EU Persondataforordningen giver bøder på 4% af omsætningen eller 20 millioner €

EU Persondataforordningen giver bøder på 4% af omsætningen eller 20 millioner € 2016-12-24T11:37:43+00:00

KORT FORTALT: I december 2015 nåede Rådet og Europa-Parlamentet til enighed om udkastet til forordning. 8. april 2016 vedtog Rådet sin førstebehandlingsholdning. Udkastet til forordning blev siden vedtaget af Europa-Parlamentet 14. april 2016. Det vil således have en lovgivningsmæssig effekt i Maj 2018.

Samtlige offentlige og private virksomheder i hele verden er berørt, hvis de vil opbevare, transportere eller behandle personlige data om europæiske statsborgere.

EU KOMMISSIONENS INTENTION: Forordningsudkastet opdaterer og moderniserer principperne i databeskyttelsesdirektivet fra 1995 ved at fastsætte fysiske personers rettigheder og forpligtelser, der påhviler dem, som behandler data og/eller har ansvaret for databehandlingen. Det fastlægger også, hvilke metoder der skal sikre, at reglerne overholdes, og anvendelsesområdet for sanktioner mod dem, der overtræder reglerne.

HVAD OMFATTES: Persondata som under den tidligere persondatalov, nu med tilføjelse af genetiske data (for eksempel DNA) og biometriske data (for eksempel fingeraftryk).  Derudover introduceres konceptet “pseudonyme data”, som er en måde at håndtere persondata, hvor dataene og de tilknyttede informationer, der er med til at identificere personerne bag dataene, holdes adskilt.

HVEM OMFATTES:  Alle EU borgere samt specielt for børn: Samtykke fra børn vil under persondataforordningen blive reguleret særskilt fra voksne hvorfor børn under 13 år ikke kan give samtykke til behandling af persondata i forbindelse med online-serviceydelser som f.eks. spil, børneportaler og f.eks. appstores m.v. Derudover indføres der krav om, at der foretages såkaldte “Privacy Impact Assessments” i en række situationer, hvor behandlingen af persondata kan medføre særlige risici for den enkelte.

24-72 TIMERS UNDERRETNINGSPLIGT: hvorefter underretning om alvorlige brud på datasikkerheden skal ske inden for 72 timer til de nationale datatilsyn. Både virksomheder og myndigheder skal fremover sikre, at persondatabeskyttelses reglerne overholdes samt dokumentere, at dette sker ved hjælp af interne procedurer og privatlivspolitikker som også omtales Privacy By Design og Privacy by Default.

Fra Agil Udvikling A/S ses Direktør Michael Rasmussen (TV) og M.Sc. Ingeniør Lars Thougaard (TH) der er med til at sikre Compliance projekter bl.a. inden for APP Udvikling samt IT, Pharma og Life Science branchen.

Få et tjek for alle lovgivninger på tværs af brancheskel med førende Ingeniører fra branchen

På foto ser du M.Sc. Ingeniør Lars Thougaard samt Direktør Michael Rasmussen der er vant til at arbejde med validering og compliance projekter. Via Talent Finder® og VERIO® og Det Rådgivende Ingeniørfirma Innovation Support A/S er der rige muligheder for at vælge den rigtige konsulent eller ansatte som kan sikrer at du overholder lovgivning og sikkerheds- og el-direktiver for maskiner og IT Park samt generelle IT direktiver og lovgivninger herunder lovgivningen vedtaget i April 2016, EU Persondata Forordningen. Ring til os på telefon 32177777 lokal 240.

Alle virksomheder, forhandlere, udbydere og formidlere skal opfylde Databeskyttelsesreformen (Persondataforordningen)

Disse nye datakrav til alle kan blive en dyr fornøjelse hvis hvis persondata beskyttelsen ikke overholdes. Innovation Support A/S og VERIO® udbyder konsulenter der kan certificere virksomheder via en VERIO® FAST TRACK certificeringsordning som er etableret gennemgang af hvordan de data som indeholder persondata reelt beskyttes i forhold til lovgivningen.

Den reelle lovgivning skal være opfyldt af enhver virksomhed og omhandler disse fakta;

  • Der skal betales 4 procent af omsætningen eller 20 millioner euro i bøde HVIS persondatabeskyttelsen tilsidesættes
  • Denne nye allerede vedtagne forordning om borgernes digitale beskyttelse vil gælde for hele EU
  • I hele EU gælder lovgivningen for både myndigheder, borgere og virksomheder som opbevare persondata
  • Persondataforordning/Lovgivningen er ALLEREDE vedtaget i EU og træder i kraft 2018
  • Det kan tage op til 1 år at implementere ny teknologi hvorfor det kan være for sent at starte på ændringerne i 2017

At komme i Compliance med loven, koster fra 1.985,- kr. men ALLE virksomheder, foreninger og det offentlige skal overholde lovgivningen. Ring 32177777 lokal 240.

