Det er det ubetinget største, der er sket inden for persondatalovgivning i nyere tid: EU’s nye persondataforordning, der blev vedtaget i foråret, og som træder i kraft til maj 2018.
Forordningen kan ses som politikernes reaktion på de tilstande, der har præget internettet i de seneste år: Overvågning af borgernes adfærd på nettet er blevet den nye standard blandt virksomheder og myndigheder, og ofte gives data videre til tredjepartsvirksomheder over hele verden.
Situationen har, viser forskellige undersøgelser, skabt utryghed i befolkningerne. Og en stor del af dataindsamlingen foregår, ifølge jurister på området, stik imod de eksisterende persondataregler – en problemstilling, som Prosabladet beskrev i august sidste år.
Indtil nu har de danske persondataregler bygget på EU’s gamle persondatadirektiv fra 1995 – altså fra en tid, før internettet tog fart. Men EU’s nye forordning er langt mere omfattende og forsøgt tilpasset det internet, vi har i dag. Når forordningen træder i kraft, ser det ud til, at tilsynet med, om reglerne overholdes, bliver skærpet markant.
– Forordningen er en klar forbedring af det eksisterende regelsæt. Den rammer bredt i forhold til, hvordan data bliver brugt. Og så er det også en klar forbedring, at den gør det muligt at sanktionere, siger Niels Bertelsen, formand for PROSA.
Sanktionsmulighederne er markante: Virksomheder, der ikke lever op til reglerne, risikerer bøder på op til fire procent af deres årlige, globale bruttoomsætning.
– Det er en indikation af, at man mener det alvorligt. De beskyttelser, der er af borgerne, skal opretholdes, siger Niels Bertelsen, som dog beklager, at sanktionsmulighederne som udgangspunkt ikke gælder offentlige myndigheder.
Prosabladet har bedt to it-advokater om at udlægge nogle af de vigtigste aspekter af forordningen. Det er Heidi Steen Jensen fra advokatvirksomheden Horten og it-advokat Per Mejer.
Privacy by design bliver det nye mantra
Fra 2018 skal alle nye it-systemer designes ud fra det såkaldte privacy by design- princip.
– Privacy by design vil sige, at man – fra det øjeblik man laver arkitekturen bag et it-system – skal indtænke privacy, forstået som beskyttelse af individet og muligheden for løbende at kunne håndtere persondata, forklarer Per Mejer og fortsætter:
– Du skal blandt andet indrette systemet, så det kun indsamler data, der opfylder dit formål, og så du kun gemmer persondata, så længe de er relevante. Når det formål er opfyldt, skal data slettes. Behandlingen af persondata har altid forudsat et formål, men med den nye forordning er der en skærpelse i præcision af formål.
Per Mejer giver følgende eksempel:
– Lad os sige, at du har en webshop, og du gerne vil sige tillykke hvert år på min fødselsdag, og at du gerne vil kende mit køn. I så fald ville 90 procent af mine klienter gemme kundens CPR-nummer. Men det går ikke. For ud fra et dataminimeringssynspunkt er det ikke nødvendigt. I forhold til formålet er der ikke engang behov for mit fødselsår. Du skal kun bruge en dag og måned og vide, om jeg er mand eller kvinde. Det vil sige, at it-systemet skal designes som følger: Navn, e-mailadresse, et felt, der hedder dato, ét, der hedder måned og så til sidst en variabel, der hedder ’m’ eller ’k’.
Alle persondata skal kunne slettes
Forordningen vil også give borgerne en række nye rettigheder, herunder en skærpet ret til at blive ’glemt’.
– Right to be forgotten bliver helt håndfast indarbejdet direkte i lovteksten. Og det kommer også til at omfatte tredjeparter. Det vil sige, at du skal kunne besvare en indsigtsbegæring fra kunden. Du skal som virksomhed oplyse: Hvad har du registeret om mig, hvorfor har du gjort det, og hvem har du videregivet det til? Og efter forordningen skal du ikke alene slette alle de oplysninger, du selv ligger inde med, hvis kunden beder om det. Hvis du har videresolgt data, så er du også ansvarlig for, at tredjemand sletter dem. Så du skal have meget bedre styr på dit dataflow, siger Per Meyer.
Overvågning skal være slået fra pr. default
Et andet centralt aspekt af forordningen er det såkaldte privacy by default-princip.
