GDPR vil ændre hverdagen for dig og din it-leverandør

Dataetik: - GDPR er sat i verden for at harmonisere reglerne til beskyttelse af borgernes privatliv i relation til indsamling af data og informationer i hele Europa. Målet har været at beskytte EU-borgernes ret til privatliv og at ændre måden, hvorpå virksomheder og organisationer forholder sig til persondata, fortæller Jan Sandtrø, advokat og partner i DLA Piper.

EU-embedsmænd og -politikerne har arbejdet med EU's nye persondataforordning, GDPR (General Data Protection Regulation), siden 2012.

Den nye forordning erstatter tidligere lovgivning fra 1995, som også persondataloven fra 2000 er baseret på her i Danmark. Derfor kommer der også en ny lov om behandling af persondata, som vil træde i kraft allersenest den 25. maj 2018.

GDPR er blevet nødvendig – ikke mindst på grund af fremkomsten af globale it-giganter som Facebook og Google, der lever af at indsamle information. Hertil kommer stadigt nye teknologiske muligheder for at indsamle, sammenkøre og analysere data.

Tydelige aftaler
EU-Kommissionen fremhæver især tre punkter som de vigtigste ændringer i forhold til den tidligere lovgivning:

1. Den omfatter flere virksomheder – GDPR gælder for alle virksomheder, der behandler persondata knyttet til EU-borgere, uafhængigt af virksomhedens adresse, eller hvor disse data bliver behandlet.

2. Dyrere at bryde loven – den maksimale bøde er fastsat til 20 millioner euro eller 4 procent af virksomhedens globale omsætning.

3. Kræver tydelige aftaler – borgere, som der indsamles data fra, får enklere og tydeligere aftaler at forholde sig til. Virksomhederne må ikke længere bruge lange, uklare og komplekse vilkår som betingelse for brugen af fx en app eller en tjeneste. Samtykke skal kunne gives i en forståelig og lettilgængelig form, som skal indeholde grunden til, at de pågældende oplysninger indsamles.

Aftale om behandling af personoplysninger
- Set med teknologiske briller er den vigtigste ændring i GDPR, at kravene om beskyttelse af persondata skal være indbygget i it-løsninger ved såkaldt Privacy by Design, og der kommer strengere krav til aftaler om håndtering af data, fortsætter Sandtrø.

- En aftale om behandling af personoplysninger er en aftale mellem en behandlingsansvarlig og en databehandler. En behandlingsansvarlig er den, som bestemmer, at personoplysninger skal indsamles og behandles. Fx vil en virksomhed, der har ansatte, være behandlingsansvarlig for personoplysninger om de ansatte, eksempelvis oplysninger knyttet til lønudbetalinger. Hvis virksomheden bruger et andet firma til at håndtere lønudbetalingerne, som fx Bluegarden, Visma eller andre, vil dette firma i denne sammenhæng være databehandler, eftersom de behandler personoplysninger på vegne af den behandlingsansvarlige, svarer Sandtrø.

GDPR indebærer flere krav til aftaler om databehandling. Kravene følger specielt artikel 28 i GDPR, hvor der bl.a. står, at en aftale om behandling af personoplysninger skal indeholde:

• Formålet med behandlingen
• Varigheden af behandlingen
• Hvilken type personoplysninger og hvilke kategorier af registrerede data der skal behandles
• Den behandlingsansvarliges rettigheder og pligter.

Kontrol over egne data
GDPR styrker også brugernes rettigheder i relation til data, som virksomheder har indsamlet om dem. EU-Kommissionen fremhæver især følgende fem punkter som særligt vigtige:

1. Varsel ved dataindbrud – Sker der dataindbrud, skal kunder og tilsynsmyndigheder varsles senest 72 timer efter, at virksomheden opdagede indbruddet.

2. Adgang til data – Borgerne har krav på at få at vide, præcis hvilke data der er blevet indsamlet, og hvordan de anvendes, og på at få en gratis, elektronisk kopi af egne persondata.

3. Ret til at blive glemt – Man har ret til at få alle personoplysninger om sig selv slettet, og at anvendelsen af de pågældende data bringes til ophør.

4. Flytning af data – Man har ret til at få udleveret sine data i et almindeligt format, som kan læses af andre it-systemer, og udlevere disse til andre parter.

5. Privacy by Design – Beskyttelse af persondata og informationssikkerhed skal som standard være indbygget i it-systemer, der behandler personoplysninger.

Dyr brøler
Har man ikke en aftale om databehandling, overtræder man persondataforordningen, og resultatet kan blive (meget) dyre bøder. Det samme kan ske, hvis selve aftalen ikke lever op til lovkravene. For manglende aftaler om databehandling er gebyrsatsen maksimalt 10 millioner euro eller 2 procent af den globale omsætning, afhængigt af hvad der er dyrest. Hvis personoplysninger videregives til databehandlere i lande uden for EU, kan bøderne blive på op til 20 millioner euro eller 4 procent af den globale omsætning.

• Del