Altinget logo
25. maj 2018 kl. 11.50

I dag begynder EU's datarevolution: Det betyder den for dig

NY LOV: En ny persondataforordning træder fredag i kraft i alle EU-lande. Som borger får du bedre kontrol over dine personlige data, men loven gør livet besværligt for virksomheder og myndigheder. Få overblik over de vigtigste ændringer.

Foto: Richard Drew/Ritzau Scanpix
Klaus Ulrik Mortensen

Klaus Ulrik Mortensen

Journalist

Et blik ud af kontorets solbeskinnede vindue antyder ikke, at der skulle være noget særligt ved fredag 25. maj 2018.

Flytter man derimod fokus til computerens voksende hob af mails fra perifert besøgte hjemmeside, der alle beder én bekræfte, at man fortsat ønsker at modtage nyhedsbreve fra dem, forstår man, at noget er under opsejling.

Og dette noget er EU's persondataforordning. Eller GDPR, som den engelske forkortelse lyder. Et digert stykke lovgivning bestående af 99 artikler og 173 indledende betragtninger, der blev fremsat af EU-Kommissionen i 2012.

Og som siden vedtagelsen i foråret 2016 blot har ventet på, at bemeldte majdag ville ankomme.

Fakta
EU’s databeskyttelsesforordning, GDPR, der afløser den danske persondatalov, udstyrer borgerne med rettigheder, som er tilpasset den digitale økonomi. Mange er velkendte, men med den nye lov er de blevet styrket, skærpet eller tydeliggjort. Fra 25. maj skal myndigheder og virksomheder, som håndterer borgeres og kunders data, være opmærksomme på følgende:

Borgere og kunder får nu:
  • Ret til at modtage oplysning om behandling af egne personlige data (oplysningspligten)
  • Ret til indsigt i egne personoplysninger
  • Ret til at få urigtige personoplysninger berigtiget
  • Ret til at få egne personoplysninger slettet (retten til at blive glemt)
  • Ret til indsigelse imod, at egne personoplysninger anvendes til markedsføring
  • Ret til indsigelse mod automatiske individuelle afgørelser, herunder profilering
  • Ret til at beskytte egne personoplysninger (dataportabilitet) fra ét socialt medie til et andet.

Kilde: Datatilsynet: ‘Forberedelser forud for EU’s databeskyttelsesforordning, 2017’

4 nye rettigheder til dig som borger
Hvad har vi så ventet på?

Databeskyttelsesloven er en massiv opdatering af den seneste lov fra 1995, som først og fremmest udmærker sig ved at styrke datasikkerheden for 250 millioner europæere.

Tanken er, at hverken virksomheder eller myndigheder ønsker at blive hængt ud for ikke at respektere borgernes privatliv, hvorfor en offentliggørelse af persondatakrænkelser kan skabe incitament til at overholde reglerne. Det må dog nok konstateres, at den afskrækkende effekt af denne "gabestok" har været begrænset og primært har været et forsøg på at skabe et vist incitament i mangel af mere effektive instrumenter.

Henrik Udsen
Professor, Københavns Universitet

Blandt de centrale ændringer er:

  • Ret til sletning ("retten til at blive glemt"):
    Forordningen forpligter den dataansvarlige - for eksempel en butik eller din tandlæge - til at slette oplysninger, hvis de ikke længere er nødvendige, eller hvis behandlingen af data er ulovlig eller sletningen lovpligtig. Retten til sletning kræver en proaktiv tilgang fra den dataansvarlige, der ikke kun skal reagere på henvendelser fra registrerede, men selv skal slette oplysningerne, hvis betingelserne er opfyldt.

  • Ret til dataportabilitet:
    Retten indebærer, at du kan gå til den virksomhed eller myndighed, som har data på dig, og bede om at få dem udleveret. Du skal kunne få dem overført i et struktureret format, som kan læses af en computer, så du kan gå et andet sted hen - for eksempel til en anden virksomhed - og anvende dine oplysningerne der. Det skal blandt andet styrke små entreprenørvirksomheder, hvis kunder får mulighed for at tage deres data med, når de vil skifte udbyder.

  • Beskyttelse af oplysninger skal være standard:
    Som noget nyt skal virksomheder og myndigheder fremover sikre, at de kun bruger og behandler de personoplysninger, som er nødvendige. Det vil sige, at de skal gennemføre tekniske og organisatoriske ændringer, så beskyttelse af personoplysninger bliver standardindstillingen, og at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformålet (mængde, omfang og periode).

  • Virksomheden får større ansvar for samtykke:
    Reglerne for samtykke bliver skærpet, så det nu er virksomheden eller myndigheden, der har bevisbyrden for, at samtykke er indhentet.

