Del denne nyhed med dit netværk
Hold dit netværk opdateret på datafronten
Persondataforordningen - en ny balance mellem transparens og beskyttelse af persondata
17 jul 2017
Data revolutionerer verden
Data er en af de største faktorer i informationsøkonomien. Vi bevæger os pt. fra at indsamle data fra personers udfyldelse af formularer til en mere automatisk proces, hvor personer og deres adfærd følges og spores online eller via smartphones og andre elektroniske enheder. Nye data indsamles i stigende grad via algoritmer, der analyserer en række datakilder, herunder sociale medier, lokationsdata og købsdetaljer. Data er et aktiv, der kan skabe værdi, men der er også risici forbundet med dette. Lækager, databrud, identitetstyveri og generel dårlig datahåndtering, der får kunderne til at tabe tilliden, er trusler, som moderne virksomheder i alle størrelser og inden for alle brancher står over for.
Stærkere beskyttelse af personoplysninger
I lyset af den hurtige udvikling på området har Den Europæiske Union fundet det nødvendigt at reformere beskyttelsen af personoplysninger og data. Derfor træder EU's persondataforordning General Data Protection Regulation (GDPR) i kraft i hele EU med virkning pr. 25. maj 2018. Derefter skal virksomheder, koncerner, offentlige myndigheder og organisationer, der behandler persondata, opfylde den nye forordning.
GDPR har som formål, at styrke og ensrette databeskyttelsen for individer i EU. Det primære mål med GDPR er, at sikre borgerne kontrol over deres persondata og forenkle lovgivningen vedrørende international handel, ved at ensrette love og regelsæt inden for EU.
Balance mellem transparens og beskyttelse af personoplysninger
Målet med GDPR er, at afklare og styrke rettighederne i forbindelse med beskyttelse af privatliv og data. Men balancen mellem transparens og beskyttelse af personoplysninger er en stor udfordring. GDPR er baseret på tanken om, at obligatorisk samtykke giver en højere grad af privatliv. Men jo mere information organisationer skal indhente med privatlivsmeddelelser, desto mere komplekse betingelser og vilkår skal kunderne give samtykke til.
Med strengere ansvarlighed og større ansvar er der ingen tvivl om, at den nye forordning lægger et større pres på moderne virksomheder. Et brud på GDPR kan koste op til 4 % af den årlige omsætning i bøder. Det er derfor afgørende at implementere forordningens regler korrekt.
På nuværende tidspunkt er der stadig mange ubesvarede spørgsmål om, hvordan GDPR vil fungere i praksis. Det Europæiske Databeskyttelsesråd vil udstede generelle retningslinjer i løbet af 2017. Uanset hvad, er spørgsmålet stadig, hvordan virksomheder skal informere og formulere sig for, at et samtykke er gyldigt. Reel transparens opnås kun, hvis modtageren/kunden er fuldt i stand til at forstå informationerne.
Mere end compliance
Ud over compliance vil den største ændring være skiftet i organisationernes holdning til beskyttelse af personoplysninger – hvor de ikke blot overholder love og regler vedrørende privatliv, men også opfylder kundernes forventninger. Når en organisation skal forholde sig til sin forretningsmodel, dataanvendelse og dataflow, skal den tage højde for ansvarlighed, transparens, tillid, beskyttelse af personoplysninger og forretningsetik for at afdække, hvordan man skaber værdi.
Beskyttelse af personoplysninger er en forretningsmæssig overvejelse. Det er afgørende at opbygge kundetillid og opnå et konkurrencemæssigt forspring, for kunderne sætter deres privatliv meget højt. De prioriterer også enkle og transparente procedurer i forhold til deres rettigheder.
"At være compliant betyder, at du som virksomhed har fastlagt nogle processer og retningslinjer for at sikre at overholde de krav og regulativer, der findes."
4 gode råd til dig, der arbejder med persondata
- Omdan potentielle risici til en konkurrencemæssig fordel. Fortæl kunderne hvordan du håndterer deres personoplysninger og brug det som et salgsargument.
- Opbyg tillidsvækkende relationer til kunder, partnere, investorer og myndigheder, hvor der er gennemsigtighed om brugen af data.
- Husk at fokusere på den enkelte kunde - kunderne er nemlig mere villige til at dele informationer, hvis de mener, de er omfattet af relevant og tilstrækkelig beskyttelse af dem som enkeltpersoner. Her er kommunikationen afgørende, så kunderne føler sig trygge.
- Hvis der opstår utilsigtede hændelser i form af databrud, er det afgørende at have en handlingsplan parat og hurtigt kommunikere med de berørte parter og håndtere problemstillingen.
Stigende fokus på beskyttelse af personoplysninger
Der tales meget om, at forbrugernes holdning til persondata er i forandring. På den ene side er de i stigende grad villige til at dele informationer på de sociale medier og give tilladelse til, at deres data indsamles og anvendes til kommercielle og andre formål, og mange ser ofte bort fra lange skriv om brugen af personoplysninger.
På den anden side er folk i dag mere bekymrede for, hvordan deres data indsamles og behandles. Folk bekymrer sig om, hvordan organisationer behandler deres data og vil gerne opretholde kontrollen over, hvordan de bliver brugt. Der er en stigende interesse for beskyttelse af personoplysninger og data hos forbrugere, medier, virksomheder, politikere og den generelle offentlighed.
Nye krav til meddelelser om personoplysninger – transparens
At være transparent og give adgang til information om individer i forhold til, hvordan din organisation vil anvende deres personoplysninger, er et centralt element i GDPR, uanset hvordan man erhverver og behandler persondata. Organisationer er forpligtet til at oplyse individer om deres rettigheder. GDPR inkluderer regler om detaljerede og specifikke personoplysninger for individer og lægger vægt på, at meddelelser om personoplysninger skal være letforståelige og tilgængelige. Informationerne skal præsenteres i et forståeligt format ved hjælp af et klart, enkelt og tydeligt sprog.
En meddelelse om personoplysninger skal indeholde:
- Identiteten på og kontaktoplysninger for den dataansvarlige (eller en repræsentant herfor).
- Kontaktoplysninger på den databeskyttelsesansvarlige.
- Formålet, hvortil dataene indsamles og behandles, og det juridiske grundlag for behandlingen.
- Kategorier af persondata og fra hvilken kilde (hvis ikke indsamlet direkte fra indvider)
- Yderligere information der er behov for, for at sikre, at data behandles retmæssigt.
- Det specifikke juridiske grundlag (hjemmel) for den dataansvarlige, når databehandlingen er baseret på dette juridiske grundlag.
- Perioden, hvor persondata vil blive opbevaret.
- De forskellige rettigheder for individer, herunder adgang og korrigering af persondata og retten til at fremsætte indsigelser mod behandling af data.
- Retten til at trække samtykke tilbage til enhver tid.
- Retten til at fremsætte indsigelser til en datasikkerhedsmyndighed samt kontaktoplysningerne til den relevante datasikkerhedsmyndighed.
- Alle modtagere eller kategorier af modtagere for persondata.
- Om persondata vil blive overført uden for EU og sikkerhedsforanstaltninger herfor.
- Om angivelsen af samtykket til indhentning af persondata er obligatorisk eller frivillig (når de indsamles direkte fra individer).
- Datakilden (når data indsamles fra tredjeparter).
- Eksistensen af automatiserede beslutningsprocesser, herunder profilering og information om, hvordan beslutninger træffes, vigtigheden og konsekvenser.