Få styr på GDPR part 1 - det juridiske perspektiv

I starten af april 2018 afholdte vi workshops i Randers og i København vedr. den nye persondataforordning (også kaldet GDPR), der er på vej fra EU, og som træder i kraft den 25. maj 2018.

I dette blogindlæg gennemgår vi hovedpointerne fra kurset, men vi gør opmærksom på, at Dandomain ikke er juridiske eksperter, og at du derfor ikke kan betragte dette blogindlæg som en facitliste.

Det er i vores interesse at hjælpe, så I bedre kan efterleve GDPR, men i sidste ende er det jeres ansvar, at I lever op til reglerne, da der også kan være særlige omstændigheder, som vedrører dig og din virksomhed.

Så er I i tvivl eller har I specifikke juridiske spørgsmål, anbefaler vi, at I konsulterer en persondata-ekspert.

Vi har delt blogindlægget op i 2 dele. I dette blogindlæg kigger vi på GDPR ud fra et juridisk perspektiv, og i det næste blogindlæg kigger vi på GDPR ud fra et mere praktisk perspektiv.

Hvad er GDPR?

GDPR er en forkortelse for den nye europæiske persondataforordning: The General Data Protection Regulation.

Forordningen træder i kraft den 25. maj 2018 i samtlige EU-lande, herunder Danmark, og vil gælde alle virksomheder og organisationer, som opbevarer personlige data om borgere i Europa.

Hvorfor skal jeg have styr på GDPR?

Helt overordnet handler GDPR om, at vi skal have bedre styr på vores databehandling.

Måske tænker du, at I har styr på persondata, eller at I hellere vil vente med at implementere nye tiltag, indtil der sker noget problematisk.

Men der er faktisk flere fordele i allerede nu at forsøge at efterleve den nye persondataforordning.

Først og fremmest får du styr på informationssikkerheden, samtidig med at du overholder persondataforordningen.

5 gode grunde til at få styr på GDPR

Der er en række øvrige gevinster ved at få styr på den nye persondataforordning nu:

• Sikkerhed: Du undgår at miste data og ydermere at få dårlig omtale i tilfælde af et eventuelt datatab.
• Proaktive gevinster: Hvis du går i gang nu, sparer du tid senere.
• Branding: Det er et godt signal at sende, at du passer godt på dine kunders data. Det kan måske få flere til at vælge dig frem for konkurrenterne.
• Undgå konsekvenserne: I modsætning til i dag kan det blive ekstremt dyrt, hvis du ikke overholder de nye regler, og der sker et datalæk. Det vender vi tilbage til.
• Viden som privatperson: Når du kender reglerne, ved du også, hvad du har krav på i forhold til dine egne personlige oplysninger hos andre virksomheder.

Hvad er persondata?

Inden vi snakker om den nye persondataforordning, er det vigtigt at have helt styr på, hvad persondata egentlig er.

Persondata er enhver form for information om en identificeret eller identificerbar fysisk person. Persondata skal forstås bredt og omfatter alle oplysninger, der kan henføres til en fysisk person – også selvom der skal anvendes særlige hjælpemidler til at identificere personen.

Persondata er med andre ord informationer, som kan henføres til en person.

Der findes to typer for persondata: Almindelige personoplysninger og følsomme personoplysninger.

Almindelige personoplysninger: (listen er ikke udtømmende)

• Navn
• Adresse
• Telefonnummer
• Fødselsdato
• Nummerplade

Følsomme personoplysninger: (dette er en udtømmende liste)

• Race
• Etnisk oprindelse
• Politisk, religiøs eller filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Seksuelle forhold og seksuel orientering
• Helbredsoplysninger
• Genetiske og biometriske data (fra forordningen)

Bemærk, at listen over følsomme personoplysninger er udtømmende, det vil sige, at det er en komplet liste. Der findes ikke flere følsomme personoplysninger, end dem der er listet.

I tabellen nedenfor kan du også få et overblik over den måde, som persondataforordningen skildrer mellem almindelige og følsomme oplysninger:

Hvorfor kommer der en ny persondataforordning?

De nuværende persondataregler stammer fra et EU-direktiv fra 1995, som fastsatte en række minimumsrammer i forhold til beskyttelsesniveauet for EU-borgernes data.

Men på tværs af EU-landene har man tolket direktivets definitioner meget forskelligt, hvilket betyder, at der er en meget uensartet retstilstand og håndhævelse i de forskellige EU-lande.

Teknologien i dag gør desuden, at meget data flyder på tværs af grænserne, men da regelsættene ikke er ensartet nok, er man ikke beskyttet godt nok som EU-borger, konkluderer EU-kommissionen. Teknologien er simpelthen løbet fra juraen, og derfor kommer der nu en ny persondataforordning.

