• Overordnet om GDPR
  • Sådan bliver du compliant
  • Konsekvenser ved ikke at være compliant

Den nuværende persondataforordning er fra 1995, og det kan derfor hurtigt konstateres, at de digitale spilleregler har ændret sig; Internettets samlede betydning for samfundet, måden hvorpå vi gebærder os på, og særligt samspillet mellem individ og virksomhed har ændret karakter. Den nye persondataforordning skal også imødekomme den øgede handler over grænserne, og fungerer som et samlet sæt spilleregler for, hvordan vores personfølsomme oplysninger bliver behandlet – både herhjemme og i udlandet.
Det er altså både for organisationen og individets skyld at den nye persondataforordning er blevet udarbejdet, og på alle måde er relevant, selvom den medfører nogle udfordringer.

Den nye persondataforordning stiller i lige så høj grad krav til ledelsen og arbejdsprocesser, som den stiller krav til organisationens IT og de systemer, der oplagres og behandles data og i. Men det er dog langt henad vejen teknologien, der er omdrejningspunktet for de regler og sikkerhedskrav, som fremsættes i persondataforordningen.

Sådan bliver du klar til den nye persondataforordning

Det er varierende fra virksomhed til virksomhed, hvilke ændringer der konkret er nødvendige for at opnå compliance med den nye persondataforordning. Den nye persondataforordning har til formål at skabe transparens omkring dataindsamling og dataanvendelse gennem en skærpet oplysningspligt og krav om samtykke for dermed at give individet en større indsigt i, hvad dennes information bruges til. Derudover er det også en af hjørnestenene i persondataforordningen, at individets digitale rettigheder kommer i fokus, og persondataforordningen introducerer derfor koncepter som retten til at blive glemt og data portabilitet (struktureret dataoverførsel) samt strengere krav til dokumentationen heraf.
Har du endnu ikke stiftet bekendtskab med persondataforordningens regelsæt, er her 10 punkter, du som minimum bør forholde dig til:

1. Du skal sikre dig, at du ved, om I anses for at være ’dataansvarlig’ eller ’databehandler’

Først og fremmest er det nødvendigt at afdække, om din organisation anses for at være databehandler eller dataansvarlig, da der stilles forskellige krav til de to roller.
Den dataansvarlige er defineret som værende den organisation, der afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Et eksempel på en dataansvarlig kunne være en arbejdsgiver, der er ansvarlig for data om personalet, eller en læge der, i forbindelse med et forskningsprojekt, indsamler data.
Databehandleren er defineret ved at være den entitet, der behandler personoplysninger på den dataansvarliges vegne. Eksempler på databehandler kunne være en revisor eller advokat, som kun får tilsendt den information, der er nødvendigt, for at de kan udføre deres kerneydelser.

2. Du skal sikre dig, at du ved, om du bør udpege en Data Protection Officer (DPO)

Det fremgår af den nye persondataforordning, at alle offentlige myndigheder og organer skal udpege en DPO. Det forelægger også som et krav, at organisationer i den private sektor skal udpege en DPO, hvis de i større grad, eller som en del af deres kerneaktivitet, systematisk indsamler, monitorerer eller behandler persondata.
En DPO er en uafhængig rolle, hvis primære formål er at sikre, at organisationen overholder persondataforordningens krav. DPO’en kan være en eksisterende medarbejder eller en ekstern part, der udelukkende varetager denne funktion. Det er vigtigt, at personen som udpeges til at være DPO har ekspertise og erfaring indenfor databeskyttelse.

3. Du skal sikre dig, at du overholder samtykkereglerne og dokumentation heraf

Med den nye persondataforordning kommer der strengere krav til indhentning og dokumentation af samtykke til behandling af persondata. Der er ingen formkrav til samtykket, men hvis ikke processen samt kravene til indhold overholdes, anses samtykket ikke for at være givet.
Samtykket skal være givet utvetydigt, frivilligt og være givet før indsamlingen og behandlingen af persondata påbegyndes. Samtykket må ikke være for generelt, men skal derimod specificere, hvad der gives samtykke til, således at den registrerede er tilstrækkeligt informeret omkring, hvilken data der indsamles, hvordan den behandles og til hvilket formål. Derudover er det et krav, at den dataansvarlige, inden samtykket gives, informerer individet om muligheden for tilbagekaldelse af det givne samtykke.

