GDPR: Hvad betyder den nye datalov for dig?

Hvad er GDPR?

General Data Protection Regulation. Et emne, der er på manges læber i 2018 – og med god grund. GDPR er nemlig en ny persondatalov, som træder i kraft under EU-lovgivning den 25. maj 2018. Indførelsen betyder, at den nuværende persondatalov (anno ’95) bliver til ’Den nye Persondataforordning’.

Og loven er længe ventet… Hvis stiftelsesåret ikke giver et klart indtryk af præcis, hvor forældet den gamle lov er, kan det bemærkes, at der er lavet over 4000 bekendtgørelser til loven, siden den blev stiftet.

Hvorfor og hvad betyder det?

Persondatalovgivning er måske det rene volapyk for dig, men ikke desto mindre er det afgørende viden for de mange virksomheder, der navigerer på det digitale marked i dag. Loven gælder alle, der håndterer nogen form for personlige data om en EU-borger. Det nye regulativ udspringer fra EU’s ønske om et Digital Single Market; en bestræbelse på, at medlemslandenes individuelle digitale markeder integreres i ét fælles digitalt marked.

EU ønsker at skabe et fælles regelsæt, der tvinger alle spillere til at spille efter de samme regler. Datamarkedet er nemlig komplekst, og det kan være svært at navigere i junglen af alle dem, der vil have adgang til dine data. Nu er der etableret et sikkerhedsnet, der straffer dem, som udnytter data uden tilladelse.

Det er i bund og grund en sikkerhed for individet i en digital verden. Regulativet skal være med til at beskytte borgere mod langvarig opbevaring og benyttelse af persondata – men samtidig også hjælpe virksomheder til at undgå datamisbrug ved at indføre nogle påkrævede procedurer.

Tænker du nu, hvad der mon tæller som persondata? Persondata kan egentlig siges at være ”alt om dig”. CPR-nummer, sygejournal, adresse, kreditoplysninger og meget mere.

Men det er lidt uhåndgribeligt… Hvordan vil det blive reguleret?

Det der med personlige data er et følsomt område, som er svært at kontrollere og straffe efter. Og det er derfor også svært at regulere. Kompleksiteten af regulativet fremstår måske i de – hold nu fast – SEKS ET HALVT år det har taget EU at nå frem til et fast regelsæt. EU-kommissionen fremlagde reguleringsforslaget allerede i januar 2012. Siden da er der blevet debatteret forslag, forhandlet omstændigheder og i maj 2016 indsat et direktiv til at stå for reguleringen af den nye GDPR.

Og der venter høje straffe for den, der overtræder væsentlige dele af regulativet: Ifølge artikel 83 ligger den øvre bødegrænse på 20 millioner euro – eller 4% af en virksomheds årlige globale omsætning. Bødernes størrelsesorden fastsættes ud fra graden af overtrædelse samt den overtrædende virksomheds størrelse.

EU ønsker nemlig at udsende et budskab om, at de nye regler skal tages alvorligt. Derfor har vi herunder sammensat en lille guide, der tager dig omkring hovedpunkterne i regulativet, og hvad du, som webshop, skal tage særligt hensyn til, når du behandler dine kunders, klienters eller medarbejderes persondata.

Det skal understreges, at der i guiden kun fokuseres på det mest hovedsagelige. Skal du bruge detaljerede bestemmelser, henviser vi derfor til det fulde regulativ.

Gør det klart om du er dataansvarlig eller databehandler

Der er forskel på, hvilke bestemmelser, der gælder for dig, alt efter hvilken kategori du tilhører. De ansvarsområder, der dikteres i GDPR, afhænger af graden af dit dataansvar.

Du er dataansvarlig hvis/når du:

• Er den, der beslutter, hvorvidt data håndteres og må benyttes – du ’ejer’ de pågældende data, eller din virksomhed hører under myndighed, journalføring mv.
• Du som arbejdsgiver benytter personlige oplysninger om dine ansatte og/eller kunder – i eksempelvis kontraktforhold, hvor du er opbevaringsansvarlig.

