Der er ikke kun nye regler, man skal lære, når EU’s persondataforordning træder i kraft maj 2018. Det er også et væld af nye ord og begreber, som ikke altid er lige lette at gennemskue. Her er måske lidt hjælp.

Når EU’s persondataforordning, GDPR (General Data Protection Regulation), den 25/5 2018 afløser den hidtidige danske persondata-lovgivning, sker der ikke kun en masse nyt, man skal forholde sig til. I takt med, at især de digitale medier og muligheder har udviklet sig og åbnet op for muligheder, som ikke eksisterede for 10-15 år siden, introduceres også en lang række nye begreber.

Nogle af disse er bare en ”del af pakken”, mens andre er meget vigtige og er noget, man både som dataansvarlig og databehandler skal forholde sig til. Mange af disse kræver af man ændrer sin tilgang til at bruge og beskytte persondata fremover.

Vi har samlet de vigtigste af ordene og forsøgt at forklare dem.

De er ikke beskrevet i prioriteret rækkefølge, men i alfabetisk orden (for at give et bedre overblik).

Og husk, det er en redaktør, der har beskrevet dem – ikke en jurist. Så er du i tvivl, så søg hjælp hos din læge (eller advokat).

Audits

Persondataforordningen giver den dataansvarlige mulighed for at foretage et audit (et kontrol-besøg) hos deres databehandler. Her skal databehandleren vise, hvordan de har sikret personfølsomme data. Dette kan være rent fysisk, hvis databehandleren har egne servere eller håndterer analoge oplysninger (papir) eller på f.eks. cloud-løsninger.

Den nationale myndighed (i Danmark Datatilsynet) kan også foretage et audit hos en dataansvarlig eller dennes databehandler.

Man kan som hovedregel ikke afvise et audit.

Back-to-back vilkår

Back to back-begrebet indebærer, at ansvaret for overholdelse af aftaler og instrukser nedarves fra f.eks. databehandler til dennes dataunderbehandler.

Princippet er, at man ikke skal kunne fraskrive ansvaret ved at lave aftaler med underleverandører.

Dataansvarlig

Den dataansvarlige er den person eller virksomhed, der ejer data og som driver sin forretning på baggrund af disse. F.eks. en webshop.

Den dataansvarlige skal altid kunne dokumentere, at behandling af personoplysninger ikke overtræder persondataforordningen.

Databehandler

En databehandler håndterer behandling af data for en dataansvarlig efter en instruks om, hvordan disse data skal behandles.

Hvis en databehandler bliver klar over, at den dataansvarlige håndterer persondata ulovligt, har databehandleren pligt til at gøre opmærksom på dette.

Databehandleraftale

En databehandleraftale er en aftale, der bliver indgået mellem den datasvarlige og den eksterne partner, der håndterer data for kunden. Aftalen indeholder generelle samarbejdstermer, men er opbygget omkring en tydelig instruks fra den dataansvarlige.

Datasubjekter

Et datasubjekt er den person, som man henfører data til.

Dataunderbehandler

En dataunderbehandler er databehandlerens partner, hvis databehandleren ikke selv kan håndtere eller yde en given service, det kan f.eks. være cloud-baserede server-løsning. Brug af underdatabehandlere kræver samtykke fra den dataansvarlige.

Databehandleren skal indgå en databehandleraftale med dataunderbehandleren.

DPIA

Hvis man håndterer mange persondata skal man udarbejde en Data Privacy Impact Assessment, en såkaldt DPIA.

DPIA’en skal beskrive, hvad der sker, hvis der forekommer et sikkerhedsbrud. Det skal omfatte både egne konsekvenser, samt konsekvenser for de personer, hvis data der er kompromitteret.

En DPIA skal også vise, hvad man agter at foretage, hvis der opstår et sikkerhedsbrud, f.eks. fortælle alle berørte privatpersoner, hvad der er sket.