4. Du skal sikre dig, at du overholder kravene til oplysningspligten

Uanset om der indhentes personoplysninger fra den registrerede person, eller de fås fra en tredjemand, påhviler der en generel oplysningspligt på den organisation, som er den dataansvarlige. Indhentes dataene direkte fra den registrerede, kræver persondataforordningen, at der oplyses følgende:

  • Kontaktinformation samt yderligere information om den dataansvarlige
  • I tilfælde af, at der er udpeget en DPO; kontaktinformation samt yderligere information om denne.
  • Hvilken type persondata, der behandles.
  • Retsgrundlaget for behandlingen af dataene.
  • Modtagere/kategori af modtagere af indsamlede data.
  • Muligheden for at klage til Datatilsynet.

Indhentes dataene andetsteds, end hos den registrerede, gælder yderligere oplysningskrav.

5. Du skal sikre dig at have kendskab til struktureret dataoverførsel samt sikre dig, at dit system kan flytte og udlevere data i rette format

Persondataforordningen introducerer individets ret til at få overført data, som omhandler ham eller hende, enten til vedkommende selv eller til en tredjepart, såfremt dette er teknisk ladsiggørligt. Til dataoverførslen stilles krav omkring strukturen, læsbarheden og formatet, dataene overføres i; Dataene skal med andre ord overføres i et almindeligt anvendt format og være maskinlæselige. Derfor er det en fordel, hvis organisationens set-up er i stand til at kommunikere og udveksle information på tværs af systemer og formater.

6. Du skal sikre dig, at dit system kan håndtere og dokumentere sletning i persondata

Én af de mest omtalte dele af den nye persondataforordning er retten til at blive glemt. Der er to benspænd, som er vigtige at forholde sig til som dataansvarlig: Individets ret til at blive glemt og den dataansvarliges pligt til at slette dataene, når disse ikke længere er nødvendige.
Som udgangspunkt kan samtykket til indsamling og databehandling på et hvilket som helst tidspunkt tilbagekaldes, og hvis ingen yderligere retsgrundlag forekommer for videre databehandling, skal organisationen slette den indeværende data omgående.
Der forekommer undtagelser for, hvornår en organisation ikke skal slette indsamlet data med det samme, eksempelvis i forbindelse med opretholdelse af juridiske forpligtelser eller i sager om ytringsfrihed og samfundsinteresser.
På nuværende tidspunkt vil det være op til den dataansvarlige at vurdere, hvornår data ikke længere er nødvendige og derfor bør slettes.

7. Du skal sikre dig, at du ved, om dine ydelser og produkter kræver Privacy by Design (databeskyttelse gennem design)

Databeskyttelse gennem design handler om, at ydelser og produkter udvikles med nødvendige sikkerhedsforanstaltninger, og at disse indtænkes fra starten af produktudviklingen. Dette stiller strengere krav til organisationens IT-systemer, såvel som til de organisatoriske processer, persondata indgår i.
Der stilles desuden krav til, at kun den nødvendige persondata indsamles og behandles for på den måde at komme væk fra den førhen brugte tilgang, hvor der er blevet indsamlet så meget data som muligt, uden det, på tidspunktet for indsamlingen, havde et konkret formål.

8. Du skal sikre dig, at du ved, hvad en Impact Assessment (konsekvensanalyse) er, og om du kan dokumentere, når de gennemføres

En konsekvensanalyse er en risikovurdering af behandlingen af persondata og har til formål at kortlægge og mindske de risici, der er forbundet med databehandlingen. Det er ikke i alle tilfælde, at det vil være et krav, at der skal foretages en egentlig konsekvensanalyse, men det vil altid være et krav, at der inden databehandlingen foretages en risikoanalyse. Det vil være en konkret vurdering, fra den dataansvarlige, fra sag til sag, om det vil være en nødvendighed at foretage en konsekvensanalyse.
Det fremgår af persondataforordningen, at der forudgående for en databehandling som indebærer en høj risiko for individets frihed og rettigheder, skal foretages en konsekvensanalyse. Dette vil typisk være ved brug af ny teknologi samt ved anvendelse af nye indsamlings- eller behandlingsprocesser.

