EU’s persondataforordning: et nyt konkurrenceparameter
Dato: jul 3. 2017
af: Johannus Egholm Hansen, advokat
Zenegy
EU’s persondataforordning: et nyt konkurrenceparameter

Zenegy

EU’s persondataforordning: et nyt konkurrenceparameter

Der har været travlt i rådgiverbranchen de seneste mange måneder. Travlt med at fortælle virksomheder om de udfordringer, som følger med, når EU’s nye persondataforordning træder i kraft den 25. maj 2018. Men kommer de nye regler kun hånd i hånd med nye udfordringer? Eller kan de i virkeligheden bruges som et nyt succeskriterie? Det får du svaret på lidt længere nede – lad os først se lidt nærmere på, hvad persondata egentlig er og kan bruges til.

 

Hvad er persondata?

Begrebet ”persondata” dækker over en hel del oplysninger, som vi normalt ikke ville tænke på som decideret persondata. Det gælder eksempelvis noget så banalt som kontaktoplysninger til en kontaktperson hos en virksomhed – altså navn, telefonnummer, e-mail, adresse, fødselsdag, IP-adresser m.v. Det gælder også mere følsomme informationer som religion, sundhed, seksuel orientering, politisk overbevisning og fagforeningsforhold. Og så gælder det også de biometriske oplysninger som fx det fingeraftryk, der bruges i sikkerhedssystemer til at opnå adgang til et bestemt lokale, en telefon, en app osv. Faktisk kan alle de oplysninger, som er egnede til at identificere en persons identitet, betragtes som persondata – og er dermed omfattet af persondatareglerne.

 

Hvad er persondatareglernes formål?

Formålet med persondatareglerne består af flere forskellige dele. De skal bl.a. sikre, at indsamling, behandling og opbevaring af persondata kun sker i det omfang, som er nødvendigt for, at databehandleren kan udføre den funktion, som oplysningerne skal bruges til. Reglerne skal også sikre, at de indsamlede oplysninger ikke bruges til andre formål end det, de er indsamlet til – medmindre den person, som oplysningerne vedrører, har givet et klart og oplyst samtykke til anden brug. Til sidst skal reglerne også sikre, at persondata ikke videregives til andre uden den berørte persons accept.

Det sidste kan godt byde på nogle udfordringer i nutidens cloudbaserede softwaresystemer med åbne API’er, apps og andre interfaces. Her kan der nemlig sagtens ske en videregivelse af persondata både inden for og uden for EU, uden at den virksomhed, som ligger inde med dataene, har godkendt det. Det kan fx ske, hvis den berørte person har installeret en app, der kan kommunikere med en anden virksomheds softwaresystem via et åbent API.

 

Hvor gælder persondatareglerne?

EU’s persondataforordning kommer til at gælde for alle, der tilbyder produkter og tjenesteydelser til borgere i EU samt for alle, der behandler data om EU-borgere.

I globale virksomheder (herunder software, der markedsføres globalt) vil indsamling, behandling og opbevaring af data inden for EU-landene kunne ske frit, så længe man overholder EU persondataforordningen, mens der vil være nogle særlige begrænsninger og sikkerhedskrav, så snart persondata overføres til behandling uden for EU, eksempelvis hvis en softwarevirksomhed bruger datacentre som ligger udenfor EU.

 

Hvilke krav vil kunne påvirke softwaredesignet?

  • Personer har ret til at få at vide, hvilke persondata, der indsamles, behandles og opbevares vedrørende dem. De har også ret til at rette fejl og unøjagtigheder, kræve sletning af alle deres persondata (også kendt som retten til at blive glemt), og så kan de også kræve at få overført deres persondata i et læsbart format (dataportabilitet), fx hvis de ønsker at skifte fra én serviceudbyder til en anden inden for det samme område.
  • Personer skal også have retten til opt-in eller opt-out i forhold til dataindsamling om dem, og hvor det kræves, at systemernes default-position skal være opt-out (privacy by default). Softwareudviklere bør derfor overveje features, hvor brugeren selv kan gå ind og hente deres data og selv rette, slette og overføre dem. Det stiller også krav om en klar og hensigtsmæssig måde at opbevare data, så der er garanti for, at der ikke vil være en kopi af disse i en anden applikation, hvis de først bliver slettet i systemet (bortset fra de data, der måtte ligge på backup-discs, hvor der kan være særlige undtagelser).
  • Der stilles fremover strengere krav til både den tekniske og organisatoriske datasikkerhed, ligesom der skal være procedurer for underretning til berørte personer ved tab af data eller datalækager. Der skal også være procedurer for lukning af et ”data-breach” og for underretning til Datatilsynet inden 72 timer efter en sådan hændelse og snarest muligt derefter også til de berørte personer.
  • Databehandlere, som hidtil kun har været ansvarlige ifølge den indgåede databehandleraftale, skal fremover leve op til samme krav som den dataansvarlige. De skal i øvrigt være i stand til at assistere den dataansvarlige med dokumentation for overholdelse af persondatareglerne.
  • Da den dataansvarlige skal kunne dokumentere ”compliance” med de nye regler, er der nye og skærpede krav til dokumentationen gennem tracking/logging og til kontrol af data.

