke længere er nødvendige for det legitime formål, som de oprindeligt blev indsamlet til, og som følge heraf skal data slettes.

 

Den registreredes indsigtsret

En del af den registreredes udvidede rettigheder, skitseret i forordningen, omhandler individets ret til at få bekræftet om personoplysninger om denne behandles, hvor de behandles og med hvilket formål. Desuden skal den dataansvarlige på anmodning fra registrerede udlevere kopi af personoplysningerne. Udleveringen skal ske gratis, og i et almindeligt anvendt format. Denne ændring er et væsentligt skift i retningen af data gennemsigtighed og en styrkelse af den registreredes bemyndigelse.

 

Retten til information (oplysningspligt)

Retten til information (oplysningspligt) Når en organisation indhenter oplysninger på en person, skal oplysninger om den dataansvarlige stilles til rådighed for den registrerede, herunder:

  • Identitet og kontaktoplysninger på organisationen, der indsamler dataene
  • Formålet med at indsamle data og hvordan de bliver brugt
  • Hvor længe data vil blive opbevaret
  • Den registreredes ret til at få adgang til, rette eller slette data
  • Om data overføres internationalt
  • Den registreredes ret til at trække sit samtykke tilbage
  • Den registreredes ret til at indgive en klage

Forordningen kræver, at enkeltpersoner skal have fuld adgang til oplysninger om, hvordan deres data behandles. Denne information skal stilles til rådighed på en klar og forståelig måde. Den giver tillige enkeltpersoner ret til at fremsætte anmodninger, og organisationer skal opfylde sådanne anmodninger uden unødig forsinkelse og senest inden for en måned efter modtagelsen af en sådan anmodning. I tilfælde af ubegrundede eller overdreven frekvens, kan små og mellemstore virksomheder opkræve et gebyr for at give adgang.

 

Retten til berigtigelse

Under forordningen har enkeltpersoner ret til at få personoplysninger rettet, hvis de er ukorrekte eller ufuldstændige. Hvis disse oplysninger er blevet videregivet til tredjemand, skal dataansvarlige desuden informere registrerede om de tredjeparter, som data er blevet videregivet til, hvor det er relevant.

 

Retten til sletning

Retten til sletning (også kendt som ”retten til at blive glemt”) giver en registreret ret til at få sine personoplysninger, hos en dataansvarlig, slettet når visse forhold gør sig gældende: Hvis data ikke længere er nødvendige for at opfylde det oprindelige formål, hvis den registrerede trækker sit samtykke tilbage, hvis oplysningerne er blevet behandlet ulovligt, eller hvis sletning er påkrævet for at overholde en retlig forpligtelse. Retten til sletning omfatter desuden de parter, som den dataansvarlige måtte have videregivet personoplysningerne til. Det påhviler imidlertid den dataansvarlige, at sammenholde den registreredes rettighed med eventuelle rettigheder i offentlighedens interesse.

 

Automatisk profilering (”Automatiske individuelle afgørelser”)

Forordningen indfører foranstaltninger for at beskytte enkeltpersoner mod potentielt skadelige beslutninger, der ikke involvere menneskelig inddragelse. Som sådan har enkeltpersoner ret til ikke at blive underlagt beslutninger, der udelukkende er baseret på automatiseret behandling og bevirker en juridisk eller anden væsentlig konsekvens for denne. Derfor skal organisationer sikre, at registrerede kan; opnå menneskelig indgriben, udtrykke deres synspunkt, få en forklaring på beslutningen, og mulighed for at gøre indsigelse.

 

Obligatorisk anmeldelse af data brud

I tilfælde af brud på persondatasikkerheden, der sandsynligvis vil medføre en risiko for enkeltpersoners rettigheder og frihedsrettigheder – kræver de nye bestemmelser, at virksomhederne underretter de relevante myndigheder og de berørte brugere senest 72 timer efter opdagelsen af et brud.

 

Konsekvensanalyse (Privacy Impact Assessment)

Under forordningen skal organisationer foretage en konsekvensvurdering af de påtænkte databehandlinger, når behandlingen sandsynligvis vil føre til høje privatlivsrisici. Hvis konsekvensanalysen for personoplysninger forudser en høj iboende risiko, skal tilsynsmyndigheden for databeskyttelse konsulteres inden behandlingen påbegyndes.

 

Retten til dataportabilitet

Persondataforordningen introducerer retten til dataportabilitet, som betyder, at en registreret har ret til at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og videregive disse oplysninger til en anden dataansvarlig. Den dataansvarlige har pligt til at udlevere oplysningerne uden hindring, i et almindeligt anvendt og maskinlæsbart format.

 

Retten til indsigelse

Under forordningen har en registreret, til enhver tid, ret til at gøre indsigelse mod behandling af sine personoplysninger overfor en dataansvarlig. I praksis betyder det, at den dataansvarlige ikke længere må behandle personoplysningerne, medmindre denne kan påvise legitime formål til behandlingen, der retligt opvejer den registreredes interesser og rettigheder. Hvis personoplysninger behandles med henblik på direkte markedsføring kan registreredes indsigelsesret ikke bestrides. Det påhviler den dataansvarlige, allerede ved første kommunikation, at gøre personer opmærksomme på denne ret. Retten skal beskrives klart og tydeligt og adskilt fra al anden information.

 

Indbygget beskyttelsen og default beskyttelse (Design & Default)

Dette er ikke et nyt koncept. Organisationer er allerede forpligtet til at have passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger. Men under persondataforordningen skal organisationer kunne dokumentere, at disse foranstaltninger løbende gennemgås og opdateres. Desuden skal de kunne påvise, at relevante foranstaltninger indgår i udformningen af deres behandlingsprocedurer, at personoplysninger som standard kun behandles, når det er nødvendigt for at udføre en given opgave (data minimering), samt at adgangen til personoplysninger er begrænset til de personer, der udfører behandlingen.

 

Obligatorisk data beskyttelses ansvarlig

Under forordningen bliver udnævnelsen af en data beskyttelses ansvarlig (DPO) obligatorisk for dataansvarlige og databehandlere, hvis kerneaktiviteter består i at behandle persondata, der kræver regelmæssig og systematisk overvågning af registrerede i stor skala eller særlige kategorier af data (dvs. kliniske data, strafferegistre osv.). En DPO skal have ekspertviden om databeskyttelseslovgivning og praksis, samt være tilstrækkelig uafhængig af organisationen.

 

  • En DPO kan være en medarbejder eller en ekstern tjenesteyder
  • Kontaktoplysninger skal gives til de relevante myndigheder
  • Skal have tilstrækkelige ressourcer til at udføre deres opgaver og opretholde deres ekspertviden
  • Skal rapportere direkte til det øverste ledelsesniveau
  • Må ikke være involveret i opgaver, der kan resultere i interessekonflikt
Pseudonomisering
* Pseudonomisering tager de mest identificerende felter I en database og erstatter dem med artificielle ID’er eller pseudonymer. For eksempel et navn erstattes med en unik talkode. Formålet er, at gøre data mindre identificerbar og dermed mindske risikoen i forhold til datadeling og opbevaring. Pseudonymiserede data bruges typisk til analyseformål og databehandling.
Referencer
(1) A Summary of the EU General Data Protection Regulation: Peter Galdies DataIQ. 14th January 2016. www.dataiq.co.uk/blog/summary-eu-general-data-protection-regulation

(2)  Overview of the General Data Protection Regulation (GDPR): Information Commissioner’s Office
ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/

(3)  EU Official Journal issue L 119
eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN