Resurs og GDPR
Information om GDPR til dig, som er partner til Resurs
Den 25. maj 2018 trådte de nye regler om beskyttelse ved behandling af personoplysninger i kraft – Den Europæiske Databeskyttelsesforordning (2016/679) (“databeskyttelsesforordningen”), der på engelsk hedder General Data Protection Regulation, (“GDPR”). Forordningen gælder som lov i alle EU-medlemslande og har til formål at forbedre beskyttelsen af den enkelte i behandlingen af personoplysninger. Forordningen erstatter i vidt omfang reglerne i persondataloven.
Databeskyttelsesforordningen vil påvirke alle brancher, virksomheder og organisationer, som håndterer personoplysninger. Der er derfor vigtigt, at den, som behandler personoplysninger, indfører rutiner for, hvordan behandlingen skal foregå.
Hvornår gælder databeskyttelsesforordningen?
Databeskyttelsesforordningen gælder ved behandling af personoplysninger, som helt eller delvist udføres automatisk, men også ved anden behandling af personoplysninger, når de indgår i eller vil blive medtaget i et register. Dette indebærer, at stort set al behandling af personoplysninger vil blive omfattet af forordningen.
Hvem skal overholde databeskyttelsesforordningen?
Databeskyttelsesforordningen gælder for behandling af personoplysninger, som har en vis forbindelse til EU. Den gælder dermed, når den, som behandler personoplysninger, har et forretningssted inden for EU og behandler personoplysninger i samarbejde med de aktiviteter, der finder sted der. Hvor selve behandlingen udføres, betyder ikke noget. Under visse omstændigheder gælder databeskyttelsesforordningen også, hvis virksomheden er etableret uden for EU. Databeskyttelsesforordningen gælder for eksempel, selv om en dataansvarlig eller en databehandler, der ikke er etableret i EU, tilbyder varer og tjenesteydelser til personer i EU, eller når den dataansvarlige eller databehandleren overvåger personers adfærd inden for EU. Det sidstnævnte handler f.eks. om, at man sporer enkelte personers adfærd på internettet for at skabe kundeprofiler eller lignende.
Nye krav i forbindelse med databeskyttelsesforordningen
Mange af de krav, som databeskyttelsesforordningen indeholder, er allerede en del af persondataloven. Til en vis grad er databeskyttelsesforordningen blot en opdatering og stramning af persondataloven. En vigtig del af den forbedrede beskyttelse for enkelte personer, hvis personoplysninger behandles, de såkaldte registrerede, er, at der stilles højere krav til den, som behandler personoplysningerne, dvs. alle virksomheder, organisationer og myndigheder, som behandler personoplysninger. En nyhed er for eksempel, at der i databeskyttelsesforordningen tydeligt lægges vægt på, at den, som behandler personoplysninger, er ansvarlig for og skal kunne bevise, at denne overholder bestemmelserne i databeskyttelsesforordningen (såkaldt ansvarlighed). Det indebærer kort sagt, at den, som behandler personoplysninger, skal kunne bevise, at de grundlæggende principper i databeskyttelsesforordningen overholdes, og at kravene i databeskyttelsesforordningen opfyldes. De grundlæggende principper i databeskyttelsesforordningen svarer til de grundlæggende krav i persondataloven. Du kan læse om disse principper i kapitel II: Principper i databeskyttelsesforordningen.
De registreredes rettigheder er blevet udvidet, styrket og specificeret i databeskyttelsesforordningen i forhold til persondataloven. Generelt kan man sige, at ansvaret for at informere de registrerede i forskellige henseender, og kravene til, hvilke oplysninger der skal gives til de registrerede, udvides med databeskyttelsesforordningen. Kort sagt handler det om, at de registrerede skal få information om, hvornår og hvordan deres personoplysninger behandles, og have kontrol over deres egne personoplysninger. De registrerede har på samme måde som tidligere ret til at få information om, hvilke personoplysninger der vedrører den registrerede og behandles (registerudskrift). Det nye er, at en anmodning om sådanne oplysninger ikke blot kan gøres skriftligt med et almindeligt brev, men det kan også gøres på andre måder, for eksempel elektronisk. En anden nyhed er for eksempel, at den, som har indleveret sine personoplysninger, i nogle tilfælde har ret til, at personoplysningerne tages ud, og kan anmode om, at de overføres til en anden dataansvarlig, når det er teknisk muligt (dataportabilitet).
I forordningen er der også krav til indbygget databeskyttelse (“privacy by design”) og databeskyttelse som standard (“privacy by default”), hvilket kort sagt betyder, at man skal tage hensyn til bestemmelserne om beskyttelse af privatlivets fred allerede ved udformningen af it-systemer og -rutiner, samt at den, som behandler personoplysninger, skal sørge for, at personoplysninger som hovedregel ikke behandles unødigt. Databeskyttelsesforordningen gælder i sin helhed ved al automatiseret behandling af personoplysninger og gælder derfor også for eksempel ved offentliggørelse af personoplysninger på en hjemmeside eller i anden løbende tekst.
