En af de mest udbredte misforståelser er, at den europæiske persondataforordning (GDPR) kun gælder behandling af personoplysninger online: det er ikke korrekt. GDPR er teknologineutral: Den gælder for behandling af personoplysninger, uanset hvordan det foregår (online, offline, via en hjemmeside, i en app, i et ansættelsesforhold osv.)
GDPR gælder for behandling af personoplysninger, uanset hvor behandlingen finder sted (online eller offline)
I denne artikel ser vi nærmere på det, man kan kalde “offline-compliance”. Nedenfor finder du nogle af de vigtigste krav til offline-compliance, som du skal være opmærksom på:
Hvis du er en dataansvarlig, der er baseret uden for EU, og du tilbyder varer eller tjenester (måske endda gratis) til brugere baseret i EU, eller hvis du overvåger deres adfærd, i det omfang den finder sted inden for EU, skal du udpege en EU-repræsentant, der er etableret i et af de EU-lande, hvor dine brugere er baseret.
EU-repræsentanten kan være en fysisk eller juridisk person.
EU-repræsentanten fungerer som one-stop-shop for alle forespørgsler, anmodninger eller krav, der fremsættes over for den dataansvarlige af de registrerede eller tilsynsmyndigheder. Det betyder, at repræsentanten skal videresende alle sådanne forespørgsler videre til den dataansvarlige sammen med alle de oplysninger, som repræsentanten er i besiddelse af. Mere generelt skal EU-repræsentanten hjælpe den dataansvarlige med at overholde GDPR i alle henseender, herunder, men ikke begrænset til, at anmelde brud på datasikkerheden eller samarbejde med tilsynsmyndighederne. Generelt er det dog den dataansvarlige og ikke repræsentanten, der bærer hele ansvaret for databehandlingsaktiviteterne.
EU-repræsentanten har også sine egne specifikke forpligtelser (og et ansvar, der knytter sig dertil). Repræsentanten skal f.eks. føre fortegnelser over behandlingsaktiviteter.
I henhold til GDPR skal man udpege en EU-repræsentant “skriftligt”. Du kan f.eks. bruge vores standardaftale, som kan downloades her:
Når du behandler personoplysninger som dataansvarlig, har du ofte brug for at få en del af behandlingsaktiviteterne udført af en ekstern leverandør. Denne eksterne leverandør vil typisk behandle personoplysninger om dine kunder på dine vegne og ikke i sin egen interesse. Sådanne leverandører kaldes “databehandlere” i henhold til GDPR, og den underliggende relation til dig som dataansvarlig er en ordre om databehandling.
Du har en onlinebutik, hvor du sælger sko. Når en kunde afgiver en ordre, bliver skoene pakket og klargjort til levering af din eksterne leverandør, som naturligvis skal modtage alle nødvendige personoplysninger om kunden for at kunne gennemføre ordren. Den eksterne leverandør behandler derfor kundens oplysninger på dine vegne som databehandler.
I henhold til artikel 28 i GDPR skal dataansvarlige og databehandlere indgå en skriftlig “databehandleraftale”, som også kan indgås elektronisk. En sådan aftale har til formål at angive parternes rettigheder og forpligtelser i forbindelse med databehandlerens udførelse af behandlingsaktiviteter. Som eksempel på sådanne rettigheder og forpligtelser kan nævnes, at databehandlere kun må handle efter instruks fra den dataansvarlige, der skal fastlægges passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre beskyttelse af personoplysninger samt at databehandlere skal samarbejde med den dataansvarlige i tilfælde af forespørgsler fra registrerede eller tiltag fra tilsynsmyndigheder osv. osv.
Den største nyhed som følge af GDPR er, at dataansvarlige og databehandlere i henhold til forordningens art. 82 har et fælles ansvar over for tredjeparter. Det betyder, at når en registreret mener, at hans/hendes data er blevet behandlet ulovligt, kan den registrerede henvende sig til den dataansvarlige eller til databehandleren og kræve erstatning for den skade, der er lidt. Først derefter kan den part, der har betalt erstatning, gøre regres mod den anden.
En registreret modtager et par sko leveret på sin hjemmeadresse, selvom vedkommende aldrig har bestilt dem. Den registrerede vælger at kræve kompensation fra leverandøren. Leverandøren betaler og går derefter til den dataansvarlige, da det var den dataansvarlige, der gav instruksen om at levere skoene til den registrerede.
Enhver enhed, der ikke er udpeget som databehandler, betragtes som en “tredjepart“. Hvis du videresender dine kunders personoplysninger til en part, der ikke er udpeget som databehandler, overfører du derfor ud fra et juridisk synspunkt data til en tredjepart: Det må du kun gøre, når du har et retsgrundlag – typisk den registreredes samtykke. Det er dog ofte ikke let at opfylde kravene til gyldigt samtykke, når man overfører data til en tredjepart.