Du er databehandler, hvis/når du:

• Varetager/benytter data for andre – eksempelvis en anden virksomhed. – din virksomhed tager sig evt. af andre virksomheders IT-systemer og/eller økonomi mv.

En juridisk detalje

Artikel 44 & 45 fastsætter et påkrævet samarbejde mellem Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) og den nationale persondatamyndighed; Datatilsynet. Der oprettes et samarbejdsråd, som kontinuerligt debatterer den generelle Data Protection Strategy (DPS). Hvad end du er dataansvarlig eller databehandler, skal du fremover have en udarbejdet DPS. En DPS svarer i virkeligheden til en ’backup-plan’, hvori det beskrives, hvordan I vil agere under et persondatabrud og skal være en del af en dokumenteret DLP; Data Loss Prevention eller ’forebyggelse af datatab’.

TIP #1: Indfør som fingerregel at den medarbejder, der ikke benytter dataene i sit daglige arbejde, og/eller har brug for dem for at udføre sine opgaver, ikke skal have adgang til dem. Det beskytter både dig og dine medarbejdere i tilfælde af et databrud.

Gør det klart om du er dataansvarlig eller databehandler

Placér dine data korrekt

Det er vigtigt, at du til hver en tid ved, hvor din virksomhed opbevarer sine data. Er I en international virksomhed, udenfor EU, opbevarer du teknisk set også dine data udenfor EU’s grænser. Du gør dig selv en stor tjeneste, hvis du tager alle forholdsregler for, HVIS der skulle ske et databrud. Sørg derfor for:

• At du, dine samarbejdspartnere og dine kundevirksomheder har underskrevet de rette papirer inden, der indhentes, anvendes og/eller behandles nogen form for persondata. Direktivet fastsætter, at der skal forelægge tilstrækkelig databeskyttelse før dataene kan flyttes udenfor EU.
• At udføre dataportabilitet: altså opbevare data samlet, i et maskinlæsbart format, således dataene, til hver en tid, kan flyttes til en anden dataansvarlig eller -behandler.
• At gøre dataene utilgængelige for dem, der ikke behøver adgang (se TIP #1).

OBS! Det tæller også som databrud, hvis en medarbejder tilgår andre medarbejderes personlige data uden tilladelse og/eller samtykke.

En juridisk detalje

Artikel 30 fastsætter pligten til at forebygge nogen form for uautoriseret adgang til persondata. Herunder gælder både at læse, kopiere, ændre i eller slette personlige datafiler. Den første; at læse, kan være svær at forebygge – og bevise. Vær derfor altid forsigtig og omhyggelig, når der tilgås datafiler.

Overhold din underretningspligt

Uanset hvor sikre vi er, sker der fejl og brud på sikkerheden – vi er kun mennesker. Oplever din virksomhed et databrud, har du, ifølge artikel 31, pligt til at underrette den nationale persondatamyndighed (Datatilsynet). Sådan gør du:

• Beskriv databruddet; hvilke data er omfattet, og hvem berører det
• Medsend konsekvensvurdering (beskrives længere nede)
• Gør det indenfor 72 timer

En juridisk detalje

Artikel 32 fastsætter ligeledes pligten til at underrette databruddet til ’den eller de, hvorom datafilerne informerer’. Du skal altså også sørge for, at de berørte personer underrettes.

Vær særligt opmærksom på samtykke

Skyldes en overtrædelse mangel på overholdelse af GDPRs principper for behandling af data, eller mangel på samtykke, vil straffen findes i den store bødekasse. Derfor skal du:

• Oprette en (simpel) formular (for samtykke fra dine kunder og medarbejdere)
• Etablere automatisk oprydning og sletning af opbevarede data
• Spørge igen – vil du anvende data i nye sammenhænge, så sikre dit samtykke

Det skaber kun tillid og troværdighed til dig som virksomhed, hvis du altid sikrer dit samtykke før behandling af yderligere data. Du har som databehandler eller -ansvarlig altid pligt til at oplyse dine kunder og medarbejdere om, hvordan og til hvad deres persondata anvendes.

