I dag begynder EU's datarevolution: Det betyder den for dig

NY LOV: En ny persondataforordning træder fredag i kraft i alle EU-lande. Som borger får du bedre kontrol over dine personlige data, men loven gør livet besværligt for virksomheder og myndigheder. Få overblik over de vigtigste ændringer.

Et blik ud af kontorets solbeskinnede vindue antyder ikke, at der skulle være noget særligt ved fredag 25. maj 2018.

Flytter man derimod fokus til computerens voksende hob af mails fra perifert besøgte hjemmeside, der alle beder én bekræfte, at man fortsat ønsker at modtage nyhedsbreve fra dem, forstår man, at noget er under opsejling.

Og dette noget er EU's persondataforordning. Eller GDPR, som den engelske forkortelse lyder. Et digert stykke lovgivning bestående af 99 artikler og 173 indledende betragtninger, der blev fremsat af EU-Kommissionen i 2012.

Og som siden vedtagelsen i foråret 2016 blot har ventet på, at bemeldte majdag ville ankomme.

4 nye rettigheder til dig som borger
Hvad har vi så ventet på?

Databeskyttelsesloven er en massiv opdatering af den seneste lov fra 1995, som først og fremmest udmærker sig ved at styrke datasikkerheden for 250 millioner europæere.

Blandt de centrale ændringer er:

  • Ret til sletning ("retten til at blive glemt"):
    Forordningen forpligter den dataansvarlige - for eksempel en butik eller din tandlæge - til at slette oplysninger, hvis de ikke længere er nødvendige, eller hvis behandlingen af data er ulovlig eller sletningen lovpligtig. Retten til sletning kræver en proaktiv tilgang fra den dataansvarlige, der ikke kun skal reagere på henvendelser fra registrerede, men selv skal slette oplysningerne, hvis betingelserne er opfyldt.

  • Ret til dataportabilitet:
    Retten indebærer, at du kan gå til den virksomhed eller myndighed, som har data på dig, og bede om at få dem udleveret. Du skal kunne få dem overført i et struktureret format, som kan læses af en computer, så du kan gå et andet sted hen - for eksempel til en anden virksomhed - og anvende dine oplysningerne der. Det skal blandt andet styrke små entreprenørvirksomheder, hvis kunder får mulighed for at tage deres data med, når de vil skifte udbyder.

  • Beskyttelse af oplysninger skal være standard:
    Som noget nyt skal virksomheder og myndigheder fremover sikre, at de kun bruger og behandler de personoplysninger, som er nødvendige. Det vil sige, at de skal gennemføre tekniske og organisatoriske ændringer, så beskyttelse af personoplysninger bliver standardindstillingen, og at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformålet (mængde, omfang og periode).

  • Virksomheden får større ansvar for samtykke:
    Reglerne for samtykke bliver skærpet, så det nu er virksomheden eller myndigheden, der har bevisbyrden for, at samtykke er indhentet.

Nu skal du vide, hvad du skriver under på
Den nye regel om samtykke er også forklaringen på, at en lind strøm af mails fra Matas, Sportsmaster eller den lokale håndboldklub i disse dage tikker ind på danskernes telefoner.

Det er muligvis besværligt og uoverskueligt lige nu. Men det betyder også, at det fremover er slut med alenlange juridiske aftaler, som på uforståelig vis forklarer vilkårene for brugen af en given app.

Nu skal teksten gøres overskuelig, så virksomhederne kan anskueliggøre, at forbrugernes faktisk ved, hvad de har sagt ja til.

Her er de nye krav til virksomheder og myndigheder
Et af de krav, der har vakt størst bekymring i det danske erhvervsliv, er kravet om udnævnelsen af en databeskyttelsesrådgiver (DPO).

GDPR pålægger offentlige myndigheder og virksomheder, der behandler persondata som deres kerneaktivitet, at udpege en DPO. DPO'en skal involveres i alle spørgsmål om beskyttelse af personoplysninger.

Der stilles krav om en DPO i to tilfælde:

  • Når virksomhedens kerneaktivitet består i behandling af personoplysninger, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang.
  • Når virksomhedens kerneaktivitet består i behandling af følsomme oplysninger eller oplysninger om strafbare forhold i stort omfang.

