Krypterede mails: Har du styr på lovgivningen?
Datatilsynet skærper kravene for, hvordan private virksomheder skal passe på fortrolige og følsomme personoplysninger i e-mails.
Hvad betyder EU's persondataforordning for dig som webshopejer ud fra et juridisk perspektiv? Vi har gravet i juraen og omsat den til et forståeligt svar.
I starten af april 2018 afholdte vi workshops i Randers og i København vedr. den nye persondataforordning (også kaldet GDPR), der er på vej fra EU, og som træder i kraft den 25. maj 2018.
I dette blogindlæg gennemgår vi hovedpointerne fra kurset, men vi gør opmærksom på, at DanDomain ikke er juridiske eksperter, og at du derfor ikke kan betragte dette blogindlæg som en facitliste.
Det er i vores interesse at hjælpe, så I bedre kan efterleve GDPR, men i sidste ende er det jeres ansvar, at I lever op til reglerne, da der også kan være særlige omstændigheder, som vedrører dig og din virksomhed.
Så er I i tvivl eller har I specifikke juridiske spørgsmål, anbefaler vi, at I konsulterer en persondata-ekspert.
Vi har delt blogindlægget op i 2 dele. I dette blogindlæg kigger vi på GDPR ud fra et juridisk perspektiv, og i det næste blogindlæg kigger vi på GDPR ud fra et mere praktisk perspektiv.
GDPR er en forkortelse for den nye europæiske persondataforordning: The General Data Protection Regulation.
Forordningen træder i kraft den 25. maj 2018 i samtlige EU-lande, herunder Danmark, og vil gælde alle virksomheder og organisationer, som opbevarer personlige data om borgere i Europa.
Helt overordnet handler GDPR om, at vi skal have bedre styr på vores databehandling.
Måske tænker du, at I har styr på persondata, eller at I hellere vil vente med at implementere nye tiltag, indtil der sker noget problematisk.
Men der er faktisk flere fordele i allerede nu at forsøge at efterleve den nye persondataforordning.
Først og fremmest får du styr på informationssikkerheden, samtidig med at du overholder persondataforordningen.
Der er en række øvrige gevinster ved at få styr på den nye persondataforordning nu:
Inden vi snakker om den nye persondataforordning, er det vigtigt at have helt styr på, hvad persondata egentlig er.
Persondata er enhver form for information om en identificeret eller identificerbar fysisk person. Persondata skal forstås bredt og omfatter alle oplysninger, der kan henføres til en fysisk person – også selvom der skal anvendes særlige hjælpemidler til at identificere personen.
Persondata er med andre ord informationer, som kan henføres til en person.
Der findes to typer for persondata: Almindelige personoplysninger og følsomme personoplysninger.
Almindelige personoplysninger: (listen er ikke udtømmende)
Følsomme personoplysninger: (dette er en udtømmende liste)
Bemærk, at listen over følsomme personoplysninger er udtømmende, det vil sige, at det er en komplet liste. Der findes ikke flere følsomme personoplysninger, end dem der er listet.
I tabellen nedenfor kan du også få et overblik over den måde, som persondataforordningen skildrer mellem almindelige og følsomme oplysninger:
De nuværende persondataregler stammer fra et EU-direktiv fra 1995, som fastsatte en række minimumsrammer i forhold til beskyttelsesniveauet for EU-borgernes data.
Men på tværs af EU-landene har man tolket direktivets definitioner meget forskelligt, hvilket betyder, at der er en meget uensartet retstilstand og håndhævelse i de forskellige EU-lande.
Teknologien i dag gør desuden, at meget data flyder på tværs af grænserne, men da regelsættene ikke er ensartet nok, er man ikke beskyttet godt nok som EU-borger, konkluderer EU-kommissionen. Teknologien er simpelthen løbet fra juraen, og derfor kommer der nu en ny persondataforordning.
Den nye persondataforordning, som altså træder i kraft den 25. maj 2018, indebærer flere ændringer i forhold til den tidligere lovgivning.
