19.04.2016
5 min læsetid

Kæmpebøder og dataofficere: Her er EUs datalov

Europa Parlamentet har vedtaget nye regler for persondata for første gang i tyve år. IDA giver dig overblik over reglementet.

Magnus Boye

af Magnus Boye

Der var klart flertal for EUs nye databeskyttelsesreglement, da det i sidste uge skulle gennem parlamentet. Dermed slutter fire års arbejde med at reformere og opdatere unionens eksisterende dataregler, som blev lavet i 1995.

Det vil sige fra en tid uden online sociale medier, uden smartphones og cloud computing. En tid hvor internettet herhjemme stadig var reserveret til en hardcore gruppe nørder, der kunne se et potentiale, mens andre tvivlede.

Der er derfor også reelle forandringer i vente, når reglerne træder i kraft om to år. Tiden skal bruges til at få kigget virksomheder og myndigheder efter i sømmene for at sikre, at der ikke ryger data ud af sprækkerne.

IDA Universe giver dig her overblik over de vigtigste ændringer for dig og din virksomhed.  

Ret til at blive glemt

»Det er en stor succes for Europa-Parlamentet og et kraftig europæisk ‘ja’ til stærke forbrugerrettigheder og konkurrence i den digitale tidsalder. Borgere vil være i stand til selv at vælge, hvilke personlige informationer, de ønsker at dele,« sagde EU-parlamentarikeren Jan Philipp Albrecht, efter han sammen med kollegerne sagde ja til forordningen.

Det omtalte valg til borgere ligger ikke mindst i den såkaldte ret til at blive glemt. Det betyder, at du kan kræve data slettet fra virksomhedernes kartoteker, hvis ikke de har en god grund til at beholde dem. Selvom retten først formelt lige er vedtaget har den allerede haft retlige konsekvenser. Den har nemlig dannet bund for den dom, der i dag betyder, at man kan tvinge Google, til at fjerne søgeresultater, der dukker op, når man søger på sit eget navn.

Retten er dog ikke universel. Den er begrænset til en vis grad af ytringsfrihed, og gælder for eksempel heller ikke retten til at blive slettet fra en backup. Andre begrænsninger er juridiske.

- Du kan jo ikke ringe til din bank og bede dem slette din gæld, siger jurist Michael Hopp til Version2.

Retten til at flytte egne data

Hvis ikke man ligefrem ønsker sin data slettet, så kan man ifølge EU’s nye regler bede om at få den flyttet fra en virksomhed til en anden.

It-advokat Martin von Haller Grønbæk bruger her to datingsites som eksempel:

‘Man kunne for eksempel forestille sig en person som ønsker at benytte Dating.dk fremfor Match.com. Denne person vil herefter kunne anmode Match.com om at overflytte alle de personlige oplysninger, de ligger inde med til Dating.dk,’ forklarer han i en blog på Version2.

Humlen i rettigheden ligger i, at Match.com i dette tilfælde ikke må modsætte sig dataoverførslen - selvom det er til fordel for konkurrenten.

Dataofficer

Større virksomheder skal - hvis de arbejder med persondata eller systematisk overvåger registrerede personer - udpege en såkaldt Data Protection Officer - eller DPO. Det samme gælder myndigheder omend domstole er undtaget.

Dataofficeren skal spille en form for tillidsmandsrolle i virksomheden, men i stedet for at repræsentere medarbejderne, repræsenterer personen dem, hvis data behandles. Det vil sige, at DPO’en skal sikre, at virksomheden lever op til de øvrige data-krav i reglementet - og ikke bliver fyret for at påpege datasjusk. DPO’en overser konkret, at virksomheden udarbejder de krævede dokumenter som privatlivspolitik og risikovurdering.  

Det er endnu lidt usikkert, hvem der skal hyre DPO’er. Til gengæld kan det være et fornuftigt tiltag uanset, om det kræves af en, mener ledelseskonsulent Emilie Norsk.

‘Hvis man som virksomhed vil gøre sig forhåbninger om at leve op til kravene i forordningen og samtidig brande sig selv som en virksomhed, der tager persondatabeskyttelse alvorligt, bør man overveje, om ikke en DPO vil være et godt første skridt,’ skriver hun i et blogindlæg på Version2.

Datalæk skal offentliggøres

Hvis det alligevel går galt, og der sker brud på datasikkerheden, kan virksomheder ikke længere holde informationen for sig selv. Ethvert databrud medfører en meldepligt til Datatilsynet. Underrettes tilsynet ikke inden for 24 timer, så bryder virksomheden eller institutionen med de nye dataregler.

Hvis sikkerhedsbruddet til med kan medføre identitetstyveri, skade af omdømme eller værre for de berørte personer, så skal brugerne også underrettes direkte.

Endelig skal virksomheder fra starten indtænke privacy når it-systemerne opbygges. EU’s reglement nævner konceptet ‘privacy by design’, men præcis i hvilket omfang, det skal indtænkes, er uklart.   

Kæmpebøder for datasjusk  

Det mest bemærkelsesværdig ved EU’s databeskyttelsesforordning er måske ikke så meget kravene som konsekvenserne af at bryde dem. Ifølge reglementet kan virksomheder, der ikke lever op til reglerne, straffes med klækkelige bøder.

Nærmere bestemt kan grove overtrædelser koste op til 4 procent af virksomhedens årlige globale omsætning eller 20 millioner euro.   

Loven træder direkte ind i dansk lovgivning og overtrumfer således eventuel eksisterende dansk lovgivning på området. Justitsministeriet har nedsat to arbejdsgrupper, der skal undersøge, om Danmark skal forsøge at få nationale forbehold for dele af reglementet.

GDPR

Er du interesseret i at vide mere om GDPR, så kan du se mere på vores forside her: 

Læs mere om GDPR her

Læs mere

Aktuelt

Teknologi og naturvidenskab

Læs artikler om teknologi og naturvidenskab , der relaterer sig til vores arrangementer, kurser og øvrige tilbud til dig som medlem.

Se nyheder