Hvad indebærer den nye persondataforordning (GDPR)?

Den nye persondataforordning, som altså træder i kraft den 25. maj 2018, indebærer flere ændringer i forhold til den tidligere lovgivning.

Fra direktiv til forordning
Først og fremmest er det tidligere direktiv skiftet ud med en forordning. Det giver mindre rum for tolkning, fordi en forordning har direkte virkning i medlemsstaterne og ikke skal omskrives til lokal lovgivning. Det giver samtidig en mere ensartet fortolkning og ikke mindst en mere ensartet sanktionering.

Fokus på datasubjektets rettigheder og privatlivets fred
I forhold til de tidligere regler lægger forordningen større vægt på datasubjektets (dvs. EU-borgernes) rettigheder og privatlivets fred.

Det indebærer følgende:

• Der skal være et lovligt formål for databehandlingen – dvs. du må ikke behandle data uden grund
• Man skal have hjemmel for at behandle oplysninger – dvs. du må ikke behandle data uden en lovlig grund
• Krav om kortfattede, gennemsigtige og lettilgængelige regler for behandlingen af data og udøvelse af datasubjektets rettigheder – dvs. reglerne skal være forståelige for alle og uden kringlet jura
• Krav om standardiserede informationspolitikker til behandling af indsigtsbegæringer – dvs. alle skal have en privatlivspolitik
• Samtykke skal fremover være udtrykkeligt – dvs. man må ikke gemme samtykket på sidste side i sine salgsbetingelser.
• Oplysninger om børn beskyttes i højere grad end tidligere
• Kravene til databehandlere er steget væsentligt!

EU borgernes data skal behandles sagligt, med et formål, være korrekte, behandles sikkert og med en passende fortrolighed/sikkerhed. Derudover må der ikke behandles mere data end nødvendigt, og så skal data slettes, når de ikke længere skal bruges.

Dette er mere eller mindre grundtanken i hele persondataforordningen. Kan du efterleve dette, er du langt.

Data accountability
Med den nye forordning er der kommet større fokus på ”data accountability”, hvilket betyder, at den dataansvarlige skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen.

Kort sagt skal den dataansvarlige tage ansvar for sin behandling af data: Ikke blot have styr på den, men også kunne dokumentere, at de har styr på overholdelsen.

Hvilke andre tiltag/regler indebærer GDPR?

Udover de fokusområder vi allerede har nævnt, kommer den nye persondataforordning også med følgende tiltag:

• Dataportabilitet: Det skal være nemt at eksportere data fra ét sted til et andet. F.eks. eksportere profiler over på nye platforme. Det kan være fra Gmail til Outlook.com eller fra Dating.dk til Scor.dk
• Ret til indsigelse mod direkte markedsføring og profilering (markedsføring): Som dataansvarlig skal du altid imødekomme en indsigelse i forbindelse med markedsføring.
• Retten til indsigt: Det er muligt for privatpersoner at få indsigt i, hvilke data virksomheder har registreret om vedkommende.
• Retten til at blive glemt: I forlængelse af ovenstående har man som privatperson ret til at blive glemt, dvs. få al den data slettet, som en virksomhed har opbevaret om vedkommende, hvis der ikke længere er en lovlig grund til at gemme dataen.
• DPIA (Data Protection Impact Assessment): Det er en slags konsekvensanalyse, som ikke er relevant for dig som webshopejer.
• DPO (Data Protection Officer): Det er en databeskyttelsesrådgiver, en slags ’persondataens vogter’, som er involveret i virksomhedens relevante databehandlings aspekter og skal rådgive herom og lignende. For mindre virksomheder er det opslagt at dele eller leje en DPO.
• Medarbejderuddannelse i persondatabeskyttelse: Medarbejdere skal uddannes i persondatabeskyttelse

Hvad betyder ”databehandler” eller ”dataansvarlig”?

Oftest når man taler om GDPR, taler man om databehandlere og dataansvarlige. Det er vigtigt at vide, hvilken rolle du har, i forhold til hvilke krav der kan blive stillet til dig, og hvilke krav du kan stille til andre.

Dataansvarlig = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.”

Den dataansvarlige anses altså for at have ‘ejerskabet’ af oplysningerne.

Databehandler = ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.”

Databehandleren må kun behandle oplysningerne på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig oplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige.

Er jeg databehandler eller dataansvarlig?

Når du f.eks. ansætter folk, er du dataansvarlig for de HR-data, I indsamler i virksomheden. Ligeledes gør webshoppen dig til dataansvarlig i forhold til dine slutkunder og de data, du har indsamlet om dem. Det kan være navn, e-mail, adresser, osv.