EU’s intention i denne samlede persondataforordning er:

  • at alle borgere og/eller brugere SKAL give specificeret samtykke til hvilke data og hvor ens data kan benyttes
  • at give borgere og/eller brugere en bedre digital beskyttelse mod misbrug
  • tillige også “genbrug” af personlige oplysninger til formål, som ikke fremgår af samtykket
  • at skabe en juridisk veldefineret lovgivning,
  • hvortil der kan uddeles bøder til enhver, som i starten af 2018 ikke overholder retningslinjerne.
  • gøre det lettere for virksomhederne fordi der fremover kun vil være ét sæt regler gældende for hele EU.

Forbruger gennemsigtighed kan blive til datasikkerheds mæssigt mareridt

Fremover vil det således være gældende jf. persondataforordning fra EU-Kommissionen at enhver type af registrerede brugere kan kræve at se de oplysninger, virksomheder har indsamlet. Dette kan blive svært at overholde og vi spår at forordningen i sin helhed vil komme under massivt pres, fordi det med stor sandsynlighed ikke vil være muligt for tusindvis af virksomheder at vise hvilke data de har om hver bruger.

Tillige vil det ikke være muligt at vise alle brugerdata uden at disse jo er nemmere tilgængeligt via sikkerhedshuller med mere. Dette kan betyde at forordningen, som har til hensigt at beskytte borgerne, stik modsat hensigten, i stedet har den effekt at endnu flere dataindbrud, blotlægger flere personlige data end før forordningen blev indført.

Dette alene fordi virksomhederne skal finde en metode til at imødekomme kravene, således at de indsamlede data kan vises via internettet. De databaser der hermed kommende skal oprettes skal beskyttes ualmindeligt godt, for at imødekomme hacking.

Samtidigt er det sådan at det bliver almindeligt kendt at data fra forskellige typer af industrier vil være kendt og derfor oplagte hacker mål, allerede inden forordningen er juridisk bindende for alle EU virksomheder.

Hensigten med at skabe tryghed kan blive forvandlet til angst

Vi tror derfor at EU’s hensigt om at skabe tryghed kan blive til frygt for misbrug hos EU’s borgere. I forvejen er der store problemer med datasikkerhed, fordi enhver telefon er åben for aflytning af samtaler, sms, apps, passwords og lign. efter afsløringen i programmet “60 Minutes”.

På grund af dette vil forbrugerne være tilbageholdende med at købe/tilmelde sig og afgive information på Internettet.

Dette vil desværre skade hele EU’s konkurrenceevne er vor vurdering. EU-Kommissionen har jf. nærværende intentioner den vision, at forordningen vil skabe: nye digitale markedspladser som paraply portaler for tryghed og beskyttelse af brugeroplysninger.

Til dette tror jeg at lovgivningen gennemhulles af konvergens baseret Applikationer APPS, Plugins og brugervilkår der bevirker at brugerne er tilbageholdende med at afgive samtykker hvorfor der så som konsekvens heraf vil være færre der bruger APPS, Software, Portaler og faciliteter på Internettet som jo netop kan give samfundsmæssige besparelser og samtidigt understøtte væksten i de digitale ydelser.

Dette har betydning for den milliardomsætning som hele markedet for APPS og Digitale tjenesteydelser. Gratis applikationer såsom Google og betalingsbaserede Apps såsom spil, tjenester og endda Open Source Software og almindelig licensbaseret software vil formentlig kunne bemærke en nedgang, skønner vi og mange andre risk advisory firmaer.

En jungle af samtykker og kontrakter kan skræmme brugerne

Persondataforordningen stiller grundlæggende ret STORE krav til virksomheder og organisationers it-politik for datasikkerhed, og som en del af forordningen har Europa Kommisionen krævet en bruger ordning med et utvetydigt samtykke.

Som det er i dag er vi tvunget til at sige JA til cookies for at bruge selv de mest basale websteder. Når man har klikket JA til cookies ved de færreste hvad de har sagt ja til… og kender således ikke til konsekvenserne, eller hvad de tilhørende accepter og dermed salgs- og leveringsbetingelser og erklæringer om privatliv, cookies og vilkår for anvendelse reelt dækker over.