Nogle gange er de databehandlere, du udpeger til specifikke databehandlingsaktiviteter, baseret uden for EU. Dette er en udfordring i forhold til at sikre et gyldigt retsgrundlag for overførslen af personoplysninger til det pågældende land. Vi har redegjort for de forskellige retsgrundlag her. Det skal understreges, at retsgrundlaget for overførsel og databehandleraftalen er to forskellige ting, der måske eller måske ikke er omfattet af det samme dokument.
Du kan downloade en standard databehandleraftale her:
I henhold til art. 37 i GDPR skal en dataansvarlig i visse tilfælde udpege en databeskyttelsesrådgiver (DPO). Med hvad er en databeskyttelsesrådgiver?
En DPO er en fysisk (eller juridisk) person, der skal føre tilsyn med den dataansvarliges (eller databehandlerens) overholdelse af databeskyttelsesbestemmelserne. I de tilfælde, hvor der skal udpeges en databeskyttelsesrådgiver, skal databeskyttelsesrådgiveren som minimum
Det kræves ikke udtrykkeligt i henhold til GDPR, at DPO’en skal være en fysisk person: Det betyder i princippet, at også en juridisk enhed som f.eks. et konsulentfirma kan udnævnes til DPO. Men allerede nu påpeger forskellige kommentatorer, at som minimum nogle af kravene i GDPR kun kan gælde for en fysisk person: for eksempel er de “faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evnen til at udføre de opgaver, der er omhandlet i artikel 39 i GDPR” helt klart en henvisning til en fysisk person snarere end en juridisk person.
Det kræves ikke udtrykkeligt i henhold til GDPR, at DPO’en skal være en fysisk person: Det betyder i princippet, at også en juridisk enhed som f.eks. et konsulentfirma kan udnævnes til DPO. Men allerede nu påpeger forskellige kommentatorer, at som minimum nogle af kravene i GDPR kun kan gælde for en fysisk person: for eksempel er de “faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evnen til at udføre de opgaver, der er omhandlet i artikel 39 i GDPR” helt klart en henvisning til en fysisk person snarere end en juridisk person.
På nuværende tidspunkt er det dog ikke muligt at besvare dette spørgsmål endegyldigt: Vi må vente og se, hvilken tilgang databeskyttelsesmyndighederne og/eller domstolene vælger.
Først og fremmest kan DPO’en enten være intern i den dataansvarliges organisation (typisk en ansat) eller en ekstern leverandør (freelance). I begge tilfælde kan databeskyttelsesrådgiveren også udføre andre opgaver, mens han/hun udfører sine aktiviteter som DPO. Det skal dog altid sikres, at dette ikke resulterer i en interessekonflikt, og derfor kan virksomhedens administrerende direktør f.eks. ikke udnævnes til DPO. Det samme gælder for CTO’en: Det ville være ret akavet at have den samme person til at udvikle IT-infrastrukturen og samtidig kontrollere den ud fra et persondatabeskyttelsessynspunkt!
Generelt er databeskyttelsesrådgiveren underlagt en lovbestemt tavshedspligt med hensyn til alle oplysninger, han/hun får kendskab til under udførelsen af sin opgave, og han/hun skal altid bevare sin fulde uafhængighed (selv om vedkommende formelt set er ansat!). Det betyder, at DPO’en skal have alle nødvendige arbejdsredskaber, medarbejdere og et budget til at udføre sine opgaver og må ikke underlægges nogen instruktionsbeføjelser.
Databeskyttelsesmyndigheden udfører en databeskyttelsesrevision og kræver adgang til registret over behandlingsaktiviteter i henhold til art. 30 i GDPR. DPO’en ved, at der ikke findes et sådant register, fordi den dataansvarlige aldrig har taget dette krav alvorligt. DPO’en skal dog være neutral og må ikke “forsvare” den dataansvarlige med nogen form for undskyldning: DPO’en skal bekræfte, at registret aldrig er blevet lavet.
I forhold til ansvar er det vigtigt at bemærke, at DPO’en ikke er ansvarlig for den dataansvarliges overholdelse af reglerne. DPO’ens pligt er at informere, rådgive og samarbejde, som allerede nævnt. Hvis den dataansvarlige ikke følger DPO’ens råd, er det alene den dataansvarliges eget ansvar. DPO’en kan kun betragtes som ansvarlig over for den dataansvarlige, hvis rådgivningen har været forkert. Men selv da vil den dataansvarlige altid være ansvarlig over for de registrerede.