Nu skal du vide, hvad du skriver under på
Den nye regel om samtykke er også forklaringen på, at en lind strøm af mails fra Matas, Sportsmaster eller den lokale håndboldklub i disse dage tikker ind på danskernes telefoner.

Det er muligvis besværligt og uoverskueligt lige nu. Men det betyder også, at det fremover er slut med alenlange juridiske aftaler, som på uforståelig vis forklarer vilkårene for brugen af en given app.

Nu skal teksten gøres overskuelig, så virksomhederne kan anskueliggøre, at forbrugernes faktisk ved, hvad de har sagt ja til.

Her er de nye krav til virksomheder og myndigheder
Et af de krav, der har vakt størst bekymring i det danske erhvervsliv, er kravet om udnævnelsen af en databeskyttelsesrådgiver (DPO).

GDPR pålægger offentlige myndigheder og virksomheder, der behandler persondata som deres kerneaktivitet, at udpege en DPO. DPO'en skal involveres i alle spørgsmål om beskyttelse af personoplysninger.

Der stilles krav om en DPO i to tilfælde:

  • Når virksomhedens kerneaktivitet består i behandling af personoplysninger, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang.
  • Når virksomhedens kerneaktivitet består i behandling af følsomme oplysninger eller oplysninger om strafbare forhold i stort omfang.

Og det er dyrt for virksomhederne at leve op til kravene i GDPR. En analyse fra Dansk Erhverv viser, at de samlede udgifter for erhvervslivet forventes at være cirka otte milliarder kroner.

Men ifølge analysen er beløbet formentlig langt i underkanten. Der er fortsat mange virksomheder, der endnu ikke har opdaget, hvor omfattende de nye krav er og ikke er blevet klar til at overholde dem. De risikerer dels store bøder. Og dels yderligere udgifter ud over hvad de på nuværende tidspunkt er klar over.

Risiko for langt større bøder
Det bringer os frem til forordningens største nyskabelse: Nemlig truslen om at kunne sanktionere virksomheder og myndigheder med bøder på et væsentligt højere niveau end hidtil.

Bødeniveauet er fastsat op til 10 millioner euro eller op til 2 procent af virksomhedens globale årlige omsætning afhængigt af overtrædelsens art. Når det drejer sig om overholdelse af behandlingsprincipperne og datasubjektets datarettigheder, kan der pålægges op til 20 millioner euro eller 4 procent af global, årlig omsætning.

I Danmark kan offentlige myndigheder kun pålægges bøder på op til 4 procent af deres driftsbevilling. Dog med en øvre grænse på 16 millioner danske kroner.

Bødestraf er således det stærkeste våben i det arsenal af sanktioner, som Datatilsynet er udstyret med.

Her er sanktionerne, hvis data behandles ulovligt
I bogen Eksponeret, som netop er udkommet på Gads Forlag, rangordner professor i informationsret ved Københavns Universitet Henrik Udsen Datatilsynets værktøjer.

Her følger et udsnit af beføjelserne ved ulovlig behandling af persondata (de svageste sanktioner står øverst på listen):

  • At udstede en advarsel om, at planlagte behandlingsaktiviteter sandsynligvis vil være i strid med forordningen
  • At udtale kritik, hvis behandlingsaktiviteter har været i strid med forordningen
  • At give den dataansvarlige eller databehandleren påbud om at lovliggøre en ulovlig behandling
  • At give påbud om berigtigelse eller sletning af personoplysninger
  • At pålægge den dataansvarlige eller databehandleren en administrativ bøde

Gabestokken var ikke afskrækkende nok
Muligheden for at udtale kritik er en meget mild sanktion, der næppe giver noget særligt incitament til at overholde reglerne. Det danske datatilsyn har gennem mange år offentliggjort afgørelser om ulovlig behandling med tilhørende kritik på tilsynets hjemmeside," skriver Henrik Udsen og fortsætter:

"Tanken er, at hverken virksomheder eller myndigheder ønsker at blive hængt ud for ikke at respektere borgernes privatliv, hvorfor en offentliggørelse af persondatakrænkelser kan skabe incitament til at overholde reglerne. Det må dog nok konstateres, at den afskrækkende effekt af denne "gabestok" har været begrænset og primært har været et forsøg på at skabe et vist incitament i mangel af mere effektive instrumenter."

Henrik Udsen var del af en ekspertgruppe, som rådgav Justitsministeriet under vedtagelsen af den europæiske databeskyttelsesforordning. Han vurderer, at udsigten til bødestraf udgør det stærkeste enkeltstående element i GDPR.

"Det er i høj grad et effektivt bødesystem, der skaber incitament til at overholde de persondataretlige regler. Dette illustreres meget tydeligt af det fokus, der er kommet på at overholde reglerne efter vedtagelsen af forordningen, der lægger op til markant højere bødeniveau end hidtil anvendt i Danmark," skriver han.

