Nyheder

EU's persondataforordning

Advokat Søren Hedegaard Frederiksen

EU’ s persondataforordning er for tiden et emne, der nyder stor opmærksomhed.

Denne artikel af Søren Hedegaard Frederiksen, advokat Brockstedt-Kaalund, indeholder en kort gennemgang af persondatareglerne og afslutningsvis et bud på, hvor fokus indledningsvis bør rettes hen, i processen frem mod compliance med de nye regler.

Persondata - højaktuelt

Her på kontoret ved Brockstedt-Kaalund oplever vi en kraftig stigning i henvendelser omkring persondata – både fra eksisterende og nye kunder – grundet vedtagelsen af EU’ s nye persondataforordning.
 
Den stadigt stigende bevidsthed om, at persondata har stor forretningsmæssig værdi, er endvidere med til at gøre reglerne om persondata mere og mere aktuelle. Flere og flere virksomheder har høj grad af fokus på værdien i data, der pinpointer de kunder, det giver størst mulig effekt for virksomheden at rette markedsføring mod.
 
Persondataforordningen træder i kraft i maj 2018, men allerede nu er der grund til at påbegynde arbejdet med indarbejdelse af reglerne, eftersom der kan vise sig behov for større ændringer i organisationen. – Det være sig ændringer i mange sammenhænge, såsom virksomhedens IT-arkitektur, interne retningslinjer for håndtering af persondata og diverse aftale-/dokumentationstekster m.v.
 

Nærmere om, hvorfor de nye regler har stort fokus

Egentlig eksisterer hovedessensen i reglerne i den nye forordning, allerede i den nugældende persondatalov. Den primære forskel består først og fremmest i konsekvensen ved at overtræde reglerne.
 
Hidtil har risikoen ved at overtræde reglerne i praksis ret ofte blot været en kritisk udtale fra datatilsynet, offentliggørelse på datatilsynets hjemmeside, eller i yderste konsekvens evt. en straffesag afsluttet med en bøde, der måske har været til at overse.
 
Med de nye regler indføres bøder for overtrædelse på op til 4 % af en virksomheds omsætning eller 20.000.000 EUR, alt efter, hvilket af de to beløb, der er højest. 
 
Såfremt en virksomhed i alle henseender lever op til de eksisterende regler i persondataloven, er udfordringerne med at leve op til den nye forordning langt mindre, end hvis persondataloven – som det nok desværre er tilfældet hos nogle virksomheder – hidtil hos virksomheden har haft en mindre fremtrædende rolle.
 
Den mere mærkbare konsekvens ved at overtræde de nye regler, kombineret med en stigende grad af ”regel-awareness” blandt befolkningen og heraf følgende større risiko for klagesager, gør, at reglerne har og bør have stort fokus.
 

Hvorfor de nye regler i virkeligheden langt henad vejen svarer til de nugældende

Såvel persondataloven som den nye forordning, bygger på nogle grundprincipper, herunder primært:
 

  1. Opdeling af oplysninger i kategorier efter, hvor følsomme de er
  2. Generelle grundlæggende behandlingsprincipper
  3. Krav om lovhjemmel
  4. Rettigheder for den, hvis oplysninger behandles
  5. Ret til at klage til datatilsynet
  6. Sikkerheds- og dokumentationskrav

 

1) Opdeling af oplysninger i kategorier efter, hvor følsomme de er

Begge regelsæt opererer med en opdeling af oplysninger i kategorier efter, hvor følsomme de er – opdelingen er en anelse anderledes i forordningen, men grundprincipperne er de samme.
 
Muligheden for at behandle oplysninger er i begge regelsæt indskrænket mere, såfremt der er tale om følsomme oplysninger ctr. hvis der er tale om ikke-følsomme oplysninger.
 
Følsomme oplysninger efter begge regelsæt er f.eks. en persons helbredsmæssige eller seksuelle forhold, fagforeningsmæssige tilhørsforhold, racemæssige eller etniske baggrund, politiske, religiøse eller filosofiske overbevisning. 
 
Almindelige (ikke følsomme) oplysninger er efter begge regelsæt f.eks. navn, adresse, e-mail, hårfarve, alder.
 