I forhold til både jeres og jeres slutkunders hostede data på Dandomains servere er Dandomain (fra jeres synspunkt) databehandler.

Så snart du bruger en virksomhed til at behandle eller opbevare data for jer, er der tale om databehandlere.

I kan sagtens have mere end én databehandler – og det har I med al sandsynlighed også!

Det kan dog være svært at gennemskue og definere, hvem der har hvilke roller. En hjælp kan være at kigge på hele (data)værdikæden.

Lad os tage eksemplet med dig som webshopejer og os som hostingleverandør igen. Den kæde er faktisk mere omfattende, end ovenstående illustrerer.

For Dandomain har samtidig en række underdatabehandlere, f.eks. et revisionsfirma, betalingsgateway, datacenter osv.

Hvorfor er det så vigtigt, hvem der er dataansvarlig, og hvem der er databehandler?

Fordi det ifølge GDPR er den dataansvarlige, som har det primære ansvar for hele (data)værdikæden.

Principielt betyder det, at du som webshopejer og dataansvarlig skal have styr på ikke bare dataen hos os, men også hos alle vores underdatabehandlere. I praksis er det dog svært (hvis ikke umuligt) at efterleve.

Der er dog en række aftaler/betingelser, du som webshopejer kan indgå for at sikre, at du efterlever persondataforordningen:

• Du skal have en databehandleraftale med dine leverandører
• Du skal have en persondatapolitik, som du bruger over for dine kunder

Hvad er en databehandleraftale? Og hvad skal den indeholde?

En databehandleraftale er en skriftlig aftale, der regulerer databehandlingsforholdet mellem en databehandler og dataansvarlig.

Som mimimum skal databehandleraftalen indeholde følgende:

• En beskrivelse af emnet, varigheden, arten og formålet med behandlingen, typen af data, kategorier af datasubjekter samt den dataansvarliges forpligtelser og rettigheder
• Instruktionsbeføjelse
• Krav om fortrolighed hos autoriserede personer
• Betingelse om, at der kun må bruges underdatabehandlere med den dataansvarliges forudgående skriftlige samtykke
• Betingelse om at databehandleren bistår med at besvare henvendelser fra datasubjekter
• Krav om implementering af sikkerhedskrav
• Betingelse om at databehandleren bistår med overholdelse af forpligtelserne ift. personoplysningssikkerhed:
  • Behandlingssikkerhed
  • Anmeldelse af sikkerhedsbrud til myndighed og eventuelt datasubjekter
  • Konsekvensanalyse og forudgående høring
• Betingelse om, at persondata skal slettes eller returneres ved aftalens ophør
• Betingelse om, at databehandler dokumenterer overholdelse af aftalen og tillader revision og inspektion

Sådan får du en databehandleraftale med Dandomain
Er du kunde hos Dandomain, skal du gå ind på dandomain.dk/compliance og anmode om en databehandleraftale. Vi har lavet en standardiseret aftale, som indeholder alle ting på ovenstående liste.

Hvad er en persondatapolitik, og hvad skal den indeholde?

En persondatapolitik er en information til dine kunder om, hvad I registrerer om dem. Den skal typisk indeholde:

• Hvilke typer personoplysninger der indsamles.
  • Eksempel: Navn, adresse og e-mail
• Til hvilket formål personoplysningerne registreres.
  • Eksempel: For at virksomheden kan levere varen og sende en faktura
• Hvem den dataansvarlige er og kontaktperson.
  • Eksempel: Den dataansvarlige er www.lækreaffaldsspande.dk og kontaktpersonen ift. persondataretlige spørgsmål er Bo Brandt Cramer – bbc@dandomain.dk / 8777 9045
• Hvor længe de indsamlede oplysninger opbevares.
  • Eksempel: De indsamlede oplysninger opbevares i 5 år, hvorefter oplysningerne slettes. De 5 års opbevaring er et krav fra bogføringsloven.
• Hvorvidt persondata videresendes til tredjemand
  • Eksempel: Vi videresender din e-mailadresse til Trustpilot, i forbindelse med at du afgiver en anmeldelse.

Kort sagt skal du informere om, hvad I registrerer om jeres kunder, og hvad I bruger det til.

Vi kommer til at lave en skabelon i shoppen, som du kan tage udgangspunkt i. I første omgang bliver den på dansk, men senere også engelsk.

Hvad hvis jeg skal overføre data til tredjelande?

Må du godt bruge amerikanske eller andre tredjelandes systemer, applikationer eller integrationer? Ja, men du skal tænke dig om, for det hele bliver mere besværligt, end hvis du bruger et europæisk system, idet du ikke kan være sikker på, at de har samme databeskyttelse som i EU.