Dokumentation

Her er en oversigt over ændringer og nyskabelser i GDPR:

Ændringer

  • Kategorier af persondata: Forordningen præciserer, at lokaliseringsdata (metadata), genetiske data, biometriske data og IP-adresser er personoplysninger.
  • Udvidet territorialt anvendelsesområde: Forordningen gælder for alle virksomheder, der "effektivt og faktisk" udøver aktiviteter i EU. Uanset om det for eksempel er en filial eller et datterselskab.
  • De registreredes rettigheder: Forordningen styrker blandt andet indsigtsretten og indfører nye regler om dataportabilitet og en udvidet ret til sletning ("retten til at blive glemt").
  • Skærpede regler om samtykke: Forordningen skærper kravene til samtykke. Det er nu, virksomheden eller myndigheden (den dataansvarlige), der har bevisbyrden for, at samtykke er indhentet.

Store ændringer

  • Dokumentationskrav: Forordningen indebærer, at den dataansvarlige skal udvise ansvarlighed samt gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og være i stand til at påvise, at behandling er i overensstemmelse med forordningen. Forordningen pålægger derudover virksomheder med over 250 ansatte og myndigheder at føre fortegnelser over behandlingsaktiviteter under deres ansvar.

Nyskabelser

  • "Privacy by design" og "privacy by default": Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun nødvendige personoplysninger behandles, og at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformålet (mængde, omfang og periode).
  • Krav til databehandlere: Databehandlere pålægges et egentligt selvstændigt ansvar. Databehandlere er de virksomheder eller myndigheder, der behandler personoplysninger på en andens vegne.
  • Notifikationspligt ved sikkerhedsbrud: I tilfælde af brud på persondatasikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring eller ubeføjet adgang til personoplysninger, skal tilsynsmyndigheden informeres inden for 72 timer.
  • Konsekvensanalyse: Efter forordningen skal der foretages en konsekvensanalyse, hvis behandlingen, navnlig ved brug af ny teknologi og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for personers rettigheder og frihedsrettigheder. I mange tilfælde vil konsekvensanalysen være en forudsætning for at vurdere det aktuelle risikoniveau.
  • Databeskyttelsesrådgiver (DPO): Forordningen pålægger offentlige myndigheder og virksomheder, der behandler persondata som deres kerneaktivitet, at udpege en databeskyttelsesrådgiver (DPO). DPO'en skal involveres i alle spørgsmål om beskyttelse af personoplysninger.
  • Overførsel til tredjelande: På baggrund af godkendte adfærdskodekser og certificeringer giver forordningen nye muligheder for overførsel af personoplysninger til tredjelande.
  • Bøder: Overtrædelser af forordningen kan sanktioneres med bøder på et væsentligt højere niveau end hidtil. Bødeniveauet er fastsat op til 10 millioner euro eller op til 2 procent af virksomhedens globale årlige omsætning, afhængigt af overtrædelsens art. Når det drejer sig om overholdelse af behandlingsprincipperne og datasubjektets datarettigheder, kan der pålægges op til 20 millioner euro eller 4 procent af global årlig omsætning. I Danmark kan offentlige myndigheder kun pålægges bøder på op til 4 procent af deres driftsbevilling, dog med en øvre grænse på 16 millioner DKK.

Kilde: Folketinget


Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Omtalte personer

Henrik Udsen

Professor i it-ret, Center for Informations- og innovationsret, Københavns Universitet, formand, DK Hostmaster, næstformand, Datarådet
dr.jur., (Københavns Uni. 2000)
Klaus Ulrik Mortensen