Persondataforordningen kræver allerede vedtaget nu, at virksomheder eller organisationerne skal være 100% sikre på, at brugeren har givet et indforstået samtykke om både opsamlingen og anvendelse af de personlige data der afgives.

  • Hvordan det hele rent praksis skal administreres siger EU-Kommissionen ikke noget om
  • Hvordan sikkerhed skal kunne garanteres, opnås eller klages over siger EU-Kommissionen ikke noget om
  • VERIO® Privacy By Design og Privacy by Default fasttrack certificeringen i Persondataforordningen kan attestere juridisk at Persondataforordningens vilkår er overholdt.

Mange APPS, Cloud Services, software systemer og brugerlicenser skal tillige laves om på leverandør siden. Men hvem skal have bøde hvis det forsat ikke står klart hvis man f.eks. som Microsoft forhandler leverer en ydelse til en kunde. Er det forhandleren eller producenten. Dette forventer vi en afklaring på hen over sommeren.

Brugervenligheden ved betjening af computere, pads og PC’ere kan blive sat årtier tilbage eller få en dårligere stilling end i starten af 90’erne.

VERIO® registrering og certificering

Vi anbefaler at du først og fremmest kontakter en af vore konsulenter, hvorefter vi fremsender gratis registreringsark. På disse ark registreres data som er omfattet af lovgivningen.

  • hvad bruges data til
  • hvilken bruger erklæringer er tilknyttet
  • hvordan benyttes data af virksomheden og af hvem
  • Risikoanalyse af opbevaring, drift, servere, spejle, backup og integration, det kan f.eks. være HR video, forskningsresultater, statistikker om brugervaner e.t.c.
  • It-afdelingerne kan allerede nu forberede interne og eksterne systemer således at enhver data som er registeret kan slettes, modificeres eller evt. specificere nye samtykker på basis af de viste. Data kan ligge på flere servere, i flere afdelinger og internt/eksternt.
  • VERIO PLAN for for implementering af processer og kontrolforanstaltninger, der sikrer imod risikoen for, at man overtræder forordningen

Der er kun 1 alternativ til Persondataforordningen

Hvis firmaer og organisationer helt standser med at indsamle brugernes oplysninger, er de ikke omfattet af EU Kommissionens Persondataforordning.

Men dette kan føre til:

  • En dårligere brugeroplevelse, der kræver langt mere tid på hvert websted, software eller APP.
  • Daglige genindtastninger af simple simple oplysninger såsom email, adresse, sprog, og kreditkortskoder m.v.
  • Andre oplysninger er sådan noget som statistik, indkøbs statistik, lister af enhver art, foretrukne oplysninger og personlige preferencer skal genindtastes fra gang til gang

Det er nu ALLE skal reagere, hvis du vil undgå bøder for til næste år vurdere mange at det er for sent

Persondataforordningens parter er både producenter, virksomheder, organisationer, forhandlere, butikker, rådgivere, formidlere og enhver der udgiver software, APPS og services på internettet.

Persondataforordningen vil entydigt og ubestrideligt giver mer omkostninger til alle parter også virksomheder uden for EU hvis de forsat vil leverer til EU.

Nye bruger erklæringer, samtykker og betingelser vil betyde omkostninger til Agil Udvikling og Service Design i millardklasssen

Vi gætter på ca. 150 milliarder euros i omkostninger som går til Agil Udvikling, Service Design og administration af nye bruger erklæringer, nye Service Design interfaces såfremt at brugerdata skal transporteres fra service til service eller domæne til domæne eller firma til firma. Helt nye Service Designs accept-rutiner og administration af disse, og der er tilmed forslag om, at samtykket er tidsbegrænset, så brugeren med mellemrum skal gentage sin accept.

Der kan rejses mange problemstillinger, for hvad gør man ved familiens computere hvor der er flere brugere eller flere brugere på virksomhedens adresse. En eller flere brugere kan derfor give modstridende tilladelser som i praksis kan betyde en brugerpolitik per login.

Persondataforordningen kræver en ansvarlig Data Officer

En nyskabelse i forordningen er kravet om, at der udpeges en databeskyttelsesansvarlig (DPO) i de virksomheder, der håndterer store mængder kunde- eller borgerdata. Alle offentlige virksomheder skal have en DPO.

DPO’en kan være ansat i virksomheden eller være ekstern konsulent. Afgørende er, at DPO’en skal kunne virke uafhængigt af virksomhedens interesser og skal referere både til virksomhedens topledelse og desuden være kontaktperson for kunder og samarbejdspartnere samt Datatilsynet.

