4-persondata 4-persondata

Knapt et år til de nye skærpede EU-persondataregler

juni 2017
Af Flemming Kjærsdam

Omtrent på et-årsdagen før den nye EU-persondataforordning (GDPR red.) træder i kraft, barslede Justitsministeriet med en 1200 sider lang betænkning om de 54 undtagelsesområder, hvor det er muligt at lave nationale særbestemmelser.

EU´s persondataforordning træder endeligt i kraft den 25. maj 2018. Der er således under et år igen til forordningen træder i kraft. Den erstatter i Danmark den nuværende lovgivning om persondata fra 1995, som bygger på et EU-direktiv. At det er en forordning – og ikke et direktiv - medfører, at reglerne om persondatabeskyttelse søges ensartet i alle EU-lande, undtaget de områder, som landene vil særlovgive omkring, implementeres administrativt.

Den ny forordning er en klar skærpelse af, hvordan virksomheder skal behandle personlige data om fysiske personer. Den nye 1200 sider lange betænkning fra Justitsministeriet, fungerer som guide for folketingets politikere til at træffe beslutninger om de undtagelsesområder, hvor forordningen åbner mulighed for at indføre nationale særbestemmelser.

Betænkningen giver ikke svar på, om der skal indføres bøder for offentlige myndigheder ifald de overtræder persondataforordningen. Det er et eksempel på et af de 54 områder, hvor de danske politikere har mulighed for at sætte aftryk.

Betænkningen giver heller ikke et svar på om de 72 timer, der er en deadline for, hvornår en virksomhed reelt skal rapportere til de berørte personer, om der er sket et hack eller en lækage af personlige data. Men betænkningen er en beskrivelse af et meget komplekst juridisk område, som politikerne senere skal tage stilling til. Den er med andre ord et skridt på vejen.

Der er under et år til den nye virkelighed rammer de danske it-organisationer og Service Managers. Der skal være styr på alle datastrømme, som indeholder personlige data i virksomheden. Og der vanker bøder – foreløbigt kun til private virksomheder – op til fire procent af omsætningen eller 20 mio. Euro hvad der måtte være størst, hvis reglerne overtrædes. Faktisk er forordningen en ny færdselslov for beskyttelse af persondata. Bøderne er bare en ”anelse” større. Det kan i den sammenhæng nævnes, at den største bøde uddelt inden for databeskyttelses området i Danmark har været på 25.000 kr, kan ændre sig dramatisk fremover.

”Vi bliver stadig holdt på pinebænken. Betænkningen giver ikke nogle svar til virksomhederne om implementeringen. De 88 sider i EU´s forordning er nu vokset til 1200 sider. Det er hverken et stop eller go til virksomhederne. Virksomhederne skal stadig kortlægge og vurdere datastrømme om personlige data, og det skal de gøre, uanset denne betænkning. Hvis man ikke er i gang med dette arbejde, så er det på tide at komme i gang. Nedtællingen er påbegyndt,” siger Jens Nüchel Petersen, IT Service Management og GDPR konsulent i IBM.

Foruden betænkningen har Justitsministeriet også udgivet en tidsplan for 13 vejledninger til implementering af de enkelte områder i GDPR. Det er i disse vejledninger, at virksomhederne kan hente værdifulde informationer.

”Virksomhederne skal ikke passivt vente på disse vejledninger. Så kommer de under alle omstændigheder i tidsnød. Arbejdet med kortlægning af datastrømme skal fortsat udføres og bør være påbegyndt” siger Jens Nüchel Petersen.

.