Ekspert: Intet jordskred i strammere dataregler

Den enkelte får bedre og mere præcise rettigheder med EUs nye opstramning af beskyttelsen af privatlivet og brugen af folks data, men mest af alt skal myndigheder og virksomheder nu efterleve de regler, som allerede findes, siger ekspert i persondataret.

Foto: Ivan Kruk. »En entreprenør med 50 medarbejdere, hvis eneste data er personaledata, har en meget begrænset risikoprofil, hvorimod Matas med flere end en million danske kvinder som medlemmer af Club Matas med deres købshistorik eller ATP, som sammen med Skat konkurrerer om at have flest data om danskerne, får et stort arbejde,« siger Michael Hopp.
Læs mere
Fold sammen

EUs stramning og ensretning af beskyttelsen af privatlivet og brug af folks personlige data handler i virkeligheden mest om, at alt for få har gjort, hvad de skulle, for at sikre folks data. Det skal de nu, og nu vanker der bøder, når det går galt.

»Der er ingen jordskredsændringer. Der er ingen væsentlige, nye begrænsninger på, hvornår man må bruge folks data. Dér, hvor det virkelig flytter sig, er på den praktiske efterlevelse. Nu fanger bordet. Nu gider man ikke mere slinger og slendrian. Dette rykker overholdelsen af persondatalovgivningen op på direktionsgangen, hvor ledelsen er nødt til at interessere sig for det. Samtidig skubber forordningen persondataspørgsmålet ned i organisationen, så det bliver en del af medarbejdernes hverdag, både hos myndigheder og i virksomheder. Meget få virksomheder efterlever i dag disse regler fuldt ud,« forklarer advokat Michael Hopp, partner i advokatfirmaet Plesner og ekspert i persondataret.

Han mener, at den menige bruger med de nye EU-regler får bedre og mere præcise rettigheder, som går lidt længere end hidtil.

»Retten til at blive glemt er dog ikke absolut – man kan f.eks. ikke ringe til Skat eller sin bank og få slettet alle sine data. Men myndigheder og virksomheder får nu pligt til af egen drift at forholde sig til, hvilke data de indsamler, om de må det, om de har styr på samtykker fra folk, om data bruges lovligt, om de bliver slettet til tiden, og at fortælle folk, at man faktisk har disse data. Det skal de dataansvarlige nu selv investere kræfter og ressourcer i at efterleve.

Det er regler, som allerede findes, men som meget få efterlever. Mange virksom­heder og myndigheder har gjort alt for lidt for at sikre, at deres data behandles lovligt. Nu tvinges de til at vise, at de har tænkt sig om, og det bliver et krav, at man fremover skal gennemtænke tingene, inden man sætter det i gang,« siger Michael Hopp.

Selvkontrol, der fanger

Der er flere danske eksempler på overtrædelser af allerede den nuværende lovgivning. I Region Midtjylland viste det sig, at selv piccolinen havde adgang til de elektroniske patientjournaler, og Rejsekortet havde ikke en dataslettepolitik men fortsatte bare med at indsamle flere og flere data.

»I virkeligheden er de nye regler ingen revolution. Nu skærper man blot kravene til, hvordan den dataansvarlige myndighed eller virksomhed skal sikre, at man efterlever reglerne. For det er meget få virksomheder, der efterlever dem i dag, og ingen lande i Europa har råd til et datatilsyn med så mange medarbejdere. Derfor går man fra myndighedskontrol til egenkontrol, hvor man selv skal etablere systemer og køre interne kontroller,« siger Michael Hopp.

Han sammenligner det med, at en køkkenmedhjælper i kantinen fremover skal tage temperaturen i køleskabet og notere klokkeslæt, dato og temperatur. Når fødevaremyndighederne så kommer på besøg, tager de temperaturen og kikker på listen. Og det bliver strafbart at afgive urigtige oplysninger.

Oveni kommer ret bøder, der er til at forstå, nemlig op til fire procent af den globale omsætning på et år. De udløses, hvis man overtræder reglerne eller ikke har et kontrolprogram som krævet.

»Alle virksomheder og myndigheder kan spørge sig selv, hvilke data de har, hvilke aktiviteter de udøver, hvor persondata indgår, og analysere, om man må det, som man gør. Dernæst skal man se på risikoprofilen – ikke for at blive hacket, men at man netop ikke bruger data til noget, man ikke må, og at samtykkerne er formuleret rigtigt. For hvis man ikke ved, at nogen indsamler data, kan man som bruger ikke gøre indsigelse,« forklarer advokaten.

Risikoen er forskellig

Den enkelte virksomhed eller myndighed skal også gøre op med sig selv, hvilke krav der skal stilles til kontrollen.

»En entreprenør med 50 medarbejdere, hvis eneste data er personaledata, har en meget begrænset risikoprofil, hvorimod Matas med flere end en million danske kvinder som medlemmer af Club Matas med deres købshistorik eller ATP, som sammen med Skat konkurrerer om at have flest data om danskerne, får et stort arbejde,« siger Michael Hopp.

Erhvervsstyrelsen lancerede i november privacykompasset.dk som led i vækstplanen for digitalisering af Danmark. Det er et værktøj, som skal hjælpe virksomheder med at kortlægge deres brug af persondata, så de kan overholde reglerne om databeskyttelse og undgå retssager, bøder og kundeboykot.

Dansk Industri (DI) er i gang med at udarbejde vejledningsmateriale og vil rykke massivt ud for at rådgive virksomhederne om, hvad de skal tage hånd om.