2) Generelle grundlæggende behandlingsprincipper

Begge regelsæt stiller krav om, at personoplysninger behandles efter nogle grundlæggende principper, først og fremmest:
 

  • Saglighed. Personoplysninger må kun indsamles til udtrykkeligt angivne saglige formål og må ikke efterfølgende viderebehandles i strid med det oprindelige formål med indsamlingen.
  •  
  • Proportionalitet. Mængden/typen af oplysninger, langringsperioden etc. må ikke gå videre end, hvad formålet med persondatabehandlingen tilsiger.
  •  
  • Tilstrækkelighed. Der skal indsamles tilstrækkelige oplysninger ift. formålet (så man f.eks. ikke træffer en beslutning, der har betydning for en person, på et forkert grundlag).  
  •  
  • Rigtighed. Oplysningerne skal være korrekte, ellers skal de slettes/korrigeres.

 

3) Krav om lovhjemmel

Begge regelsæt bygger på, at personoplysninger kun lovligt må behandles, når det fremgår af reglerne, at det må de godt (et krav om lovhjemmel). Fremgår det ikke af loven, at man må foretage en konkret behandling af persondata, er behandlingen ulovlig.
 
Begge regelsæt indeholder i den forbindelse en nærmere en opregning af, hvilke oplysninger, der må behandles og under hvilke betingelser.
 
En adgang til behandling kan f.eks. være, at der er givet samtykke fra den berørte, eller at behandlingen er nødvendig for at overholde en retlig forpligtelse, der påhviler virksomheden.
 
Samtykke anvendes ofte som behandlingsgrundlag, men har den væsentlige ulempe, at samtykket frit kan tilbagekaldes med den konsekvens, at behandlingen skal stoppes og oplysningerne slettes.
 

4) Rettigheder for den, hvis oplysninger behandles

Begge regelsæt opererer med at den, hvis oplysninger indsamles og i øvrigt behandles, har nogle rettigheder, herunder primært:
 

  • Oplysningspligt. Personen, hvis oplysninger behandles, har som klart udgangspunkt ret til at blive oplyst om behandlingen af oplysninger, samt en række andre forhold. Oplysningerne skal gives personen i forbindelse med behandlingens påbegyndelse (i praksis efter persondataloven senest 10 dage efter).
  •  
  • Indsigtsret. En person har, ved henvendelse til virksomheden ret til at få oplysninger om, hvorvidt der behandles oplysninger om personen og i givet fald få adgang til oplysningerne, samt en række øvrig information, herunder formålene med behandlingen, hvilke kategorier af oplysninger der behandles m.v. 
  •  
  • Indsigelsesret. En person har ret til at gøre indsigelse mod behandlingen og virksomheden må ikke behandle oplysningerne længere, såfremt indsigelsen viser sig berettiget.
  •  
  • Ret til berigtigelse/sletning. Såfremt oplysningerne, der behandles er forkerte, har den, hvis oplysninger det drejer sig om, ret til at få berigtiget/slettet oplysningerne, samt krav på, at virksomheden kommunikerer kravet om sletning/berigtigelse videre til den/de 3 mænd, som virksomheden måtte have videregivet de pågældende oplysninger til.
  •  
  • Ret til at tilbagekalde et samtykke. Såfremt et samtykke fra personen, hvis oplysninger der behandles, er grundlag for indsamlingen/behandlingen af oplysningerne, har personen ret til at tilbagekalde sit samtykke med den konsekvens, at oplysningerne skal slettes (medmindre der findes anden lovhjemmel til behandlingen end selve samtykket). 

5) Ret til at klage til datatilsynet

Datatilsynet er tilsynsmyndighed efter den nugældende persondatalov (og vil givet også blive det efter den kommende forordning) og såvel efter de nugældende regler som efter de kommende, har den, hvis oplysninger behandles, ret til at klage til datatilsynet, såfremt den pågældende mener, at virksomheden ikke behandler oplysningerne korrekt i forhold til lovgivningen.
 
Datatilsynet vil da kunne udtale kritik eller evt. indgive politianmeldelse, såfremt datatilsynet finder, at virksomheden har handlet strafbart.
 

