Artikel Smarte beslutninger Datadrevet markedsføring Compliance

Persondataforordningen i hovedoverskrifter

17 jul 2017

Europakommissionen og Europa-Parlamentet har udviklet den nye persondataforordning General Data Protection Regulation (GDPR) for at beskytte individers personoplysninger i den digitale verden, vi lever i. Persondataforordningen vil erstatte lokale databeskyttelseslove og vil være gældende i alle lande i EU.

Her får du overblikket over, hvilke væsentlige ændringer persondataforordningen medfører.

Skærpede dokumentationskrav 

Virksomheder og offentlige instanser skal fremadrettet kunne dokumentere, at de overholder alle forordningens regler. FX skal det dokumenteres, hvordan data indsamles, lagres, bearbejdes og anvendes. Alle de processer, som vedrører data, skal kortlægges, og det skal være helt gennemsigtigt, hvor data kommer fra, og hvilket formål de forskellige data har.

Transparent data

At være transparent og give adgang til information om individer i forhold til, hvordan din organisation vil anvende deres personoplysninger, er et centralt element i persondataforordningen, uanset hvordan man erhverver og behandler persondata. Organisationer er forpligtet til at oplyse individer om deres rettigheder, og det skal være kommunikeret klart og forståeligt, hvordan personoplysningerne behandles.

Læs mere her

Nye samtykkebetingelser 

Et samtykke skal være frivilligt, specifikt, informeret og udtrykkeligt. Kravet om frivillighed betyder bl.a., at ved salg af varer eller serviceydelser må der almindeligvis ikke stilles krav om samtykke til, at persondata kan bruges til markedsføring.

Dataportabilitet

Persondataforordningen styrker individets ret til at kontrollere sine egne data. Et af de vigtigste eksempler på dette er en ny rettighed, som tildeles individer: Retten til dataportabilitet. Den siger grundlæggende, at individer har ret til at transportere deres persondata fra en organisation til den næste – deraf ordet "portabilitet". Persondata skal leveres til den pågældende person i et struktureret og standardiseret, computerlæsbart format. Reglerne fastlægger også, at organisationer - når det er teknisk muligt - skal facilitere elektronisk overførsel af persondata, hvis den pågældende person kræver det.

Underretningspligt om databrud

Alle de organisationer, der behandler persondata, skal sikre, at data sikres behørigt mod datatab, tyveri, uautoriseret adgang mv. Persondataforordningen inkluderer en regel om meddelelse ved brud på persondata, der fastlægger, at man ved sikkerhedsbrud skal rapportere dette brud til tilsynsmyndigheden inden for 72 timer. Og hvis sikkerhedsbruddet også med stor sandsynlighed vil medføre en høj privatlivssikkerhedsrisiko for individer, skal disse personer også informeres om dette.

”Privacy by design” og ”Privacy by default” 

Privacy by design” og ”Privacy by default” er også nye elementer i persondataforordningen. Det betyder, at det bliver obligatorisk at sikre databeskyttelse helt fra starten i en designproces – hvad enten det er af systemer, processer, produkter mv. Hvis blot persondata er inkluderet i et udviklingsinitiativ, skal databeskyttelse tænkes ind fra starten. Organisationer bliver pålagt at kunne dokumentere, at de har gjort dette. Når systemet, processen, produktet mv. designes, skal det inkludere en valgmulighed for den enkelte bruger i forhold til, hvor mange persondata vedkommende ønsker at dele.

Woman office

 

Databehandler

Hvis du er databehandler (behandler persondata på vegne af en anden organisation), vil persondataforordningen ændre en del. Alt complianceansvar i forhold til lovgivningen om beskyttelse af personoplysninger, har hidtil ligget hos kunden som den dataansvarlige, men nu bliver databehandlere også belagt nogle direkte ansvarspunkter. Nogle af disse nye ansvarspunkter indebærer, at en databehandler skal udpege en databeskyttelsesansvarlig (en DPO) samt udarbejde og opbevare dokumentation på alle de databehandlingsaktiviteter, der udføres på vegne af en kunde. Derudover kan tilsynsmyndigheder kontakte databehandlere direkte med forespørgsler og krav til dokumentation af data.

Data Protection Officer (DPO)

For private virksomheder skal der udpeges en DPO, en såkaldt databeskytter, hvis virksomheden som dataansvarlig eller databehandler har en kerneaktivitet bestående enten af:

  • Behandlingsaktiviteter, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
  • Behandling i stort omfang af følsomme oplysninger eller oplysninger om straffedomme og lovovertrædelser.