Fra direktiv til forordning
Først og fremmest er det tidligere direktiv skiftet ud med en forordning. Det giver mindre rum for tolkning, fordi en forordning har direkte virkning i medlemsstaterne og ikke skal omskrives til lokal lovgivning. Det giver samtidig en mere ensartet fortolkning og ikke mindst en mere ensartet sanktionering.
Fokus på datasubjektets rettigheder og privatlivets fred
I forhold til de tidligere regler lægger forordningen større vægt på datasubjektets (dvs. EU-borgernes) rettigheder og privatlivets fred.
Det indebærer følgende:
EU borgernes data skal behandles sagligt, med et formål, være korrekte, behandles sikkert og med en passende fortrolighed/sikkerhed. Derudover må der ikke behandles mere data end nødvendigt, og så skal data slettes, når de ikke længere skal bruges.
Dette er mere eller mindre grundtanken i hele persondataforordningen. Kan du efterleve dette, er du langt.
Data accountability
Med den nye forordning er der kommet større fokus på ”data accountability”, hvilket betyder, at den dataansvarlige skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen.
Kort sagt skal den dataansvarlige tage ansvar for sin behandling af data: Ikke blot have styr på den, men også kunne dokumentere, at de har styr på overholdelsen.
Udover de fokusområder vi allerede har nævnt, kommer den nye persondataforordning også med følgende tiltag:
Oftest når man taler om GDPR, taler man om databehandlere og dataansvarlige. Det er vigtigt at vide, hvilken rolle du har, i forhold til hvilke krav der kan blive stillet til dig, og hvilke krav du kan stille til andre.
Dataansvarlig = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.”
Den dataansvarlige anses altså for at have ‘ejerskabet’ af oplysningerne.
Databehandler = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.”
Databehandleren må kun behandle oplysningerne på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig oplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.
Når du f.eks. ansætter folk, er du dataansvarlig for de HR-data, I indsamler i virksomheden. Ligeledes gør webshoppen dig til dataansvarlig i forhold til dine slutkunder og de data, du har indsamlet om dem. Det kan være navn, e-mail, adresser, osv.
I forhold til både jeres og jeres slutkunders hostede data på DanDomains servere er DanDomain (fra jeres synspunkt) databehandler.
Så snart du bruger en virksomhed til at behandle eller opbevare data for jer, er der tale om databehandlere.
I kan sagtens have mere end én databehandler – og det har I med al sandsynlighed også!
Det kan dog være svært at gennemskue og definere, hvem der har hvilke roller. En hjælp kan være at kigge på hele (data)værdikæden.
Lad os tage eksemplet med dig som webshopejer og os som hostingleverandør igen. Den kæde er faktisk mere omfattende, end ovenstående illustrerer.
For DanDomain har samtidig en række underdatabehandlere, f.eks. et revisionsfirma, betalingsgateway, datacenter osv.
Fordi det ifølge GDPR er den dataansvarlige, som har det primære ansvar for hele (data)værdikæden.
Principielt betyder det, at du som webshopejer og dataansvarlig skal have styr på ikke bare dataen hos os, men også hos alle vores underdatabehandlere. I praksis er det dog svært (hvis ikke umuligt) at efterleve.
Der er dog en række aftaler/betingelser, du som webshopejer kan indgå for at sikre, at du efterlever persondataforordningen:
En databehandleraftale er en skriftlig aftale, der regulerer databehandlingsforholdet mellem en databehandler og dataansvarlig.
Som mimimum skal databehandleraftalen indeholde følgende:
Sådan får du en databehandleraftale med DanDomain
Er du kunde hos DanDomain, skal du gå ind på dandomain.dk/compliance og anmode om en databehandleraftale. Vi har lavet en standardiseret aftale, som indeholder alle ting på ovenstående liste.
En persondatapolitik er en information til dine kunder om, hvad I registrerer om dem. Den skal typisk indeholde:
Kort sagt skal du informere om, hvad I registrerer om jeres kunder, og hvad I bruger det til.
Vi kommer til at lave en skabelon i shoppen, som du kan tage udgangspunkt i. I første omgang bliver den på dansk, men senere også engelsk.