Klaus Ulrik Mortensen

Journalist[email protected]
Kalundborg Kommune søger en ambitiøs og erfaren afdelingsleder til Anlæg og Projekt
Kalundborg Kommune søger en ambitiøs og erfaren afdelingsleder til Anlæg og Projekt
AdresseNordvestsjællandkalender13. maj
Aage V. Jensen Naturfond søger en erfaren økonomichef
Aage V. Jensen Naturfond søger en erfaren økonomichef
AdresseHovedstadenkalender12. maj
DIREKTØR - Forbrugerrådet Tænk
DIREKTØR - Forbrugerrådet Tænk
AdresseHovedstadenkalender15. majGenitor
Institutleder til Institut for Design, Medier og Uddannelsesvidenskab
Institutleder til Institut for Design, Medier og Uddannelsesvidenskab
AdresseSyddanmarkkalender21. majSignatur
Direktør i AskovFondens Socialpsykiatri
Direktør i AskovFondens Socialpsykiatri
AdresseHovedstadenkalender13. maj
INSTITUTLEDER PÅ AAU BUSINESS SCHOOL - Aalborg Universitet
INSTITUTLEDER PÅ AAU BUSINESS SCHOOL - Aalborg Universitet
AdresseNordjyllandkalender2. juniGenitor
Miljøstyrelsen søger kontorchef til Arter og Naturbeskyttelse
Miljøstyrelsen søger kontorchef til Arter og Naturbeskyttelse
AdresseHovedstadenkalender15. maj
Project Relation Manager til energiø Bornholms el-infrastruktur
Project Relation Manager til energiø Bornholms el-infrastruktur
AdresseHovedstadenkalender7. maj
Spiras søger politisk sekretær
Spiras søger politisk sekretær
AdresseSyddanmarkkalender29. april
ADMINISTRERENDE DIREKTØR - Kalundborg Forsyning
ADMINISTRERENDE DIREKTØR - Kalundborg Forsyning
AdresseNordvestsjællandkalender7. majGenitor
CEO for Rejsekort & Rejseplan A/S
CEO for Rejsekort & Rejseplan A/S
AdresseHovedstaden
Afdelingschef til Sundhedsdatastyrelsen
Afdelingschef til Sundhedsdatastyrelsen
AdresseHovedstadenkalender13. maj
Ringsted Krisecenter I/S søger leder
Ringsted Krisecenter I/S søger leder
AdresseSjællandkalender10. maj
Medicinrådets sekretariat søger en afdelingsleder til Strategi og kommunikation
Medicinrådets sekretariat søger en afdelingsleder til Strategi og kommunikation
AdresseHovedstadenkalender12. maj
AFDELINGSLEDER FOR HR OG KOMMUNIKATION - Ringkøbing-Skjern Kommune
AFDELINGSLEDER FOR HR OG KOMMUNIKATION - Ringkøbing-Skjern Kommune
AdresseMidtjyllandkalender26. majGenitor
Sekretariatschef for Snedkernes uddannelser
Sekretariatschef for Snedkernes uddannelser
AdresseHovedstadenkalender10. maj
Souschef til Kontor for MitID Erhverv og digitale serviceområder
Souschef til Kontor for MitID Erhverv og digitale serviceområder
AdresseHovedstadenkalender3. maj
Sparta Atletik & Løb søger en dynamisk og erfaren kommerciel chef
Sparta Atletik & Løb søger en dynamisk og erfaren kommerciel chef
AdresseHovedstadenkalender5. maj
Kontorchef til Minister- og Ledelsessekretariatet i Beskæftigelsesministeriets departement
Kontorchef til Minister- og Ledelsessekretariatet i Beskæftigelsesministeriets departement
AdresseHovedstadenkalender28. aprilSignatur
STUDENT TIL DANMARKSDEMOKRATERNES POLITISKE AFDELING
STUDENT TIL DANMARKSDEMOKRATERNES POLITISKE AFDELING
AdresseHovedstadenkalender28. april
Kontorchef for presse- og kommunikation til Miljøministeriets departement
Kontorchef for presse- og kommunikation til Miljøministeriets departement
AdresseHovedstadenkalender1. maj
Administrerende sygehusdirektør Esbjerg Grindsted Sygehus
Administrerende sygehusdirektør Esbjerg Grindsted Sygehus
AdresseEsbjergkalender2. maj
Vicedirektør til Center for Ejendomme
Vicedirektør til Center for Ejendomme
AdresseHovedstadenkalender1. maj
Styrelsesdirektør til Gældsstyrelsen
Styrelsesdirektør til Gældsstyrelsen
AdresseFynkalender30. april
Direktør til Campus Bornholm
Direktør til Campus Bornholm
AdresseHovedstadenkalender5. majmuusmann
Er du vores nye OBU-Uddannelsesleder
Er du vores nye OBU-Uddannelsesleder
AdresseHovedstadenkalender28. april
Direktør for Børn, Sundhed og Velfærd - Genopslag
Direktør for Børn, Sundhed og Velfærd - Genopslag
AdresseHovedstadenkalender1. maj
POLITISK RÅDGIVER - BUPL
POLITISK RÅDGIVER - BUPL
AdresseHovedstadenkalender12. majGenitor
Institutleder ved Institut for Fødevare- og Ressourceøkonomi
Institutleder ved Institut for Fødevare- og Ressourceøkonomi
AdresseHovedstadenkalender6. maj
Seneste
0:000:00

København | Stockholm | Oslo | Bruxelles
Politik har aldrig været vigtigere
Ny Kongensgade 10
1472 København K
Tlf. 33 34 35 40
[email protected]

CVR nr.: 29624453
ISSN: 2597-0127
Ansv. chefredaktør
Jakob Nielsen

Direktør
Christoph Nørgaard

CFO
Anders Jørning

Kommerciel direktør
Michael Thomsen

Formand og udgiver
Rasmus Nielsen
Copyright © Altinget, 2024