For offentlige myndigheder er reglerne anderledes og ikke helt så skarpt definerede.

En DPO er en medarbejder med særlig indsigt i persondatabeskyttelse. Det kan sagtens være en eksisterende medarbejder, som uddannes til opgaven eller det kan være en ny separat fuktion, der oprettes eller hyres eksternt.

Retten til at blive glemt

Persondataforordningen indfører også en ny regel om ”retten til at blive glemt”, som betyder, at en person kan kræve, at en virksomhed fjerner, retter eller blokerer personoplysninger vedrørende personen, hvis personen ikke længere ønsker data offentliggjort eller opbevaret. Dette kunne fx være søgeresultater på forskellige søgemaskiner som fx Google, Bing osv. samt sociale medier. Hvis en person ikke længere vil kunne findes her, har personen ret til at ”blive glemt” og kan derfor kræve oplysninger fjernet.

Konsekvensanalyser (DPIA)

Med persondataforordningen indføres også såkaldte konsekvensanalyser (Data Protection Impact Assessments, DPIA), som har til formål at identificere store risici relateret til beskyttelse af personoplysninger for individer i forbindelse med behandling af deres persondata. Når konsekvenserne identificeres, forventes det, at organisationerne udarbejder tiltag, der adresserer disse risici. Denne analyse skal finde sted, før behandlingen af persondata indledes og skal fokusere på emner som; systematisk beskrivelse af databehandlingsaktiviteten og nødvendigheden og proportionaliteten af aktiviteten.

Pseudonymisering og kryptering af persondata

Behovet for at iværksætte relevante og tilstrækkelige tiltag i forhold til informationssikkerhed, der sikrer fortroligheden, integriteten, tilgængeligheden og robustheden i databehandlingssystemer og tjenester, har altid været en del af lovgivningen vedrørende beskyttelse af personoplysninger. Det nye er, at persondataforordningen også inkluderer pseudonymisering og kryptering af persondata. Derudover påpeges det, at sikkerhed skal baseres på en risikovurdering, dog ikke af de risici, som organisationen møder, men af risici for fysiske personers rettigheder og frihed, dvs. risici for at et individs personoplysninger kompromitteres.

PAA157000007.jpg

 

One-stop-shop 

Persondataforordningen baner vej for harmonisering på tværs af EU's grænser og en mere ensartet implementering af EU's databeskyttelseslovgivning. Tanken er en one-stop-shop for kontakt med datatilsynsmyndighederne. Generelt skal det være nok for virksomheder at interagere med og modtage vejledning fra én datatilsynsmyndighed i hele EU. For koncerner med selskaber i flere EU-lande indføres en ny ”one-stop-shop”. Det betyder, at virksomheden alene skal have kontakt til én tilsynsmyndighed for så vidt angår alle virksomhedens koncernselskaber i EU.

Persondatafordordningen gælder også lande uden for EU

Persondataforordningen gælder også for organisationer, der ikke er placeret i EU, såfremt de tilbyder varer eller tjenester til, eller monitorerer adfærd hos personer i EU. Med andre ord skal organisationer, der fokuserer på EU-borgere via internettet med tjenester, varer eller monitorering, overholde EU's regler om beskyttelse af personoplysninger for disse borgeres data.

Væsentligt højere bøder

Med skærpede regler og endnu større ansvar, er der ingen tvivl om, at den nye forordning lægger et stort pres på moderne virksomheder. Et brud på persondataforordningen kan koste op til 4 % af den årlige koncernomsætning i bøder eller op til EUR 20 mio. Det er derfor afgørende at implementere forordningens regler korrekt.

Bisnode og persondataforordningen

I Bisnode driver vi et projekt på europæisk niveau, der identificerer, hvad vi skal gøre i vores virksomhed for at følge de generelle betingelser. Vi gør en dyd ud af, at vi er struktureret korrekt til at håndtere beskyttelsen af personoplysninger, og at vi har de teknologiske forudsætninger for at gøre dette.

Vi behandler jo hver dag store mængder data fra flere forskellige datakilder, og det sørger vi altid for at gøre i overensstemmelse med lovgivningen.

Læs mere her

Vil du modtage vores nyhedsbrev?

Interesser