TIP #2: Registrerede personer kan, med den nye forordning, til hver en tid håndhæve retten til at blive glemt. Sørg derfor for at etablere en skridsikker proces for, hvad der skal ske, når I modtager en anmodning herom. Ignorerede anmodninger kan have store bøder til konsekvens.

OBS! Er du dataansvarlig, er det fremover også dit ansvar at videregive anmodningen til eventuelle databehandlende parter (eksempelvis integrationsprogrammer til en webshop, du varetager for en kunde).

Husk impact assessment – en såkaldt konsekvensvurdering

Hav papirerne i orden, hvis Datatilsynet kigger forbi. I det nye regulativ fastsættes pligten til at gennemføre en risikovurdering for din konkrete grad af databehandling. Du skal derfor:

• Sørge for, at der udarbejdes en impact assessment hver gang, der indføres nye processer, teknologier eller produkter, som kommer til at involvere brug af persondata
• I dokumentet beskrive de planlagte behandlingsmetoder, vurdere størrelsen på de pågældende risici og forklare, hvad der vil blive gjort for at imødekomme og nedsætte dem.

TIP #3: Håndterer din virksomheds tunge mængder data, kan det være påkrævet at udpege eller ansætte en såkaldt DPO; Data Protection Officer. En DPO kontrollerer dataomstændighederne og sørger for risikovurdering og underretning ved databrud. Din DPO kan også udarbejde den påkrævede databeskyttelsesstrategi (DPS). Ved tvivl om hvorvidt din virksomhed hører under kravet, henviser vi til IT-branchens guide for, hvornår du skal have en DPO.

Hvilken betydning vil persondataforordningen få for kunder hos Conversio?

Den nye forordning kommer uundgåeligt til at have stor indflydelse på hele den digitale branche. For os, hos Conversio, vil det få den betydning, at vi nu, også skriftligt, forpligter os til at behandle både medarbejderes og kunders data korrekt og med de rette sikkerhedsforanstaltninger. I løbet af foråret vil vi udarbejde databehandleraftaler, og dermed fodfæste vores forpligtelser, når vi varetager data for de dataansvarlige.

Aftalen er påkrævet og sikrer, at der, hverken intentionelt eller hændeligt, deles eller ændres i de persondata, som de databehandlende varetager for dataansvarlige. Med aftalerne lover vi også, at de persondata, vi behandler, ikke misbruges eller læses af uvedkommende.

Det skal noteres, at dataaftaler, som standard, kan indgå som en garanti ved mindre komplicerede datasamarbejder. Datatilsynet påpeger, at aftalen især er ideel, når der er tale om behandling af hjemmesider.

OBS! Håndterer du data i større, eller mere kompliceret omfang, vil en standardiseret databehandleraftale ikke nødvendigvis være dækkende for din virksomhed. Sørg i det tilfælde for at konferere med en jurist eller dataekspert for udarbejdelse af en dækkende databeskyttelseskontrakt.

Vi håber, vores lille guide har givet dig et overblik over GDPR 2018 og de spilleregler, der vil være gældende på især det digitale marked, når foråret er omme.

Skulle du have brug for yderligere forklaring af, hvad den nye persondataforordning kommer til at betyde for dig som kunde i Conversio, er du altid velkommen til at kontakte os på +45 70 666 500 eller [email protected].

Forbehold

Der tages forbehold for, at Conversio ikke er en juridisk instans, og at indlæggets indhold ikke er udarbejdet af en jurist eller anden juridisk person. Der kan forekomme modificeringer, ophævelse eller på anden vis udvikling, som kan ændre på indholdets betydning og/eller anvendelighed. Conversio kan derfor ikke drages til ansvar for resultater eller konsekvenser, der ville kunne forekomme til følge af informationer forbundet med det ovenstående indlæg.

---

Al information er indhentet fra Datatilsynet, IT-Branchen og Det Officielle EUR-Lex for lovgivning i EU.