Det vil også være op til DPO’en at holde styr på, om virksomheden lever op til bestemmelserne om persondatabeskyttelse og sikre, at de ansatte, der er i berøring med disse, er uddannet i håndteringen.

Service Design med “privacy by design” og “Privacy by Default”

Kommissionen arbejder også med begrebet ’privacy by design’, der betyder, at persondatabeskyttelsen skal være fundamentalt indbygget i systemernes arkitektur og design. Et lignende begreb er ‘privacy by default’, der betyder, at persondata kun må opbevares, så længe det er relevant for anvendelsen.

Det vil sige, at it-systemer ikke blot kan akkumulere personoplysninger til fremtidig brug, men skal destruere disse, når det, de er indsamlet til, er overstået.

Overholdelsen af de grundlæggende privacy-regler kan vise sig at blive overordentligt dyre for mindre og mellemstore virksomheder, der kan blive bedt om at dokumentere, hvordan privacy-reglerne er overholdt gennem hele systemudviklingen. Kravene kan blive kompliceret af den hyppige brug af underleverandører til at håndtere både data og dele af systemudviklingen. Virksomheder kan dog også se en mulighed i at leve op til nye krav og gennem en certificering fra EU kunne vise forbrugerne, at der er styr på det med persondata, og at brugernes data er i trygge hænder.

Lovligheden af behandlingen af persondata skal kunne dokumenteres.

Brud på denne lov vil medføre en anmeldepligt inden for 24 timer

Sker der et brud på datasikkerheden, skal den registeransvarlige melde dette til Datatilsynet så hurtigt som muligt og inden for 24 timer. Sker det ikke inden for dette tidsrum, skal den dataansvarlige redegøre for forsinkelsen over for Datatilsynet.

I tilfælde, hvor bruddet på data sikkerheden kan medføre identitetstyveri, bedrageri, fysisk skade eller skade af omdømme for de fysiske personer, bør disse personer også underrettes om bruddet på databeskyttelsen.

Brugeren fremtidige ret

En ligeledes stor omkostning er kravet om at alle personlige data fremover;

  1. skal kunne vises, hvilke personlige data som er opbevaret
  2. skal have en indbygget ret til at glemt og slettet
  3. skal indeholde en rette mulighed

Brugerne skal altså fremover have råderet over sine personlige oplysninger og disses anvendelse.

Dette gælder også for alle på samme PC og den samlede overgivne information, og/eller i de tilfælde hvor virksomheder eller institutioner f.eks. Life Science branchen deler statistik eller data.

EU Databeskyttelsesreform:

Beskyttelse af personoplysninger til retshåndhævelsesformål

De politimæssige og retlige aktiviteters særlige karakter kræver særskilte regler for beskyttelse af personoplysninger for at gøre de frie datastrømme og samarbejdet mellem EU-landene på disse områder lettere. Direktivet skal beskytte fysiske personers ret til beskyttelse af deres personoplysninger og samtidig garantere et højt niveau af offentlig sikkerhed.

I december 2015 nåede Rådet og Europa-Parlamentet til enighed om udkastet til direktiv.

8. april 2016 vedtog Rådet sin førstebehandlingsholdning. Udkastet til direktiv blev siden vedtaget af Europa-Parlamentet 14. april 2016.

Flere oplysninger

Direktivet omfatter både grænseoverskridende og national databehandling til retshåndhævelsesformål, som foretages af EU-landenes kompetente myndigheder. Det omfatter forebyggelse, efterforskning, opdagelse og retsforfølgning af straffelovsovertrædelser og desuden beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed. Det dækker hverken aktiviteter i EU’s institutioner, organer, kontorer og agenturer eller aktiviteter, der falder uden for EU-retten.

Registreredes rettigheder

Det udstikker en række principper, bl.a. behovet for at sikre, at personoplysninger behandles på lovlig vis, indsamles til specifikke, eksplicitte og lovlige formål og på en ikkeoverdreven måde i forhold til formålet.

Det omhandler EU-landenes forpligtelse til at give forståelige oplysninger og sikre den registreredes ret til indsigt, berigtigelse, sletning eller begrænsning af behandlingen og fastsætter samtidig grænser, så EU-landene kan vedtage lovgivningstiltag, der begrænser denne ret.