I henhold til GDPR er udnævnelsen af en DPO obligatorisk i tre tilfælde:
Scenarie 1 og 2 er relativt klare: “Følsomme” oplysninger er oplysninger, der afslører racemæssig eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Men hvad med “regelmæssig og systematisk overvågning af registrerede i stort omfang”? Gælder det kun for virksomheder som Facebook eller Google, hvis forretningsmodel stort set er baseret på massiv behandling af personoplysninger, eller gælder det også, hvis du f.eks. implementerer Google Analytics i din webshop, da denne funktion giver dig mulighed for at overvåge dine kunder?
Sandheden er, at vi ikke ved det endnu. Flere myndigheder, kommentatorer og eksperter, såsom WP29, har givet deres besyv med om dette emne, men ingen af deres udsagn er juridisk bindende. Derfor kan vi også i denne sag kun vente og se, hvilken tilgang databeskyttelsesmyndighederne og/eller domstolene vælger.
Her er en skabelon til en DPO-aftale, som kan downloades direkte:
Selvom GDPR, i modsætning til visse lovgivninger fra før GDPR (f.eks. den italienske og tyske), ikke indfører et udtrykkeligt og generelt krav om at underlægge medarbejdere eller, mere generelt, personale, der er involveret i behandlingen af personoplysninger, en fortrolighedsforpligtelse, anbefales det stadig at informere medarbejderne om tavshedspligten og få dem til at underskrive en forpligtelse om at opfylde de betingelser, der er fastsat i visse GDPR-bestemmelser, f.eks.:
Derudover kræves det i henhold til artikel 24, at den dataansvarlige skal “være i stand til at påvise, at behandling er i overensstemmelse med denne forordning”, hvilket i det mindste indirekte også omfatter at kunne påvise, at medarbejdere og andet personale har behandlet personoplysninger i overensstemmelse med GDPR.
Vi foreslår, at du indgår en konkret fortroligheds- og hemmeligholdelsesaftale med alle medarbejdere og henviser til de instrukser om korrekt håndtering af personoplysninger, du tidligere har givet dem. Du bør sørge for, at sådanne instrukser udleveres til personalet og at de bekræfter modtagelsen skriftligt, så du i sidste ende kan dokumentere, at de har modtaget dem.
Du kan downloade en skabelon til et dokument vedrørende medarbejderes tavshedspligt/fortrolighed her:
I henhold til artikel 35 i GDPR skal dataansvarlige i visse tilfælde udarbejde en konsekvensanalyse vedrørende databeskyttelse (DPIA). Med hvad er en konsekvensanalyse vedrørende databeskyttelse egentlig?
En DPIA er en proces, der bruges til at hjælpe organisationer med at overholde GDPR på en effektiv måde og sikre, at principperne om ansvarlighed, privacy by design og privacy by default bliver gennemført i organisationen.
DPIA’en bør omfatte:
DPIA-processen bør være skriftlig.
Generelt er DPIA kun obligatorisk i tilfælde, hvor databehandlingsaktiviteter sandsynligvis vil medføre en høj risiko for brugerne (dette gælder især ved indførelse af ny behandlingsteknologi). Hvis du er usikker på, om din behandlingsaktivitet falder ind under det, der betragtes som “høj risiko”, anbefales det dog alligevel at gennemføre en DPIA, da det er et nyttigt redskab til at sikre, at loven overholdes.
“Højrisiko”-databehandlingsaktiviteter omfatter:
DPIA’er kan også være påkrævet i andre tilfælde (baseret på en vurdering fra sag til sag), herunder, men ikke begrænset til, behandling af oplysninger om sårbare personer (f.eks. børn og ældre), overførsel af oplysninger på tværs af grænserne uden for EU og oplysninger, der anvendes til profilering (f.eks. kreditvurdering). Du kan læse mere om kriterierne her [PDF].
Selv om offentliggørelse af DPIA’en ikke er et generelt juridisk krav i henhold til GDPR, foreslås det, at de dataansvarlige overvejer at offentliggøre hele eller dele af deres DPIA for at sikre gennemsigtighed og ansvarlighed, især i tilfælde, hvor offentligheden er involveret (f.eks. hvis en offentlig myndighed udfører DPIA’en).
En effektiv DPIA er nyttig for at opfylde kravet om “Privacy by design”, da den gør det muligt for organisationer at finde og løse problemer på et tidligt tidspunkt, hvilket mindsker både datasikkerhedsrisici for brugerne og risikoen for bøder, sanktioner og omdømmeskade, som ellers kunne ramme organisationen.
En standardskabelon til konsekvensanalyse vedrørende databeskyttelse kan hentes her:
Nu, hvor du har sat flueben ud for dine offline compliance-forpligtelser, hvorfor så ikke tjekke, at du er 100% compliant?