DPO

En DPO er en data protection officer. Vedkommende skal sikre, at virksomheden overholder EU’s persondataforordning. Det anbefales i forordningen, at vedkommende ikke tilknyttes hverken en

IT- eller en kommerciel afdeling, men har en fri rolle i organisationen. Det anbefales desuden, at DPO’en refererer direkte til ledelsen i virksomheden.

EU opfordrer alle, der håndterer persondata til at få en DPO. Hvis man er offentlig myndighed eller en virksomhed, hvis kerneforretning er at håndtere eller bearbejde persondata, SKAL man have en DPO.

GDPR

GDPR er i daglig tale den kortere version af General Data Protection Regulation, eller på dansk EU’s nye persondataforordning.

Instruks

En instruks er den opgave-beskrivelse, der fastlægger opgaverne og ansvarsfordelingen mellem den dataansvarlige og databehandleren, når der behandles persondata. Det er den dataansvarliges ansvar at sikre, at der foreligger en tydelig instruks.

Instruksen indgår i databehandleraftalen.

Permission

En permission er ikke noget nyt: Det er en tilladelse til at kontakte en given person, oftest via mail.

Der skal – som i dag – indhentes samtykke fra en modtager, før man kan sende noget eller kontakte vedkommende. Det nye er, at man skal vide, hvad man vil bruge de indsamlede data til – ellers må man ikke indsamle dem. Man må således ikke bare bede om f.eks. køn eller postnummer, hvis ikke man ved, at disse skal bruges til f.eks. segmenterede nyhedsbreve.

Endvidere skal permissions (og ofte de dertilhørende data) slettes senest 6 måneder efter, at de er brugt sidst.

Persondata

I den nye persondataforordning skelnes der kun mellem persondata og følsomme persondata (tidligere var der også en mellemting af en lille smule følsomt).

  • Persondata er bl.a. navn, adresse, online-id.
  • Følsomme persondata er bl.a. informationer om helbred, race, seksuel orientering, religion og politiske tilhørsforhold (herunder medlemskab af fagforening).

Det danske cpr-nummer er IKKE omfattet af hverken persondata eller følsomme persondata. Justitsministeriet arbejder med en særlov om cpr-numre, som introduceres senere på året.

Personhenførbare data

Personhenførbare data er data, som kan henføres til en given person. Det kan både være enkelte data, som f.eks. navn, men kan også være flere sammensatte datasæt som f.eks. en mail-adresse, interesser og geografi.

Privacy by Design/Default

Privacy by Design eller Default er et nyt begreb i EU-forordningen. Dette indebærer, at man fremover altid skal indarbejde persondata-sikring, når man udvikler nye systemer eller platforme.

Rent praktisk betyder det, at man SKAL tænke persondatasikkerhed med i alle de nye IT-projekter, som involverer persondata.

Privacy Shield

Privacy Shield-aftalen er afløseren for Safe Harbour-aftalen mellem EU og USA. Privacy Shield-aftalen giver virksomheder i EU og Schweiz retningslinjerne for at overføre personlige data mellem EU/Schweiz og USA.

Right to be forgotten

Right to be forgotten er et helt nyt begreb. Det betyder i al sin enkelthed, at den enkelte person (dataobjektet) kan bede en dataansvarlig om helt at blive slettet fra deres database(r). Dette betyder, at vedkommende ikke bare skal angives som inaktiv på f.eks. en mail- eller telefonliste, men helt skal slettes fra listen.

Endvidere skal al data, der har været forbundet med den pågældende, f.eks. åbningsstatistikker, også slettes.

SCC

SCC betyder Standard Contractual Clauses og er flere standard-aftaler udformet af EU til brug, når data sendes fra et EU-land til et land, der ikke er medlem af EU. SCC-aftalerne omfatter også, hvis data behandles i et land uden for EU.

Mere hjælp til persondataforordningen:

EU’s egen forklaring af data-beskyttelse.

Dansk Industris vejledning til implementering af Persondataforordningen

Er du i tvivl, så bare spørg. Jeg eller en af mine kolleger kan helt sikkert hjælpe dig.