Gode tips til persondataforordningen

  • DEL DENNE SIDE

Medlem af ATV's Digitale Vismandsråd Janne Glæsel var blandt oplægsholderne på temamødet om de nye persondata-regler. Foto: Hans Christian Jacobsen

 

Det er sjældent, at en lov omtales som en ny grundlov, men det er tilfældet med persondataforordningen, der træder i kraft i maj 2018 – den nye digitale grundlov. Forordningen har til formål, at personoplysninger kan flyde frit over grænserne, men med en høj grad af databeskyttelse for den enkelte.

De nye regler skal dels sikre, at lovgivningen følger med den teknologiske udvikling i det digitale samfund, dels sikre samme databeskyttelse i alle EU’s medlemslande.

Hvordan virksomheder bliver klar til persondataforordningen var tema på ATV’s temamøde den 21. november 2017, som blev afholdt i samarbejde med Aarhus Universitet, InfinIT og Digital Society på AU. Ud fra oplæggene på mødet kan der formuleres en række gode tips til, hvordan man efterlever forordningens krav.

Ny undersøgelse: Mange virksomheder ikke klar
Persondata er data, hvor man teknisk kan føre data tilbage til en person. I forordningen anses persondatabeskyttelse for at være en grundlæggende rettighed. Og det er ikke uden omkostninger for virksomheder, hvis loven ikke efterleves.

En ny undersøgelse foretaget af Alexandra Instituttet viser en række it-virksomheders parathed i forhold til persondataforordningen. Undersøgelsen viser, at virksomhederne generelt er positive over for persondataforordningen. Virksomhederne er dog delte i forhold til, hvor langt de er med implementeringen.

Nogle vil være på forkant og arbejder systematisk med implementering. Andre tager det ikke så alvorligt og er mere afslappede i forhold til implementeringen. Den gruppe af virksomheder har ikke forventninger om at være færdige med arbejdet til maj 2018. Dette peger på en tendens, som man ofte hører virksomheder ytre. På mødet kom det eksempelvis frem, at persondataloven og -direktivet, som blev indført i 1995, aldrig rigtigt er blevet efterlevet.

Borgere har selv kontrollen med sine egne data
Det kom frem på mødet, at det som udgangspunkt i persondataforordningen er forbudt at bruge og behandle persondata uden godkendelse, og persondataforordningen indeholder nye, særlige rettigheder til personer, hvis data behandles – kaldet registrerede personer.

En registreret person har ret til at få indsigt i, hvordan ens data bruges, og at få udleveret sine data så de for eksempel kan gives videre til en anden udbyder. Virksomheder har derfor kun ret til at modtage persondata i et elektronisk format, hvis de har et skriftligt samtykke, eller der er lavet en kontrakt. Og det gælder kun data, som den registrerede selv har givet til en dataansvarlig. Desuden har personen ret til, at ens informationer bliver slettet, når samtykket er trukket tilbage, eller formålet ikke længere er til stede.

I Alexandra Instituttets undersøgelse blev ovenstående identificeret som store udfordringer for virksomheder. Det kræver et stort overblik, som mange virksomheder ikke har, og der er også stor tvivl om, hvorvidt virksomhederne skal håndtere det manuelt eller anskaffe sig automatiske værktøjer til at håndtere, at samtykket foreligger, og at omfanget af dataenes brug overholdes. Hvis virksomhederne skal sikre sletning af ”gamle” data, er backup en udfordring, fordi dataene kan gendannes. Virksomhederne i undersøgelsen pegede også på, at de har mange ”datalommer”, som der skal ryddes op i.

Virksomheder skal have en dataansvarlig
Store virksomheder skal udpege en dataansvarlig, der i tilfælde af, at Datatilsynet kommer forbi til et tilsyn, kan dokumentere, at virksomheden overholder loven. Den enkelte medarbejder kan ikke være dataansvarlig. Det er kun den dataansvarlige, der kan modtage persondataene, og vedkommende skal generelt kunne dokumentere, at behandling af data sker lovligt. Den dataansvarlige skal sikre, at den registreredes rettigheder overholdes, og at den registrerede kan få oplysninger om brug af egne data.

Store bøder og sanktioner
Forordningen indeholder radikale nyskabelser i form af bøder og sanktioner. Hvis den dataansvarlige ikke har efterlevet sine pligter, så får virksomhedens en bøde på to procent af omsætningen eller 10 millioner euro alt efter, hvad der er højest. Hvis man som virksomhed ikke efterlever de registreredes rettigheder, så risikerer man en bøde på fire procent af omsætningen eller 20 millioner euro alt efter, hvad der er højest.

Virksomhederne på temamødet anbefalede, at man systematisk afdækker, hvor der bruges persondata, og hvordan data bevæger sig i virksomheden. Efterfølgende kræver det så, man identificerer hvilke huller, der er i forhold til at leve op til lovgivningen.

Efterlevelse af persondataforordningen har fået ry for at være et ressourcetungt og omstændeligt arbejde. Det er en ny måde, at virksomheder skal arbejde med data på, og derfor kræver det en stor omstilling at leve op til persondataforordningen. Desuden er virksomheden nødt til selv at vurdere, hvad der er persondata, og hvordan man sikrer dem. Der findes mange vejledninger til persondataforordningen, men i sidste ende er virksomheden nødt til selv at foretage arbejdet.

Virksomhederne på mødet var meget positive over for de effekter, der er kommet af at gå i gang med implementeringen. Persondataforordningen har medvirket til, at de har fået styr på behandlingen af alle typer data og har fået opgraderet både it-sikkerheden, organisationens procedurer og processer

Hvis du vil vide mere:

På ATV’s hjemmeside kan du få mere information i præsentationerne fra temamødet:

  • Datatilsynets vejledninger og anbefalinger v. Christina Gulisano
  • En gennemgang af persondataforordningen samt råd og vejledning til proces v. Janne Glæsel
  • Implementering af persondataforordningen med fokus på sikkerhed og design v. Henning Mortensen
  • Praktiske eksempler på implementeringsstrategier fra:
  • Ann-Marie Panduro, Hjerteforeningen
  • Niels Enggaard Lindstrøm, Danske Bank
  • Morten Bruhn Højsgaard, Dentsu Aegis Network (forretningsmodel baseret på persondata)

Datatilsynets vejledninger:

www.dbreform.dk

www.datatilsynet.dk