Dataansvarlig og databehandler
Den, som behandler personoplysninger på vegne af en eller flere virksomheder, skal betragtes som databehandler, mens den, som bestemmer, til hvilke formål personoplysningerne skal behandles, og hvordan behandlingen skal foregå, skal betragtes som den dataansvarlige. Databeskyttelsesforordningen regulerer, hvad der gælder for databehandlere, primært i artikel 28-31 i databeskyttelsesforordningen og i de dertilhørende bestemmelser. Når den dataansvarlige ansætter en databehandler, skal der i henhold til databeskyttelsesforordningen være en skriftlig aftale. I aftalen med databehandleren skal det fastlægges, at databehandleren kun må behandle personoplysninger i henhold til dokumenterede anvisninger fra den dataansvarlige. En nyhed i forordningen er, at nogle af de forpligtelser, der tidligere har gjort sig gældende for den dataansvarlige, nu også gælder for databehandleren, f.eks. kravene om at registrere alle behandlinger, at sikre et passende sikkerhedsniveau og at i visse tilfælde udpege en databeskyttelsesansvarlig. Databehandleren kan også blive underlagt tilsyn eller administrative bøder og blive erstatningspligtig. Det er derfor vigtigt, at en databehandler er opmærksom på reglerne i databeskyttelsesforordningen.
Den, som behandler personoplysninger, skal sørge for, at der er etableret et passende sikkerhedsniveau for oplysningerne, både teknisk og organisatorisk. En databehandler skal for eksempel give tilstrækkelige garantier, især hvad angår ekspertise, pålidelighed og ressourcer, for at træffe passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer, at de registreredes rettigheder beskyttes. Dette indebærer, når det er relevant, at anvende pseudonymisering og kryptering af personoplysninger for løbende at kunne sikre fortroligheden, privatlivets fred, tilgængeligheden og robustheden i behandlingssystemer og -tjenester, have mulighed for at genoprette tilgængeligheden og adgangen til personoplysninger inden for en rimelig tid efter en hændelse og herudover at regelmæssigt teste, undersøge og evaluere effektiviteten af de tekniske og organisatoriske foranstaltninger, der skal sikre behandlingens sikkerhed.
Databehandleren skal desuden sikre, at hver fysisk person, som udfører arbejde under databehandlerens tilsyn, og som får adgang til personoplysninger, kun behandler disse i henhold til instruktionerne fra den dataansvarlige, medmindre EU-lovgivningen eller medlemslandenes nationale lovgivning forpligter ham eller hende til at gøre dette. Dette omfatter også at sikre, at personer med bemyndigelse til at behandle personoplysninger er forpligtet til at respektere konfidentialitet eller omfattes af en gældende lovbestemt tavshedspligt.
En databehandlers forpligtelser indebærer bl.a. også, at man under hensyntagen til behandlingens art og så vidt muligt hjælper den dataansvarlige gennem passende tekniske og organisatoriske foranstaltninger, således at den dataansvarlige kan opfylde sin pligt til at svare på en anmodning fra den registrerede, når denne vil udøve sine rettigheder i henhold til databeskyttelsesforordningen. Endvidere skal databehandleren muliggøre og bidrage til revisioner og inspektioner, som gennemføres af den dataansvarlige eller af en anden auditor, der er godkendt af den dataansvarlige.
Følsomme personoplysninger
Visse personoplysninger er i sig selv særligt følsomme og er derfor i højere grad beskyttet i databeskyttelsesforordningen. Med sådanne personoplysninger menes der f.eks. oplysninger, som afslører race eller etnisk oprindelse, politiske holdninger og helbredsoplysninger. I databeskyttelsesforordningen kaldes sådanne personoplysninger for særlige kategorier af personoplysninger. Ofte anvendes også begrebet følsomme personoplysninger. Udgangspunktet er, at det er forbudt at behandle følsomme personoplysninger, men der findes flere undtagelser fra forbuddet.
Anden databehandler (inklusive konsulenter)
Databehandleren må ikke ansætte en anden databehandler, uden en særlig eller generel forudgående skriftlig tilladelse er blevet indhentet fra den dataansvarlige, eller at der er blevet indhentet en generel skriftlig tilladelse. I tilfælde af at databehandleren ansætter en anden databehandler til at udføre en specifik behandling på vegne af den dataansvarlige, skal den assisterende databehandler have samme forpligtelser vedrørende databeskyttelse, som dem som er fastsat i aftalen mellem den dataansvarlige og databehandleren. Hvis den assisterende databehandler ikke opfylder sine forpligtelser vedrørende databeskyttelse, skal den oprindelige databehandler være fuldt ansvarlig over for den dataansvarlige for opfyldelsen af den assisterende databehandlers forpligtelser.
Registerfortegnelse
Både den dataansvarlige og databehandleren er i henhold til databeskyttelsesforordningen forpligtet til at føre et register over deres behandlinger af personoplysninger. Hvad der skal medtages i fortegnelsen, fremgår udtrykkeligt af databeskyttelsesforordningen, se artikel 30 i databeskyttelsesforordningen.