Overholdelse

Det beskriver den dataansvarliges ansvar. Det indebærer, at der udnævnes en databeskyttelsesansvarlig til at hjælpe de kompetente myndigheder med at sikre, at databeskyttelsesreglerne overholdes. Et andet redskab, der skal sikre overholdelse, er kravet om at analysere de potentielle konsekvenser, hvis en bestemt type behandling sandsynligvis vil føre til høj risiko.

Overvågning og erstatning

Tilsynsmyndighederne kan være de samme som dem, der er oprettet efter den generelle forordning om databeskyttelse. Det fastsætter regler for obligatorisk gensidig bistand og en generel forpligtelse til at samarbejde. Det fastsætter, at Det Europæiske Databeskyttelsesråd også udøver sine opgaver inden for databehandlingsaktiviteter, som er omfattet af dette direktiv.

Det nye direktiv giver også registrerede ret til at modtage erstatning, hvis de har lidt skade som følge af en behandling, der er sket i strid med reglerne.

Videregivelse til lande uden for EU

Videregivelse til lande uden for EU kan kun ske, hvis det kræves til retshåndhævelsesformål, og hvis Kommissionen har vedtaget en afgørelse om, at beskyttelsesniveauet er tilstrækkeligt i det pågældende land. Hvis der ikke er truffet en afgørelse om, at beskyttelsesniveauet er tilstrækkeligt, kan videregivelse ske med de fornødne garantier. Foruden disse muligheder påtænkes en bestemmelse om særlige omstændigheder.

EU Rettigheder

Den registreredes rettigheder

Forslaget indeholder en liste over de rettigheder, den registrerede har, dvs. den fysiske person, hvis oplysninger behandles. Disse styrkede rettigheder giver fysiske personer mere kontrol over deres personoplysninger, herunder gennem:

  • kravet om den fysiske persons klare samtykke til behandling af personoplysninger
  • lettere adgang for den registrerede til hans eller hendes personoplysninger
  • retten til berigtigelse, til sletning og “til at blive glemt”
  • retten til at gøre indsigelse, herunder indsigelse mod anvendelsen af personoplysninger til “profilering”
  • retten til at flytte personoplysninger fra en tjenesteudbyder til en anden

Det fastsætter også den forpligtelse, der påhviler de dataansvarlige (dem, der har ansvar for databehandlingen) til at give de registrerede klare og lettilgængelige oplysninger om behandlingen af deres oplysninger.

Overvågning og erstatning

Forordningsudkastet bekræfter EU-landenes nuværende forpligtelse til at oprette en uafhængig tilsynsmyndighed på nationalt plan. Det sigter også mod oprettelse af mekanismer, der skal skabe sammenhæng i, hvordan databeskyttelseslovene anvendes i hele EU. Navnlig vil der i vigtige grænseoverskridende tilfælde, hvor flere nationale tilsynsmyndigheder er involveret, blive truffet en enkelt tilsynsafgørelse. Dette såkaldte “one-stop-shop”-princip, betyder, at en virksomhed med datterselskaber i flere medlemsstater kun skal have kontakt med databeskyttelsesmyndigheden i den medlemsstat, hvor den har sin hovedvirksomhed. Aftaleudkastet indebærer, at der oprettes et europæisk databeskyttelsesråd. Dette råd skal bestå af repræsentanter fra alle 28 uafhængige tilsynsmyndigheder og erstatte det nuværende Artikel 29-Udvalg.

 

Kilde: EU KOMMISIONEN, Agil Udvikling og Innovation Support A/S. (C) 2016 BY AGILVIKLING.DK

EU Dokumenterne vedr. dataforordningen

Her kan du se de yderligere dokumenter og de retslige forhold som gr sig gældende fra starten af 2018.

For yderligere hjælp, fortolkning, analyse og implementering kontakt os på telefon +45 321 77777 lokal 262.

  • Forslaget af 27.02.2012
    Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)
  • Directive as 04.05.2016
    DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA
  • Regulations as 04.05.2016
    REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
  • Brev fra Justitsministeriet: Databeskyttelsesforordning_Justitsministeriet
  • Kildemateriale: DATABESKYTTELSESFORORDNING
  • Originaldokument fra EU: PersonDataforordningen-EU_2016

Priser vedr. at komme i Compliance med EU Persondatalovgningen

  • Konsulent bistand pr. time: 995,-
  • Undervisning 2 timer: 1.985,-
  • Undervisning 4×2,5 eller 2x 5 timer: 9.985,-

Vore konsulenter er danske IT ingeniører med indblik i netværk og software som skal til. Priser er ex. moms og forbehold for ændringer. (C) 2016-2017 by AGILUDVIKLING.DK