I et tidligere blogindlæg diskuterede jeg, hvad EU's persondataforordning, GDPR, er, og gav en overordnet introduktion af begreberne. I dette blogindlæg dykker jeg lidt dybere ned i forordningens principper, rettigheder og sanktioner.

Principperne bag Privacy by Design og Privacy by Default

GDPR håndhæver konceptet 'databeskyttelse' gennem Privacy by Design og Privacy by Default. Det betyder, at virksomheder og organisationer pålægges at overholde nogle få principper i deres behandling af personlige data og oplysninger.

Specifikt, skal personlige data og oplysninger:

• Behandles lovligt, retfærdigt og transparent
• Indsamles til specificerede, eksplicitte og legitime formål
• Begrænses til det absolut nødvendige
• Holdes ajourførte
• Ikke tillade identifikation af personer i længere tid end nødvendigt
• Behandles på en måde, der sikrer en passende sikkerhed.

Forordningen medfører, at organisationerne bag indsamlingen er ansvarlige og skal kunne påvise, at principperne overholdes. Så hvordan opnår vi det?

Faktisk afhænger svaret af, hvilken type af personoplysninger, der behandles, og mængden af data, der behandles. Der kan dog trækkes nogle generelle emner ud af ovenstående principper. For eksempel forstærker sidstnævnte af ovenstående punkter værdien af at kryptere data og trafik gennem et website. Så måske beder du personer om at give feedback og indsamler deres e-mail i processen. Det falder indenfor rammerne af GDPR, fordi en email-adresse er en identificerbar oplysning. En måde at sikre, at du overholder dette princip på, er at håndhæve HTTPS-trafik via dit website.

Hvorvidt databehandlingen er lovlig er et stort kapitel i sig selv. Hvordan vil du vise, at du behandler personlige data på lovlig vis? Den nemmeste måde er at kræve samtykke fra den person, oplysningen omhandler. Her skal du være i stand til at dokumentere følgende:

• Personen gav sit samtykke
• Anmodningen om samtykke blev tydeligt præsenteret for personen
• Personen har mulighed for at trække sit samtykke tilbage.

Personer skal hermed altid tilmelde sig via en samtykkeformular, der præsenterer information på en klar og genkendelig måde. Når en bruger for eksempel tilmelder sig en tjeneste via sin e-mail, sit telefonnummer eller en SoMe profil, skal personen eksplicit sætte et kryds i et afkrydsningsfelt. De dage, hvor en person skulle fjerne krydset i et afkrydsningsfelt for ikke at give sit samtykke, er for længst forbi. Personer har ret til at blive informeret på et klart og forståeligt sprog.

Personers rettigheder

GDPR definerer specifikke rettigheder vedrørende personlige data. Disse er:

• retten til at blive informeret  
• retten til adgang  
• retten til at rette en forkert oplysning  
• retten til at slette (ret til at blive glemt)  
• retten til at begrænse behandling af data  
• retten til dataportabilitet  
• retten til at gøre indsigelse 
• retten til ikke at blive underlagt automatiseret beslutningstagning, herunder profilering.

Organisationer og virksomheder skal træffe passende, informerende foranstaltninger for, at disse rettigheder udøves. Forordningen specificerer, at alle former for kommunikation skal være i en præcis og let tilgængelig form ved hjælp af klart og almindeligt sprogbrug. Det betyder, at juridiske dokumenter skal revideres, så de er mere tilgængelige for offentligheden.

Den nok mest velkendte ret er retten til at blive glemt. Den blev kendt gennem massiv omtale i 2014, efter EU-Domstolen traf afgørelse mod Google. Domstolen fastslog, at søgemaskiner er ansvarlige for deres resultater på søgninger, og derfor var Google forpligtet til at overholde EU's lov om privatlivets fred. For at overholde afgørelsen, måtte Google skabe nye rammer for at få links fjernet fra sit EU-indeks og gøre det muligt for privatpersoner at anmode om, at links fjernes.

Virksomheder og organisationer skal sikre, at de har etableret processer og procedurer og ydermere undervist deres personale i at håndtere personer, der udøver disse rettigheder. En anmodning skal håndteres indenfor en måned fra indsendelse, og det skal være gratis. Ellers pålægges sanktioner.

Sanktioner

Så hvad sker der, hvis en virksomhed eller organisation ikke overholder principperne eller nægter borgere deres rettigheder? Loven specificerer to typer af sanktioner:

1. Bøde på op til 10.000.000 EUR eller 2% af den samlede omsætning på verdensplan, alt efter hvad der er højest.
2. Bøde på op til 20.000.000 EUR eller 4% af den samlede omsætning på verdensplan, alt efter hvad der er højest.

Databeskyttelse gennem principperne Privacy by Design og Privacy by Default hører under førstnævnte bøde, og samtykke eller dataoverførsel til tredjelande falder indenfor den anden. Endvidere fastsætter forordningen, at enhver person, der har lidt materiel eller ikke-materiel skade, har ret til at modtage kompensation.
                    
Hvis du er usikker på, om EU's kommende persondataforordning gælder dig, er du bedre stillet ved at være på den sikre side. Forberedelserne er lettere end at betale de massive bøder, hvis du er i strid med de nye regler. Kontakt os, og lad os hjælpe dig med at forstå GDPR's betydning for dig, eller Se webinaret "Understanding the EU's new General Data Protection Regulation (GDPR)".