Særligt om overførsler fra tredjelande
Databeskyttelsesforordningen indebærer, at alle EU-medlemsstater (herunder EØS-landene Norge, Island og Liechtenstein) har lige beskyttelse af personoplysninger og privatlivets fred. Personoplysninger må derfor overføres frit uden begrænsninger inden for dette område. Eftersom der ikke findes nogen generelle regler, som giver tilsvarende garantier uden for EU og EØS, har man anset, at overførsel til lande uden for EU og EØS (såkaldt tredjelandsoverførsel) kun må ske under særlige omstændigheder. For sådan en overførsel gælder der derfor særskilte regler, se artikel 44-50 i databeskyttelsesforordningen. En databehandler må kun benytte tredjelandsoverførsel i henhold til skriftlige instruktioner fra den dataansvarlige, medmindre behandlingen er påkrævet i henhold til EU-lovgivningen eller i henhold til et medlemslands nationale lovgivning, som databehandleren er underlagt.
Konsekvensanalyse og forudgående høring
Nogle gange kan den, som behandler personoplysninger, dvs. både den dataansvarlige og databehandleren, være nødt til at lave en konsekvensanalyse vedrørende databeskyttelse. I databeskyttelsesforordningen angives det, hvornår et sådant krav finder anvendelse, se artikel 35 i databeskyttelsesforordningen. Det kan f.eks. være tilfældet, når man evaluerer eller profilerer mennesker, såsom ved en kreditoplysningsvirksomhed eller en virksomhed, som profilerer internetbrugere, hvis man behandler personoplysninger i et stort omfang, hvis man kombinerer personoplysninger fra to eller flere behandlinger på en måde, som den registrerede ikke forventer, f.eks. når man sammenkobler registre, eller hvis man behandler personoplysninger på en måde, som forhindrer de registrerede i at få adgang til en tjenesteydelse eller indgå en aftale, f.eks. når en bank tjekker sine kunder i en database med kreditoplysninger for at beslutte, om de skal tilbydes lån. Målet er at minimere risiciene ved sådanne behandlinger af personoplysninger, som indebærer en høj risiko. Hvis man alligevel mener, at der er stor risiko forbundet med behandlingen af personoplysninger, skal man rådføre sig med Datatilsynet, inden man påbegynder behandlingen, se artikel 36 vedrørende forudgående høring.
Krav til rapportering ved hacking og brud på persondatasikkerheden
Hvis der sker noget, som risikerer, at personoplysninger ender i de forkerte hænder, skal dette indberettes til Datatilsynet. Et brud på persondatasikkerheden (“personal data breach”) skal som hovedregel indberettes til Datatilsynet af den dataansvarlige senest 72 timer, efter de har fået kendskab til bruddet. En databehandler, som får kendskab til et brud på persondatasikkerheden, skal give databehandleren besked om dette uden unødig forsinkelse efter at have fået kendskab til bruddet.
Databeskyttelsesansvarlig
Alle, som behandler personoplysninger, og som er omfattet af databeskyttelsesforordningen, dvs. også databehandlere, skal selv vurdere, om de har brug for en databeskyttelsesansvarlig, se især artiklerne 37-39 i databeskyttelsesforordningen og de dertilhørende bestemmelser. Det kan ske, at en databehandler har brug for en databeskyttelsesansvarlig, selvom deres kunde ikke har behov for en databeskyttelsesansvarlig. Det kan for eksempel være tilfældet, hvis databehandleren har mange lignende kunder og behandler store mængder personoplysninger fra mange forskellige kunder.
Adfærdskodeks og certificeringsmekanismer
De, som behandler personoplysninger, vil kunne tilslutte sig et adfærdskodeks for at vise, at man følger bestemmelserne i databeskyttelsesforordningen. En adfærdskodeks er retningslinjer for, hvordan en bestemt virksomhed, branche eller samfundssektor skal behandle personoplysninger i overensstemmelse med databeskyttelsesforordningen og kan udarbejdes af f.eks. en brancheorganisation. Adfærdskodeks skal godkendes af og registreres af Datatilsynet. En godkendelse kan ikke ske, før databeskyttelsesforordningen træder i kraft den 25. maj 2018. I databeskyttelsesforordningen nævnes det også, at certificeringer, forseglinger og etiketter for databeskyttelse vil kunne anvendes for at vise, at man følger bestemmelserne i databeskyttelsesforordningen.
Sanktioner
Databeskyttelsesforordningen indeholder bestemmelser om administrative bøder, der har til formål at sikre, at reglerne i databeskyttelsesforordningen overholdes. Bøderne kan beløbe sig til 20.000.000 euro eller, hvis det drejer sig om en virksomhed, op til 4 % af den samlede globale årsomsætning i det foregående regnskabsår, alt efter hvilket beløb der er højest. Hertil kommer, at hvert medlemsland i EU har mulighed for at vedtage andre sanktioner for overtrædelse af databeskyttelsesforordningen.