Så snart du anvender en leverandør uden for EU, skal du sikre, at du har særskilt hjemmelsgrundlag – dvs. du skal have en lovlig grund til at anvende systemer og lignende uden for EU.

Du kan få lov (hjemmel) til at anvende tredjelandes systemer, hvis:

• Det er sikre tredjelande (kan også være særlige sektorer i tredjelande)
• Det er privacy shield-certificerede virksomheder i USA (indtil videre)
• Der er tale om standardbestemmelser godkendt af Kommissionen (Standard Contractual Clauses)
• Der er tale om bindende virksomhedsregler (BCR)

Kan din virksomhed ikke anvende nogen af ovenstående metoder? I mangel af anden hjemmel kan overførsel af oplysninger til tredjelande også ske uden specifik godkendelse, hvis:

• Der foreligger udtrykkeligt samtykke fra datasubjektet
  • Information om mulig risiko ved utilstrækkelig beskyttelsesniveau
• Det er nødvendigt for opfyldelse af en kontrakt
• Det er nødvendigt af hensyn til vigtige samfundsinteresser, retskrav eller vitale interesser
• Der er tale om et enkeltstående, begrænset tilfælde, hvor vægtige legitime interesser taler herfor.

Men: Kan du finde en lige så god leverandør (databehandler) i EU frem for uden for EU, så sparer du altså en del arbejde ved at vælge den europæiske leverandør.

Hvad bliver konsekvensen, hvis der sker et brud på persondatasikkerheden?

Et datasikkerhedsbrud er defineret som:

Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Sker der et datasikkerhedsbrud, er du som dataansvarlig forpligtet til at orientere Datatilsynet inden for 72 timer. Det gælder også i ferieperioder, under jul og i påsken.

I forbindelse med brud på persondatasikkerheden gælder reglen om omvendt bevisbyrde. Det vil sige, at du som virksomhed selv skal bevise, at bruddet ikke er sket hos dig.

Der kommer en fælles indberetningsside på virk.dk, hvor du kan indberette datasikkerhedsbrud.

Hvad kan et brud på persondatasikkerheden koste?

I modsætningen til tidligere er bødeniveauet væsentligt forøget med den nye persondataforordning.

Bødeniveauet kan være op til € 20.000.000 eller 4 % af virksomhedens globale omsætning (afhængig af, hvad der er højest).

Sanktionerne tager højde for skadens størrelse, om det er sket mange gange før, og ’grovheden’ så at sige.

Afsluttende gode råd til GDPR

Vi anbefaler, at du går i gang med GDPR-arbejdet nu – hvis du ikke allerede er gået i gang.

De nye tiltag er kommet for blive, så du kan lige så godt begynde at lave de nødvendige tilpasninger og tage stilling til, hvordan I efterlever GDPR.

Selvom persondataforordningen træder i kraft den 25. maj 2018, kan det dog være svært at vide endnu, hvordan Datatilsynet konkret forholder sig til reglerne endnu.

Der er stadig en del gråzoner i lovgivningen, så i stedet for at implementere en masse, der måske slet ikke giver mening for din forretning, anbefaler vi, at du fokuserer på de områder, der er på plads.

Spørgsmål til persondataforordningen?

Hos Dandomain ønsker vi også at hjælpe jer så vidt muligt med at efterleve og være ’compliant’ med den nye persondataforordning/GDPR.

Derfor giver vi gratis vidensdeling så som dette blogindlæg og vores kurser, og så arbejder vi lige nu bl.a. på:

• Privatlivspolitik-skabelon (UPDATE: Kan nu findes og downloades på vores compliance-side her)
• GDPR-tjekliste (UPDATE: Kan nu findes og downloades på vores compliance-side her)
• Nye features i shoppen

Har du spørgsmål, så smid dem gerne i kommentarfeltet, så vil vi så vidt muligt forsøge at besvare dem.

Men husk på, at Dandomain ikke er juridiske eksperter, og har I specifikke juridiske spørgsmål, anbefaler vi, at I konsulterer en persondata-ekspert.

På gensyn til part 2, hvor vi anskuer GDPR fra en mere praktisk vinkel. Læs bl.a. mere om, hvordan vi selv har forholdt os til GDPR, og få tips til, når I skal gøre det i jeres forretning. Derudover sætter vi fokus på Dandomain shoppen og de funktioner, vi planlægger at implementere, så det bliver nemmere for jer shopejere at efterleve GDPR.

... Trænger du til at lytte i stedet for at læse? Lyt evt. til denne podcastserie fra e-mærket, der handler om GDPR - hvad du må (og ikke må) med kunders data.

I afsnit #2 er Dandomain bl.a. med... Lyt med her >>