Og det er dyrt for virksomhederne at leve op til kravene i GDPR. En analyse fra Dansk Erhverv viser, at de samlede udgifter for erhvervslivet forventes at være cirka otte milliarder kroner.

Men ifølge analysen er beløbet formentlig langt i underkanten. Der er fortsat mange virksomheder, der endnu ikke har opdaget, hvor omfattende de nye krav er og ikke er blevet klar til at overholde dem. De risikerer dels store bøder. Og dels yderligere udgifter ud over hvad de på nuværende tidspunkt er klar over.

Risiko for langt større bøder
Det bringer os frem til forordningens største nyskabelse: Nemlig truslen om at kunne sanktionere virksomheder og myndigheder med bøder på et væsentligt højere niveau end hidtil.

Bødeniveauet er fastsat op til 10 millioner euro eller op til 2 procent af virksomhedens globale årlige omsætning afhængigt af overtrædelsens art. Når det drejer sig om overholdelse af behandlingsprincipperne og datasubjektets datarettigheder, kan der pålægges op til 20 millioner euro eller 4 procent af global, årlig omsætning.

I Danmark kan offentlige myndigheder kun pålægges bøder på op til 4 procent af deres driftsbevilling. Dog med en øvre grænse på 16 millioner danske kroner.

Bødestraf er således det stærkeste våben i det arsenal af sanktioner, som Datatilsynet er udstyret med.

Her er sanktionerne, hvis data behandles ulovligt
I bogen Eksponeret, som netop er udkommet på Gads Forlag, rangordner professor i informationsret ved Københavns Universitet Henrik Udsen Datatilsynets værktøjer.

Her følger et udsnit af beføjelserne ved ulovlig behandling af persondata (de svageste sanktioner står øverst på listen):

  • At udstede en advarsel om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med forordningen
  • At udtale kritik, hvis behandlingsaktiviteter har været i strid med forordningen
  • At give den dataansvarlige eller databehandleren påbud om at lovliggøre en ulovlig behandling
  • At give påbud om berigtigelse eller sletning af personoplysninger
  • At pålægge den dataansvarlige eller databehandleren en administrativ bøde

Gabestokken var ikke afskrækkende nok
Muligheden for at udtale kritik er en meget mild sanktion, der næppe giver noget særligt incitament til at overholde reglerne. Det danske datatilsyn har gennem mange år offentliggjort afgørelser om ulovlig behandling med tilhørende kritik på tilsynets hjemmeside," skriver Henrik Udsen og fortsætter:

"Tanken er, at hverken virksomheder eller myndigheder ønsker at blive hængt ud for ikke at respektere borgernes privatliv, hvorfor en offentliggørelse af persondatakrænkelser kan skabe incitament til at overholde reglerne. Det må dog nok konstateres, at den afskrækkende effekt af denne "gabestok" har været begrænset og primært har været et forsøg på at skabe et vist incitament i mangel af mere effektive instrumenter."

Henrik Udsen var del af en ekspertgruppe, som rådgav Justitsministeriet under vedtagelsen af den europæiske databeskyttelsesforordning. Han vurderer, at udsigten til bødestraf udgør det stærkeste enkeltstående element i GDPR.

"Det er i høj grad et effektivt bødesystem, der skaber incitament til at overholde de persondataretlige regler. Dette illustreres meget tydeligt af det fokus, der er kommet på at overholde reglerne efter vedtagelsen af forordningen, der lægger op til markant højere bødeniveau end hidtil anvendt i Danmark," skriver han.

Forrige artikel "Urørt skov er pludselig blevet det nye sort" Næste artikel Flertal i København vil blande børn mere i skoler og børnehaver   Flertal i København vil blande børn mere i skoler og børnehaver  
Manglende svar fra regeringen forstærker presset på dansk økonomi

Manglende svar fra regeringen forstærker presset på dansk økonomi

CORONA: Uklarhed om, hvad der skal til, før samfundet genåbnes, forværrer den onde cirkel, dansk økonomi er på vej ind i. Det vurderer overvismand Carl-Johan Dalgaard. Samtidig stiller økonomiprofessor Mogens Fosgerau spørgsmål ved, om nedlukningen af Danmark er sundhedsfagligt begrundet.