Nu begynder EU's datarevolution: Her er de vigtigste nedslag
GDPR: En ny persondataforordning træder fredag i kraft på tværs af Europa. Den styrker borgernes digitale rettigheder, men gør samtidig livet besværligt for virksomheder og myndigheder. Altinget skaber overblik over de vigtigste ændringer.
Klaus Ulrik Mortensen
JournalistTanken er, at hverken virksomheder eller myndigheder ønsker at blive hængt ud for ikke at respektere borgernes privatliv, hvorfor en offentliggørelse af persondatakrænkelser kan skabe incitament til at overholde reglerne. Det må dog nok konstateres, at den afskrækkende effekt af denne "gabestok" har været begrænset og primært har været et forsøg på at skabe et vist incitament i mangel af mere effektive instrumenter.
Henrik Udsen
Professor, Københavns Universitet
Borgere og kunder får nu:
- Ret til at modtage oplysning om behandling af egne personlige data (oplysningspligten)
- Ret til indsigt i egne personoplysninger
- Ret til at få urigtige personoplysninger berigtiget
- Ret til at få egne personoplysninger slettet (retten til at blive glemt)
- Ret til indsigelse imod, at egne personoplysninger anvendes til markedsføring
- Ret til indsigelse mod automatiske individuelle afgørelser, herunder profilering
- Ret til at beskytte egne personoplysninger (dataportabilitet) fra ét socialt medie til et andet.
Et blik ud af kontorets solbeskinnede vindue antyder ikke, at der skulle være noget særligt ved fredag 25. maj 2018.
Flytter man derimod fokus til computerens voksende hob af mails fra perifert besøgte hjemmeside, der alle beder én bekræfte, at man fortsat ønsker at modtage nyhedsbreve fra dem, forstår man, at noget er under opsejling.
Og dette noget er EU's persondataforordning. Eller GDPR, som den engelske forkortelse lyder. Et digert stykke lovgivning bestående af 99 artikler og 173 indledende betragtninger, der blev fremsat af EU-Kommissionen i 2012.
Her er en oversigt over ændringer og nyskabelser i GDPR:
Ændringer
- Kategorier af persondata: Forordningen præciserer, at lokaliseringsdata (metadata), genetiske data, biometriske data og IP-adresser er personoplysninger.
- Udvidet territorialt anvendelsesområde: Forordningen gælder for alle virksomheder, der "effektivt og faktisk" udøver aktiviteter i EU. Uanset om det for eksempel er en filial eller et datterselskab.
- De registreredes rettigheder: Forordningen styrker blandt andet indsigtsretten og indfører nye regler om dataportabilitet og en udvidet ret til sletning ("retten til at blive glemt").
- Skærpede regler om samtykke: Forordningen skærper kravene til samtykke. Det er nu, virksomheden eller myndigheden (den dataansvarlige), der har bevisbyrden for, at samtykke er indhentet.
Store ændringer
- Dokumentationskrav: Forordningen indebærer, at den dataansvarlige skal udvise ansvarlighed samt gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og være i stand til at påvise, at behandling er i overensstemmelse med forordningen. Forordningen pålægger derudover virksomheder med over 250 ansatte og myndigheder at føre fortegnelser over behandlingsaktiviteter under deres ansvar.
Nyskabelser
- "Privacy by design" og "privacy by default": Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun nødvendige personoplysninger behandles, og at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformålet (mængde, omfang og periode).
- Krav til databehandlere: Databehandlere pålægges et egentligt selvstændigt ansvar. Databehandlere er de virksomheder eller myndigheder, der behandler personoplysninger på en andens vegne.
- Notifikationspligt ved sikkerhedsbrud: I tilfælde af brud på persondatasikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring eller ubeføjet adgang til personoplysninger, skal tilsynsmyndigheden informeres inden for 72 timer.
- Konsekvensanalyse: Efter forordningen skal der foretages en konsekvensanalyse, hvis behandlingen, navnlig ved brug af ny teknologi og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for personers rettigheder og frihedsrettigheder. I mange tilfælde vil konsekvensanalysen være en forudsætning for at vurdere det aktuelle risikoniveau.
- Databeskyttelsesrådgiver (DPO): Forordningen pålægger offentlige myndigheder og virksomheder, der behandler persondata som deres kerneaktivitet, at udpege en databeskyttelsesrådgiver (DPO). DPO'en skal involveres i alle spørgsmål om beskyttelse af personoplysninger.
- Overførsel til tredjelande: På baggrund af godkendte adfærdskodekser og certificeringer giver forordningen nye muligheder for overførsel af personoplysninger til tredjelande.
- Bøder: Overtrædelser af forordningen kan sanktioneres med bøder på et væsentligt højere niveau end hidtil. Bødeniveauet er fastsat op til 10 millioner euro eller op til 2 procent af virksomhedens globale årlige omsætning, afhængigt af overtrædelsens art. Når det drejer sig om overholdelse af behandlingsprincipperne og datasubjektets datarettigheder, kan der pålægges op til 20 millioner euro eller 4 procent af global årlig omsætning. I Danmark kan offentlige myndigheder kun pålægges bøder på op til 4 procent af deres driftsbevilling, dog med en øvre grænse på 16 millioner DKK.
Kilde: Folketinget