Nyhed - Onsdag - d. 3-12-2014

Ny persondatalov på vej

EU’s kommende persondatalov stiller store krav til virksomheders og myndigheders tekniske og organisatoriske omgang med data. Derfor kan det være klogt allerede nu at begynde at forholde sig til, hvad der er i vente.

Af Jacqueline Johnson, medlem af DANSK IT’s fagråd for strategi og ledelse

Mens virksomhederne har travlt med at udvikle systemer for at samkøre al information om deres kunder, så foregår der også en modsat trend hos kunderne, nemlig ønsket om at holde sine oplysninger private.

I princippet understøttes det sidstnævnte af det nuværende EU direktiv på området. Men da det har vist sig, at direktivet er uspecifikt på en række punkter, har man taget initiativ til den nye persondatalov. Det nuværende EU direktiv er blandt andet uspecifikt i forhold til at sikre den enkelte gennemskuelighed i forhold til, hvordan data bliver brugt. Det er uspecifikt i forhold til samtykkekravet, og til dokumentationen af efterlevelsen samt styring af datasikkerheden hos leverandører. 

Den nye persondatalov er blevet godkendt i parlamentet og ligger nu i EU rådet for videre ekspedition. Implementeringsperioden vil være 2 år.  Mange krav findes allerede i dag, men bliver præciseret.

Den enkelte får blandt andet en række specificerede rettigheder såsom ret til information om, hvornår data er indsamlet, og hvor lang tid data skal opbevares, formålet med dataindsamlingen samt hvilke organisationer, som har adgang til data. Endvidere får den enkelte ret til at få adgang til data, at få slettet og rettet sine data, samt at få stoppet for opsamling af data, der bruges til at få tegnet en personprofil.

En af de store ændringer, som får konsekvenser for organisationer, vedrører efterlevelsen. Udgangspunktet er bøder. Man har her taget udgangspunkt i skalaen, som benyttes i konkurrencesammenhæng. Det vil sige, at man risikerer bøder på 2-5% af den globale omsætning eller for en offentlig organisation 100.000 Euro.

En fordel for multinationale virksomheder er one stop. Det betyder, at virksomheden alene behøver at kommunikere med datatilsynet i det land, hvor hovedsædet ligger, uafhængigt af i hvilket EU-land en sag foregår. En anden fordel er, at det bliver en lov og ikke et direktiv, hvilket indebærer, at alle lande har samme implementering.

I praksis vil organisationerne stå med tunge udfordringer især i forhold til dokumentationen af samtykke, efterlevelse af sikkerhedskontroller hos sig og sine leverandører samt i forhold til sletning af data.

Organisationerne står overfor at skulle etablere tekniske og organisatoriske procedurer for at kunne opfylde individets rettigheder inden for tidsfristen. Endvidere kan tidskravet for information til datatilsynet ved incidenter blive svært at efterleve, hvis man har leverandører i flere rækker.

Den nye persondatalov er også på programmet, når DANSK IT afholder sin årlige konference Offentlig digitalisering . Her fortæller Jacqueline Johnson mere om, hvad der er i vente.

Offentliggjort på dit.dk den 3. december 2014.