Alt i alt, så kan den nye persondataregulering virke en smule kompleks. Derfor arbejdes der både på EU- og nationalt plan for at udarbejde vejledninger og retningslinjer, der skal hjælpe virksomheder med at forstå og implementere reglerne. Det danske Justitsministerium offentliggjorde i maj 2017 en betænkning om persondataforordningen (betænkning nr. 1565) og en liste over de vejledninger, som vil blive udgivet i løbet af 2017 (se http://justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2017/plan_for_vejledninger_om_forordningen.pdf ), ligesom Datatilsynet løbende arbejder på udgivelse af praktiske vejledninger på området.

 

Vejen til bøder eller succes?

I de fleste tilfælde bliver persondatareglerne af rådgiverbranchen præsenteret som en kompliceret og uoverskuelig compliance-risiko, der vil kunne udløse meget store bøder til virksomhederne, hvis reglerne ikke overholdes til punkt og prikke. Kun de færreste vælger at se på persondatareglerne som en forretningsmulighed og et potentielt konkurrenceparameter for virksomhederne.

I iværksættermiljøet, hvor der bl.a. er mange softwareudviklingsvirksomheder, er der en tendens til, at man ikke har gjort sig det klart, hvad persondata egentlig er, og hvordan persondata håndteres. Derfor kommer det heller ikke som nogen stor overraskelse, at mange små og mellemstore virksomheder i Danmark slet ikke er bekendt med de særlige krav, der er til både indsamling, behandling og opbevaring af persondata. En stor del af dem, har derfor heller ikke brugt ressourcer på at sætte sig ind i, hvilke yderligere krav de nu skal leve op til ifølge EU’s persondataforordning. Og det betyder, at nogle af virksomhederne vil komme galt afsted. De vil nemlig tilsigtet eller utilsigtet komme til at overtræde EU’s persondataregler og derfor pådrage sig bøder.

Andre iværksættervirksomheder vil derimod finde ud af, at det kan være et ganske slagkraftigt konkurrenceparameter at kunne dokumentere, at man har styr på persondata og overholder de gældende regler. Især for virksomheder, der enten samarbejder med eller tilbyder deres service til samarbejdspartnere inden for stærkt regulerede forretningsområder vil kunne drage fordel af dette. For fx banker, forsikringsselskaber, advokater og revisorer vil det være et afgørende krav, at deres samarbejdspartnere lever op til EU’s persondataforordning. Og ikke mindst, at de kan dokumentere det.

 

Hvad så nu?

Uanset om man som virksomhed kun ønsker at gøre det absolutte minimum, der kræves for at undgå bøder, eller om man gerne vil bruge persondatareglerne som en forretningsmulighed, så er det nødvendigt at sætte sig ind i, hvad reglerne går ud på. Man er nødt til at kende deres formål og vide, hvilke af dem der er relevante for både ens egen og ens kunders aktivitet. Og herefter er man nødt til at indrette sin organisation og sit produkt efter de gældende krav. Det gælder især for virksomheder, der udvikler software, hvor persondata indgår. EU’s persondataforordning stiller nemlig også krav, som har betydning for den måde, softwaresystemet designes på – og derfor er det altså nødvendigt allerede i programmeringsfasen at tænke persondata ind i sit design.

I lyset af de nye persondataregler bør virksomheder altså først og fremmest foretage en kortlægning af, hvilke data de indsamler, hvilke persondata de har brug for at indsamle, hvad dataene bruges til, hvor de opbevares og om de tilsigtet eller utilsigtet videregives. Det gælder også for virksomheder, der udvikler cloudbaserede softwareapplikationer, der i et vist omfang indsamler, behandler og/eller opbevarer persondata. Dernæst bør man nøje overveje, om ens samarbejdspartnere også overholder EU’s persondataforordning. Sørger de fx for, at persondata ikke videregives til parter uden for EU uden personernes accept? Det gælder alt fra aftaler med datacentre om serverkapacitet til data-processing og -opbevaring, e-mailservere, udbydere af betalingsløsere eller andre associerede ydelser forbundet med gennemførelse af betalinger m.v.

Det er også vigtigt, at virksomheder nøje gennemtænker det samtykke, som de ønsker, at personer, hvis data indsamles, behandles og opbevares, skal give. Det er nemlig noget mere vanskeligt at ændre på et samtykke, når der er kommet 100.000 brugere på et system, end hvis det sker, når virksomheden er i sin opstart.

Ovenstående er på ingen måde en udtømmende opremsning af de udfordringer og de overvejelser, som virksomheder står overfor, når den nye persondataforordning fra EU træder i kraft. Derfor anbefaler vi, at man søger rådgivning hos relevante rådgivere, der kan bistå med implementeringen af de nye regler i virksomhedens grundlæggende tankesæt, forretningsgange og politikker.

Vil du modtage artikler og nyheder direkte i din indbakke?