6) Sikkerhedskrav og dokumentationskrav

Både de nye regler og den eksisterende lov, indeholder regler om sikkerhed samt krav om dokumentation for overholdelse af reglerne, herunder f.eks.:
 

  • Krav om, at der som udgangspunkt ikke må overføres data til 3. lande (det vil sige til lande udenfor EU), medmindre de pågældende lande af EU (kommissionen) er ”grønlistet” som lande, det er sikkert at overføre data til.
  •  
  • Krav om at virksomheden teknisk og organisatorisk sikrer sig et tilstrækkeligt sikkerhedsniveau i forhold til at undgå, at data tilintetgøres, fortabes, kommer til uvedkommendes kendskab / misbruges, eller i øvrigt behandles i strid med loven.
  •  
  • Såfremt virksomheden i et eller andet omfang udliciterer behandlingen af data til en ekstern aktør, skal det sikres, at databehandleren overholder ovenstående sikkerhedskrav.
  •  
  • Når databehandlingen overlades til en ekstern aktør, er der krav om, at der indgås en aftale med den pågældende databehandler om, at der kun behandles data efter instruks fra virksomheden, og om at databehandleren skal overholde de ovennævnte sikkerhedskrav. 
  •  
  • Et eksempel på at databehandlingen er overladt til en ekstern kan være – hvilket tit er tilfældet i praksis - at man anvender en hostet IT-løsning.
  •  
  • Også brug af diverse cloud-baserede tjenester til opbevaring af personoplysninger, såsom f.eks. dropbox, google drev m.v., vil være udtryk for, at databehandlingen er overladt til en ekstern. – Eftersom data ikke længere er ”i huset”.

 

Forskellene mellem de nye regler og de eksisterende

Som beskrevet ovenfor, går de grundlæggende regler i persondataloven igen i forordningen.
Man kan sige at ændringerne i virkeligheden meget langt henad vejen går ud på udbygning af et allerede eksisterende system / ”mere af det hele”.
Ændringerne går således i særdeleshed ud på højere grad af oplysningspligt, strengere krav til samtykke, øgede sikkerhedskrav, øgede udtrykkelige krav om dokumentation for overholdelse af reglerne.
 
Af ændringer kan navnlig nævnes følgende:

 

Kravene om oplysningspligt skærpes. 

F.eks. skal man efter de nye regler, i forbindelse med at indsamlingen af oplysninger påbegyndes, også helt specifikt oplyse om, hvilken bestemmelse i forordningen (eller anden lovgivning), der legitimerer den påtænkte behandling af data.
 
Et andet eksempel på at kravene om oplysningspligt skærpes er, at man, i tilfælde af at man overfører data til 3. lande (og/eller til en organisation, der kan tænkes at overføre data til 3. lande) konkret skal oplyse herom, samt om beskyttelsesniveauet hos de pågældende databehandlere m.v.  – Dette kan navnlig vise sig en udfordring, i det omfang man anvender cloud baserede løsninger. 

 

Øgede krav i forbindelse med samtykke.

Efter de nye regler stilles der større dokumentationskrav og krav om frivilligheden, i forbindelse med et samtykke til behandling af persondataoplysninger.
 
F.eks. skal samtykkeerklæringen, hvis samtykket gives i en erklæring, der også vedrører andre forhold, være tydeligt adskilt fra øvrig tekst (må ikke være indeholdt i ens ”almindelige betingelser” for aftaler af den pågældende type).
 
Der skal være et reelt frit valg i forbindelse med samtykket og i den forbindelse lægger man i vurderingen efter de nye regler stor vægt på, at man ikke har betinget levering af en ydelse af et samtykke til behandling / brug af personoplysninger, som er udenfor kontekst / ikke er nødvendige for levering af ydelsen. 
 
Denne ændring må forventes at blive særligt mærkbar for de mange virksomheder, der betinger billige ydelser eller f.eks. deltagelse i en konkurrence af, at modtageren afgiver sine kontaktoplysninger til brug for fremtidig markedsføring.
 
En anden interessant ændring af samtykkereglerne vedrører børns samtykke ved brug af informationssamfundstjenester – det kunne f.eks. være sociale medier såsom instagram, facebook m.v. Det bliver med de nye regler ulovligt at behandle oplysninger om børn under 16 år i forbindelse med informationssamfundstjenester, medmindre man har indhentet samtykke fra forældremyndighedsindehaveren. (Der er dog mulighed for, at den enkelte medlemsstat i dens nationale lovgivning kan nedsætte grænsen til 13 år).
 

Krav om Data Protection Officer.

Med de nye regler indføres krav om, at der i visse virksomheder/organisationer udpeges en Data Protection Officer (DPO).
 
Kravet om udpegning af en DPO kommer til at gælde for alle offentlige myndigheder, samt for virksomheder, i det omfang virksomhedens kerneaktiviteter medfører regelmæssig og systematisk overvågning af registrerede og/eller behandling i stort omfang af følsomme oplysninger.
 
