Hvad er det vigtigste i de nye regler om persondatabeskyttelse?

I denne artikel fortæller manager i PwC, Lena Andersen om nogle af de vigtigste nyheder i de nye persondataregler, der træder i kraft i 2018.

Af Henrik Carmel, Fagkonsulent, FSR – danske revisorer

Hvorfor er der pludselig så stor interesse for persondataregler og så meget snak om den nye forordning?

Vi har haft regler for persondatabeskyttelse længe, og vi har Datatilsynet, der holder øje med, om reglerne bliver overholdt. Det gældende direktiv er fra 1995, og persondatalovgivningen har eksisteret længe. Når interessen er så stor for persondataforordningen, der træder i kraft næste år, er det, dels fordi der kommer nogle nye, helt konkrete bestemmelser med blandt andet krav til øget dokumentation, for at reglerne bliver overholdt, og dels fordi der i fremtiden vil blive fulgt meget mere op på, om virksomhederne overholder reglerne. Bøderne for overtrædelse af reglerne kan være på op mod fire procent af omsætningen, og det er bødeniveauer, der normalt kun ses inden for konkurrenceretten.

Lovforslag fremlagt

Den gældende lovgivning inden for persondata bygger på et EU-direktiv fra 1995. Nu får vi en forordning, der indebærer, at nye regler træder i kraft den 25. maj 2018. I modsætning til et direktiv er udgangspunktet i en forordning, at den ikke skal implementeres i national lovgivning, men bare gælder i sig.

Persondataforordningen indeholder imidlertid så mange muligheder for nationale regler og undtagelser, at det er op til lovgiverne i hvert enkelt land, hvordan en række af de konkrete regler skal omformes. Dermed ligner forordningen nærmest et direktiv. I Danmark har Justitsministeriet udsendt en betænkning, og før sommerferien blev der fremlagt et udkast til forslag til ny lov. SIGNATUR har talt med manager i PwC Lena Andersen om de nye regler. Før sin ansættelse i revisionsbranchen har hun været i Datatilsynet, hvorfor hun nøje har fulgt udviklingen i reglerne på områderne.

Krav til dokumentation

Hvilket krav til dokumentation er vigtigst set med virksomhedernes øjne?

”Virksomhederne skal i fremtiden kunne dokumentere, at de overholder lovgivningen. Man får brug for procedurer, der dels sikrer, at man håndterer forordningens krav korrekt og dels gør det muligt at dokumentere, hvad man har gjort. Det kan eksempelvis være i forbindelse med en klage eller et tilsyn fra Datatilsynet, at man kan få brug for at fremlægge procedurer eller anden dokumentation for, at man lever op til forordningen; eksempelvis at man har tilstrækkelig datasikkerhed, eller at man lever op til kravene om håndtering af sikkerhedsbrud. Der vil også kunne være behov for at fremlægge en samtykkeerklæring, der er grundlaget for databehandlingen, eller de informationer, man har givet til for eksempel en kunde eller medarbejder.

Virksomheden skal fremover føre fortegnelser over de behandlingsaktiviteter med persondata, som virksomheden er dataansvarlig for. Det kan for eksempel være en fortegnelse vedrørende personoplysninger i forbindelse med HR-området og en fortegnelse vedrørende kundeadministration. Hvis virksomheden foretager databehandling på vegne af andre og altså er databehandler, skal virksomhedens fortegnelser beskrive de kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig.

Der er metodefrihed for, hvordan man vil leve op til kravet om fortegnelser. Det vigtigste er at få indsamlet og registreret de oplysninger, forordningen kræver. Der kan også være dokumentation for behandlingssikkerheden; de sikkerhedsforanstaltninger virksomheden har valgt for at imødegå de risici, den har identificeret ved sin risikovurdering. Virksomheden skal også kunne påvise, at den lever op til forordningens krav til håndtering af eventuelle sikkerhedsbrud og har derfor behov for procedurer for, hvad man skal gøre, hvis der opstår et brud. For her skal man jo være i stand til at efterleve anmeldelsespligten til Datatilsynet inden 72 timer og afklare, om der skal sendes underretning til de berørte personer. I nogle tilfælde skal virksomheden også lave en konsekvensanalyse vedrørende databeskyttelsen af sikkerheden – en såkaldt Data Protection Impact Assessment (DPIA),” siger Lena Andersen.