Må du godt bruge amerikanske eller andre tredjelandes systemer, applikationer eller integrationer? Ja, men du skal tænke dig om, for det hele bliver mere besværligt, end hvis du bruger et europæisk system, idet du ikke kan være sikker på, at de har samme databeskyttelse som i EU.
Så snart du anvender en leverandør uden for EU, skal du sikre, at du har særskilt hjemmelsgrundlag – dvs. du skal have en lovlig grund til at anvende systemer og lignende uden for EU.
Du kan få lov (hjemmel) til at anvende tredjelandes systemer, hvis:
Kan din virksomhed ikke anvende nogen af ovenstående metoder? I mangel af anden hjemmel kan overførsel af oplysninger til tredjelande også ske uden specifik godkendelse, hvis:
Men: Kan du finde en lige så god leverandør (databehandler) i EU frem for uden for EU, så sparer du altså en del arbejde ved at vælge den europæiske leverandør.
Et datasikkerhedsbrud er defineret som:
Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Sker der et datasikkerhedsbrud, er du som dataansvarlig forpligtet til at orientere Datatilsynet inden for 72 timer. Det gælder også i ferieperioder, under jul og i påsken.
I forbindelse med brud på persondatasikkerheden gælder reglen om omvendt bevisbyrde. Det vil sige, at du som virksomhed selv skal bevise, at bruddet ikke er sket hos dig.
Der kommer en fælles indberetningsside på virk.dk, hvor du kan indberette datasikkerhedsbrud.
I modsætningen til tidligere er bødeniveauet væsentligt forøget med den nye persondataforordning.
Bødeniveauet kan være op til € 20.000.000 eller 4 % af virksomhedens globale omsætning (afhængig af, hvad der er højest).
Sanktionerne tager højde for skadens størrelse, om det er sket mange gange før, og ’grovheden’ så at sige.
Vi anbefaler, at du går i gang med GDPR-arbejdet nu – hvis du ikke allerede er gået i gang.
De nye tiltag er kommet for blive, så du kan lige så godt begynde at lave de nødvendige tilpasninger og tage stilling til, hvordan I efterlever GDPR.
Selvom persondataforordningen træder i kraft den 25. maj 2018, kan det dog være svært at vide endnu, hvordan Datatilsynet konkret forholder sig til reglerne endnu.
Der er stadig en del gråzoner i lovgivningen, så i stedet for at implementere en masse, der måske slet ikke giver mening for din forretning, anbefaler vi, at du fokuserer på de områder, der er på plads.
Hos DanDomain ønsker vi også at hjælpe jer så vidt muligt med at efterleve og være ’compliant’ med den nye persondataforordning/GDPR.
Derfor giver vi gratis vidensdeling så som dette blogindlæg og vores kurser, og så arbejder vi lige nu bl.a. på:
Har du spørgsmål, så smid dem gerne i kommentarfeltet, så vil vi så vidt muligt forsøge at besvare dem.
Men husk på, at DanDomain ikke er juridiske eksperter, og har I specifikke juridiske spørgsmål, anbefaler vi, at I konsulterer en persondata-ekspert.
På gensyn til part 2, hvor vi anskuer GDPR fra en mere praktisk vinkel. Læs bl.a. mere om, hvordan vi selv har forholdt os til GDPR, og få tips til, når I skal gøre det i jeres forretning. Derudover sætter vi fokus på DanDomain shoppen og de funktioner, vi planlægger at implementere, så det bliver nemmere for jer shopejere at efterleve GDPR.
... Trænger du til at lytte i stedet for at læse? Lyt evt. til denne podcastserie fra e-mærket, der handler om GDPR - hvad du må (og ikke må) med kunders data.
I afsnit #2 er DanDomain bl.a. med... Lyt med her >>
Datatilsynet skærper kravene for, hvordan private virksomheder skal passe på fortrolige og følsomme personoplysninger i e-mails.
Vi fortsætter med flere guldkorn fra vores GDPR-workshops - denne gang fra et mere praktisk perspektiv. Bliv klar til den nye persondataordning nu.
Hvad et domænenavn? Du får en kort forklaring og en lang forklaring. Læs også, hvad et subdomæne, tillægsdomæne og addon domæne er.