DPO’ en skal inddrages i alle spørgsmål vedr. beskyttelse af personoplysninger, skal have fornødne ressourcer tildelt, samt forestå overvågning, rådgivning m.v. i forhold til virksomhedens overholdelse af reglerne om persondata.
 
DPO’ en udpeges på grundlag af faglige kvalifikationer indenfor persondata og kan være en intern ansat eller en ekstern konsulent.
 

Ret til dataportabilitet

De nye regler indeholder bestemmelser om, at den, der har afgivet sine persondata på basis af samtykke og/eller til brug for en kontrakt, har krav på dataportabilitet.
 
Deri ligger, at den pågældende har krav på at få udleveret sine data i et almindeligt anvendt maskinlæsbart format, med henblik på flytning til en ny udbyder af en given tjeneste. - Det kunne være i forbindelse med skift af bank, forsikringsselskab, men også i forbindelse med sociale medier vedr. kontakter, vennelister m.v. 
 

Nye sikkerheds- og dokumentationskrav

De nye regler indeholder en lang række nye bestemmelser med udtrykkelige krav til dokumentation en virksomhed skal ligge inde med, så virksomheden kan vise, at den lever op til reglerne, herunder bl.a. ift. det datasikkerhedsmæssige.
 
Umiddelbart kan man tænke, at der på dette punkt at tale om væsentlige ændringer.
 
Man kan imidlertid omvendt sige, at selvom der på ingen måde i samme grad i de nugældende regler er fastsat en række udtrykkelige dokumentationskrav, så bør man allerede i dag kunne dokumentere, at man overholder reglerne, i tilfælde af at man udsættes for kontrol. - Ud fra den betragtning, er dokumentationskravene i de nye regler langt henad vejen ikke noget nyt.
 
Af nye regler vedr. sikkerhed og dokumentation, kan navnlig nævnes:
 

”Privacy by design” og ”privacy by default”

Der er talt en del om forordningens indførelse af begreberne ”privacy by design” og ”privacy by default”.
 
Disse to begreber er kryptisk defineret i forordningen og til dels sammenflydende, men indholdet af begreberne synes i det væsentligste blot at være en uddybning af det krav om proportionalitet, der allerede gælder efter persondataloven.  – Det vil sige en uddybning af princippet om, at man ikke må foretage behandling af persondata mere end, hvad er absolut nødvendigt ift. formålet.
 
 ”Privacy by design” går primært ud på, at systemer og det organisatoriske skal designes således, at mængden af data der indsamles, typen af data der behandles og omfanget af behandlingerne i øvrigt (herunder også, hvem der i organisationen har adgang til data), minimeres mest muligt ift. formålet. Der er dog i bestemmelsen en vis rum for rimelighed i forbindelse med implementering af princippet, idet implementeringsomkostningerne bl.a. er nævnt som en parameter i vurderingen af, hvilke tekniske/organisatoriske ændringer der skal til.
 
”Privacy by default” kan man sige primært går ud på, at systemer skal indrettes således, at systemernes standardindstillinger (default settings) medfører mindst mulig behandling af persondata, således at yderligere behandling af persondata under hensyn til formålet, kræver at brugeren aktivt foretager et valg (f.eks. ved at afkrydse et fluebensfelt i systemet).
 

Mere kontrol med databehandlere.

Overlader en virksomhed behandlingen af data til en udenforstående, f.eks. et hostingfirma, stilles der i forordningen yderligere krav til virksomhedens kontrol med denne databehandler, herunder også mere detaljerede krav til den databehandleraftale, der indgås i den forbindelse.
 
Aftalerne skal f.eks. indeholde en beskrivelse af behandlingen der overlades, de involverede data, de involverede personer, varigheden af databehandlingen, krav om fortrolighedsforpligtelse for databehandlerens medarbejdere m.v. 
 
Krav om fortegnelse over behandlingsaktiviteter
 
Efter de nye regler skal virksomheden føre fortegnelser over persondatabehandlingsaktiviteter under virksomhedens ansvar.
 
Disse fortegnelser skal bl.a. indeholde formålene med de enkelte behandlinger, beskrivelse af kategorierne af registrerede, kategorier af modtagere af oplysningerne og om muligt tekniske/organisatoriske sikkerhedsforanstaltninger.
 

