Noget er nyt, meget er gammelt, men bøden for at træde ved siden af er høj. Derfor er det med at få styr på EU’s nye databeskyttelsesforordning. Til april kommer Justitsministeriet med deres fortolkning af forordningen, men bliv allerede her klogere på, hvad din virksomhed skal have styr på.
“Anvendelsen, mængden og muligheden for at udnytte data til at skabe vækst i virksomheder er stærkt stigenden. Det giver nogle nye udfordringer, og derfor er det vigtigt, at alle i erhvervslivet forstår databeskyttelsesforordningen.”
Sådan åbner vicedirektør i Erhvervsstyrelsen, Katrine Winding denne uges stormøde om databeskyttelsesforordningen. EU’s nye persondataforordning blev vedtaget sidste år, træder i kraft næste år, og møder om forordningen popper efterhånden jævnligt op. For et bødeniveau på op til fire procent af virksomhedens omsætning giver grund til handling.
“Bødeniveauet er den mest opsigtsvækkende del af forordningen. En meget stort del af reglerne i den nye forordning, står allerede i Persondataloven i dag. De nye persondataregler skal få virksomhederne til at stramme op og tage reglerne alvorligt,” har advokat og ekspert i persondataloven Karina Lind Bertelsen tidligere fortalt Trendsonline.
Læs også: Data-dovenskab er en trussel for virksomheders overlevelse
Stormøde giver fuld hus
Det er Erhvervsstyrelsen, der har inviteret Justitsministeriet til at forklare det nye i databeskyttelsesforordningen. Bænket til stormødet sidder jurister og rådgivere, der i de kommende år sandsynligvis vil blive ringet op af virksomheder, der har brug for at få fortolket loven ud fra deres situation.
Læs også: Nøglen til succes ligger i databeskyttelse
Salen er derfor fuld af flagrende hænder, der vil have svar på alle mulige slags detaljer. Men repræsentanterne fra Justitsministeriet kan ikke svare på alt. De er i fuld gang med med at analysere og fortolke forordningen, så der kan fremsættes lovforslag i Folketinget. Læs mere om Justitsministeriets arbejde med EU’s generelle databeskyttelsesforordning her.
Men nogle ting kan de svare på, og du kan her læse et udpluk af pointerne fra stormødet. Stormødet er tilrettelagt ud fra spørgsmål, der gentagende gange er kommet op under en række workshops i efteråret afholdt af Erhvervsstyrelsen.
Hvornår skal man udnævne en databeskyttelsesrådgiver?
Sjældent, som privat lille-mellemstor virksomhed er det overordnede svar. Alle offentlige virksomheder skal udpege en databeskyttelsesrådgiver, DPO, men følgende tre betingelser skal alle være opfyldt for at en privat virksomhed kan udpege en:
- Behandling af personoplysninger skal være virksomhedens kerneaktivitet. Eksempelvis er der tale om en kerneaktivitet, hvis virksomheden er vært for eller lagrer oplysninger. Det kan være cloud-udbydere eller udbydere af marketingsundersøgelser.
- Der skal behandles personoplysninger i et stort omgang. Her kigger man på antal personer, der behandles, mængden af data, varighed af behandling og den geografiske udstrækning af behandlingsaktiviteterne. Eksempelvis privathospitaler, forsikringsselskaber og fagforeninger.
- Behandlingerne skal bestå i regelmæssig og systematisk overvågning af personer, eller hvis behandlingen vedrører følsomme oplysninger, herunder oplysninger om strafbare forhold.
Hvis virksomheden ikke er omfattet af DPO-kravet, skal den kunne påvise dette. Men man kan også vælge at have en DPO eksempelvis for at brande sig på data-sikkerhed. Om virksomheden har en DPO eller ej, skal den hvert fald have styr på, hvordan den overholder databeskyttelsesforordningen.
Læs også: Elvium vil markedsføre sig via de nye persondataregler
Hvad er en databeskyttelsesrådgiver?