– Mange af de populære apps vil have adgang til dit kamera, navne- og adressebog, sms- og Messenger-historik. Men fra 2018 skal alle webshops og apps som default være sat til ikke at hive de her data, siger Per Meyer.
Meningen er, at kunden aktivt skal slå dataindsamlingen til i stedet for, som det ofte er tilfældet i dag, at slå den fra.
Kravene til de samtykketekster, der skal få brugerne til at vælge dataindsamlingen til, vil også blive højere.
– Der vil blive skærpede krav til, at folk skal vide, hvad der sker, og hvad dataene bliver brugt til. Der skal være klarere signaler, siger Per Mejer.
Myndighederne kommer oftere på besøg
Fra 2018 vil tilsynet med, om reglerne bliver overholdt, også få en anden karakter, end det har i dag. Og Heidi Steen Jensen forklarer, at Datatilsynet allerede er begyndt at stramme skruen.
– Datatilsynet har fået tilført flere midler og er allerede begyndt at foretage inspektioner i myndigheder og virksomheder. Det er ikke noget, vi har set meget af tidligere, men nu er det noget, virksomhederne taler om. Og det tror jeg, vi kommer til at se meget mere af fra 2018. Vi er forpligtet over for EU til at håndhæve den her forordning, og hvis den danske stat ikke udsteder en eneste bøde, så vil EU-Kommissionen komme efter os. Der bliver kørt traktatkrænkelsessager, hvis et land ikke overholder reglerne, siger hun.
Data Protection Officer
Når forordningen træder i kraft, skal alle offentlige myndigheder – undtagen domstole – have en såkaldt Data Protection Officer (DPO). Mange virksomheder skal også have en DPO, men det er ifølge Per Mejer endnu uklart, præcis hvilke typer af virksomheder det vil dreje sig om.
– En DPO er ansvarlig for, at virksomheden overholder forordningen, forklarer Heidi Steen Jensen og fortsætter:
– Han eller hun skal både have den juridiske og tekniske indsigt. Man kan enten vælge en person, der først og fremmest har en juridisk indsigt, men som også kan lidt af det tekniske. Eller man kan vælge en fra it-afdelingen, som har den her meget dybe viden om it, men som også har juridisk indsigt. Det er en rolle, som bliver lidt svær at besætte ude i alle virksomhederne, for der er mange, der ikke har lyst til det. Det er virkelig kompliceret, og der er et stort ansvar forbundet med det.
DPO’en behøver dog ikke at blive hyret in-house. Funktionen kan også udliciteres til en konsulentvirksomhed.
Men vil staten udbyde kurser, hvor medarbejdere kan blive klædt på til rollen som DPO?
– Jeg tror ikke, der kommer statslige kurser. Men jeg tror, at Justitsministeriets databeskyttelseskontor kommer med en vejledning. Og der er allerede mange i det private, som er begyndt at udbyde kurser: "Sådan forbereder du dig på DPO-rollen" og så videre. Dem kan man læse om på de store advokatfirmaers hjemmesider. Og de store revisionsfirmaer vil også gerne ind på markedet med deres egne kurser, siger Heidi Steen Jensen.
Per Mejer understreger dog, at ingen af de nuværende kurser kan klæde dig 100 procent på til rollen. Det er nemlig ikke al juraen, der er faldet på plads endnu.
Mere arbejde til it-folk
Forordningen vil også betyde, at der kommer mere arbejde til landets it-professionelle. Blandt andet i form af de nye DPO-roller.
– Spørgsmålet er, hvilken faggruppe der skal have rollen. Det er vores position, at det skal være en it-professionel. Man skal have den tekniske baggrund for at forstå sammenhængen mellem data og systemerne. Det kræver en forståelse, som ingen andre faggrupper end it-folk har, vurderer Niels Bertelsen.
Og så vil forordningen i det hele taget skabe nye forretningsmuligheder.
– Det at kunne forstå, hvordan man kan lave systemer, der muliggør, at man har en betydelig beskyttelse af privatlivet, bliver en af de ting, man kommer til at kunne leve af: At lave systemer, som på en fornuftig måde kan administrere de data, der ligger i systemerne, og sørge for, at data ikke kan misbruges eller udsættes for uvedkommendes øjne, siger Niels Bertelsen.