Anmeldelseskrav

Efter de nye regler skal en virksomhed som udgangspunkt, såfremt der er brud på sikkerheden (f.eks. hvis virksomheden er blevet udsat for hackerangreb), senest 72 timer efter virksomheden er blevet bekendt hermed, anmelde forholdet overfor datatilsynet.
 

Krav om PIA

Efter de nye regler stilles der krav om udarbejdelse af en såkaldt Privacy Impact Assesment (PIA), når virksomheden iværksætter en type behandling, som, med forordningens ord, ”sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder”.
 
PIA’ en, eller på dansk konsekvensanalysen, skal indeholde en analyse af behandlingsaktiviteternes konsekvenser for beskyttelse af personoplysninger, herunder omhandlende f.eks. risikoen for spredning af oplysningerne, skade ved offentliggørelse, systemernes sikkerhed m.v.
 
Forordningen nævner blandt andet som eksempel på, at man har pligt til at lave en sådan konsekvensanalyse, at virksomheden foretager automatiseret personprofildannelse ift. en person, med henblik på at træffe beslutninger, der har retsvirkning for personen. – Et eksempel herpå kunne være gennemførelse af en personlighedstest i forbindelse med en ansættelsesprocedure.
 

Afslutningsvis – og et bud på, hvor fokus bør rettes hen

Reglerne er, når alt kommer til alt, langt henad vejen ikke grundlæggende anderledes end de eksisterende og i en virksomhed, der fuldt lever op til disse, bør fokus først og fremmest rettes mod opdatering af eksisterende aftale/informationstekster (navnlig i relation til samtykke, oplysningspligt og databehandleraftaler), udarbejdelse af fortegnelse over behandlingsaktiviteter og evt. Privacy Impact Assesments, evt. udpegning af DPO og opdatering af medarbejdernes kendskab til reglerne.
 
Den praktiske virkelighed er imidlertid nok, at også den nugældende persondatalov hos en del virksomheder har levet lidt i skyggen.
 
For disse virksomheder bør fokus først og fremmest rettes mod at få et klart billede af tingenes nuværende tilstand i virksomheden på persondataområdet, idet den der ikke kender sin egen position jo som bekendt famler i blinde. 
 
De spørgsmål man i den forbindelse som virksomhed evt. kunne starte med at stille sig selv og besvare, er følgende:
 

  • I hvilke dele af virksomheden indsamler/behandler man personoplysninger?
  •  
  • I forhold til de enkelte dele af organisationen bør man så dernæst stille og besvare spørgsmålene:
  •  
  • Hvilke personoplysninger indsamles/behandles?
  •  
  • Med hvilket formål indsamles/behandles personoplysningerne?
  •  
  • Hvor får virksomheden personoplysningerne fra?
  •  
  • Deler virksomheden personoplysningerne med nogen eksterne og hvis ja, med hvilket formål?
  •  
  • Hvor har virksomheden de forskellige personoplysninger liggende rent fysisk/elektronisk?
  •  
  • Sletter virksomheden nogensinde personoplysningerne, den lægger inde med og i givet fald, hvornår?

 
Når man har svar klar på disse spørgsmål, vil man være godt forberedt til at søge den professionelle rådgivning, der ofte er behov for, i den videre proces frem mod en efterlevelse af reglerne. 
 
Ved besvarelse af spørgsmålene skal man have for øje, at personoplysninger i reglernes forstand skal forstås meget bredt. – Er man i tvivl bør oplysningen betragtes som persondata, også selvom oplysningen kun kan henføres til en person ved samkøring med andre data, forudsat disse data ikke er umulige at få adgang til.
 

Kontakt Brockstedt-Kaalund

Spørgsmål til artiklens indhold kan rettes til advokat Søren Hedegaard Frederiksen ved Brockstedt-Kaalund på e-mail shf@bklaw.dk eller tlf. 61 22 26 58.

 

Icons made by SimpleIcon from www.flaticon.com is licensed by CC 3.0 BY
Icons made by Eleonor Wang from www.flaticon.com is licensed by CC 3.0 BY
Din direkte vej til ny juridisk viden – tryk her!
Ny viden og gode råd fra vores advokater

Tilmeld dig Brockstedt-Kaalunds nyhedsservice og modtag ny viden og GRATIS råd i forbindelse med forskellige juridiske problemstillinger inden for dit interesseområde; privat eller erhverv. Vi sender dig e-mails, når der er aktuelle nyheder, som kan være relevante for dig.

Din direkte vej til ny juridisk viden – tryk her!