En der rådgiver om, hvordan virksomheden skal forholde sig til databeskyttelsesforordningen. Eksempelvis skal vedkommende uddanne ledelse og medarbejdere. Der stilles ingen krav til DPO’en uddannelesbaggrund, men vedkommende skal have juridiske kompetencer inden for databeskyttelse og en vis praktisk erfaring.
Vedkommende skal have en uafhængig position og må eksempelvis ikke være virksomhedens it-chef.
Hvad er databeskyttelse gennem design og standardindstillinger?
Det er ikke en forpligtelse til noget bestemt, men det består af en generel overvejelsesforpligtelse og en håndteringforpligtelse for den dataansvarlige virksomhed til at overveje, hvilke foranstaltninger der skal håndteres ved en behandling af personoplysninger for at efterleve databeskyttelsesretten.
Alle fremtidige systemer skal have en standardindstilling, der er indstillet, så den fremmer dataminimering og formålsspecifik behandling. Eksempelvis må fremtidige apps ikke indsamle mere data, end der er behov for. Hvis man kan ændre i it-systemer, skal man ændre systemets standardindstilling. Kan man ikke, er der ingen krav.
Hvad er der af krav om gennemførsel af konsekvensanalyse?
De fleste behandlinger af personoplysninger vil ikke være omfattet af kravet om en konsekvensanalyse. En virksomhed skal foretage en konsekvensanalyse ved:
- En systematisk og omfattende vurdering af personlige forhold der er baseret på automatisk behandling
- Behandling i et stort omfang af særlige kategorier af oplysninger
- Systematisk overvågning af et offentlig tilgængeligt område i et stort omfang
Analysen skal ikke laves af hver enkelt behandlingsaktivitet, men skal opdateres hvis risikoen ændrer sig.
Hvad skal dataansvarlige og databehandlere?
Den dataansvarliges ansvar er det samme, som man kender det i dag. Man skal have styr på sin behandling af personoplysninger. Databehandleren får derimod nye forpligtelser med forordningen. Databehandleren skal blandt andet stå for fortegnelser over behandlingsaktiviteter, underrette ved sikkerhedsbrister og kan ifalde erstatningsansvar over for de registrerede personer.
Hvad er en personoplysning?
Et meget centralt spørgsmål, hvis man skal kunne forstå databeskyttelsesforordningen, men faktisk gælder de samme regler som tidligere. Det er ganske enkelt en oplysning, der kan identificere en fysisk person. Seneste dom fra EU-domstolen siger, at dette også indbefatter dynamiske ip-adresser.
Hvad er betingelserne for et gyldigt samtykke?
Det er også det samme som i dag. Altså et samtykke er et frivilligt, specifik, informeret og utvetydigt “ja”. Det ja skal kunne trækkes tilbage, men det nye er, at samtykke-afgiveren skal vide, at samtykket kan trækkes tilbage, når den giver samtykket. Ellers er der ingen gyldighed i samtykket.
Læs også: Ny service skaber overblik over informationsstrømmen fra EU
Stadig forvirret? Forståeligt nok. Datatilsynet har lavet en liste med 12 spørgsmål, som din virksomhed kan forholde sig til allerede nu. Er du i tvivl, så kontakt en rådgiver.
12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til
- Har jeres organisation kendskab til den nye databeskyttelsesforordning?
- Hvilke personoplysninger behandler I?
- Hvilken information giver I de registrerede?
- Hvordan opfylder I de registreredes rettigheder?
- På hvilket retligt grundlag behandler I personoplysninger?
- Hvordan indhenter I samtykke?
- Behandler I personoplysninger om børn?
- Hvad skal I gøre ved brud på persondatasikkerheden?
- Er jeres behandlinger forbundet med særlige risici?
- Har I indtænkt databeskyttelse i jeres it-systemer?
- Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation?
- Driver I virksomhed i flere lande?
Læs mere om Datatilsynets 12 punkter her.