9. Du skal sikre dig, at du har procedure og processer på plads ift. et databrud

I tilfælde af et databrud skal den dataansvarlige inden for 72 timer efter databruddets opdagelse informere Datatilsynet. I tilfælde af at den dataansvarlige ikke informerer Datatilsynet indenfor 72 timer, skal begrundelse herfor akkompagnere notifikationen. En databehandler skal omgående informere den dataansvarlige.
Den dataansvarliges indberetning til Datatilsynet skal som minimum indeholde følgende:

  • I det omfang det er muligt; en beskrivelse af bruddets natur, omfanget og antallet af registrerede, der er ramt af bruddet, samt kategorierne af persondata databruddet omhandler.
  • Navn og kontaktoplysninger på DPO’en eller øvrige kontaktpersoner, hvorfra yderlig information kan indhentes.
  • En beskrivelse af de meste sandsynlige konsekvenser af databruddet.
  • En beskrivelse af de foranstaltninger organisationen har taget eller foreslået for at genoprette sikkerheden og reducerer påvirkningen fra databruddet.

10. Du skal sikre dig, at du har procedure og processer på plads ift. dokumentation

Det fremgår af persondataforordningen, at den dataansvarlige ikke blot skal implementere nødvendige foranstaltninger for at overholde forordningen, men at disse også skal kunne dokumenteres. Dette krav hjælper til en bedre forståelse og opretholdelse af persondataforordningen og stiller samtidig organisationen bedre i tilfælde af et eventuelt databrud, eller hvis Datatilsynet beslutter sig for at undersøge organisationens indsamling og behandling af persondata.

Konsekvenserne ved ikke at opnå compliance med den nye persondataforordning

Den nye persondataforordning blev vedtaget i april 2016, men da det var tydeligt, at det for langt de fleste organisationer vil kræve væsentlige opdateringer af teknologi og systemer samt alvorlige omlægninger af databehandlingsprocesser, blev det besluttet at udskyde den egentlige implementering til maj 2018.
Der er svært at vurdere, hvad der kommer til at ske, hvis virksomheden ikke er 100% compliant med den nye persondataforordning, når den går i luften pr. 25. maj, men i nogle cirkler snakkes der om nærapokalyptiske konsekvenser. Rent konkret fremgår det af persondataforordningen, at organisationen, ved brud på persondataforordningens regelsæt, kan modtage bøder på op til €20 mio. eller 4% af deres samlede globale omsætning, hvor det højeste af de to beløb vil være gældende. Det er dog vigtigt at notere sig, at forskellige overtrædelser har forskellige bødesatser. Derudover vil bødens omfang blive vurderet på baggrund af en række forskellige parametre:

  • Omfanget, alvorsgraden og varigheden af overtrædelsen
  • Typen af persondata overtrædelsen omhandler
  • Forhenværende overtrædelser
  • Forsæt eller uagtsomhed
  • Konkret skade medført samt indsats for at begrænse denne
  • Den dataansvarlige eller databehandlendes grad af ansvar
  • Rapportering af overtrædelsen
  • Grad af samarbejde, eller mangel på samme, med tilsynsmyndighederne

Derudover vil en overtrædelse af den nye persondataforordning givet vis have alvorlige konsekvenser for organisationens omdømme samt dets forhold til dennes kunder eller medlemmer.

Ovenstående er en generel og overordnet vejledning og bør ikke stå alene i organisationens arbejde med at opnå compliance med den nye persondataforordning. Hos Atenzo er vi eksperter i GDPR, og vi kan rådgive og hjælpe med GDPR processen, så din virksomhed bliver compliant med lovgivningen inden den 25. maj. 

Er du stadig hungrende efter information, holder vi den 06. marts 2018 et seminar om GDPR, hvor vi fortæller om hvordan du bør forholde dig til GDPR, og om hvordan du kan blive klar ved hjælp af softwareløsninger. 

Du er altid velkommen til at kontakte os på +45 7020 1082 for en videre snak om den nye persondataforordning, og hvilke konkrete tiltag I bør tage for at for at blive compliant.