Og så er det vel også nyt, at man får nogle rettigheder, hvis man har afgivet personoplysninger til behandling?

”Allerede i dag har man rettigheder. De lever videre og udvides, så man fremover skal give flere informationer, følge nye svarfrister og anvende klart og enkelt sprog. Og så kommer der nye rettigheder til, blandt andet retten til dataportabilitet. Her kan en registreret person i visse tilfælde stille krav til, at oplysninger, som virksomheden har fået fra personen selv, overføres til en anden virksomhed – og så skal man jo kunne håndtere det,” forklarer Lena Andersen.  

Skal man have en Data Protection Officer?

Forordningen taler om en Data Protection Officer (DPO), men hvilke virksomheder skal have sådan en?

”Alle offentlige myndigheder skal have en DPO eller en ”databeskyttelsesrådgiver”, som det hedder i den danske tekst. I den private sektor er det kun en mindre del af de private virksomheder, der skal have en DPO. Virksomheden skal overveje, om den skal udpege en DPO, hvis den som en kerneaktivitet – og i stort omfang – håndterer helbredsoplysninger eller andre oplysninger af særlig kategori eller foretager systematisk overvågning af registrerede. Men selv om en virksomhed ikke skal udpege en DPO, bør den organisere arbejdet med at sikre efterlevelsen af databeskyttelsesreglerne. Et godt sted at starte kan være med en generel databeskyttelsespolitik,” svarer Lena Andersen.

Hvad er det udtrykkene ’privacy by design’ og ’privacy by default’ egentlig dækker over, når vi taler om beskyttelse af data?

Databeskyttelse gennem design handler grundlæggende om, at man indretter sine systemer og arbejdsgange, så behandlingen af personoplysninger er begrænset og under ingen omstændigheder går ud over det, der er nødvendigt og lovligt. Man skal også tænke over, hvor mange der har adgang til data, og om de får de fulde data eller eventuelt kun ”pseudonyme” oplysninger, hvor identiteten på personerne er sløret. Det hører også med til databeskyttelse gennem design, at løsningerne understøtter efterlevelsen af de registreredes rettigheder. Hvis eksempelvis en indsigtsanmodning ikke kan efterkommes på grund af tekniske begrænsninger, skal man nok ikke forvente, at det vil være acceptabelt,” forklarer Lena Andersen og fortsætter:

”Både databeskyttelse gennem design og databeskyttelse gennem standardindstillinger kan vedrøre både tekniske og organisatoriske foranstaltninger. Kravet om databeskyttelse gennem standardindstillinger pålægger virksomheden at vælge den mest privacy-venlige indstilling som standard. Hvis virksomhedens it-systemer indeholder nogle muligheder for at begrænse adgangen til data, bør disse indstillinger anvendes fremover, således at den mest begrænsede adgang er udgangspunktet,” påpeger Lena Andersen.

Tilsyn på besøg uden retskendelse

Udover at man kan forestille sig et mere aktivt tilsyn med flere ressourcer, hvor ser du så de største ændringer i forhold til det offentlige tilsyn?

”Der er lagt op til en markant udvidelse af tilsynets inspektionsadgang, hvor de i fremtiden vil kunne komme på inspektion hos alle private virksomheder uden retskendelse. I dag er inspektionsadgangen knyttet sammen med anmeldelsespligten. I fremtiden kan Datatilsynet dukke op i alle virksomheder, der behandler personoplysninger,” forklarer hun.

Hvis du skal nævne én ting i de nye danske regler, der bliver mere lempeligt reguleret, hvad peger du så på?”

”I udkastet til lovforslaget er der lagt op til, at reglerne primært skal gælde for elektronisk data og manuelle registre. Manuelle sagsmapper i den private sektor, som i dag er delvis omfattet af persondataloven, vil ikke længere være omfattet, hvis de foreslåede regler bliver vedtaget,” oplyser Lena Andersen.

 


 

 

Denne artikel bringes i samarbejde med FSR - Danske revisorer, som er en af CA's samarbejdspartnere. Artiklen er en del af et helt tema om persondata-forordningen, som dud kan læse magasin Signatur - nr. 3 september 2017