Artikel top billede

Detaljerne næsten på plads: Her er de nye skrappe data-regler fra EU

EU er lige på trapperne med en kæmpe modernisering af persondata-reglerne, som kan komme til at koste meget dyrt for virksomheder ved eventuelle overtrædelser. Læs her, hvad du kan forvente dig.

Den nye Persondataforordning er klar inden for få timer, og den vil uden tvivl få store konsekvenser for danske borgere og virksomheder. 

Ligesom den også vil få store konsekvenser for resten af EU's medlemslande - og de handelspartnere, som arbejder på europæisk territorium.

Det skyldes, at Persondataforordningen indeholder en række bestemmelser, der kan gøre virkelig ondt på virksomhedernes pengepung og omdømme.

Eksempelvis er et af de mest markante punkter, at alle hackede virksomheder får meldepligt til nationale myndigheder samt til alle berørte personer.

Det vil i Danmarkshistoriens største hackersag eksempelvis betyde, at CSC og Rigspolitiet i fællesskab skulle sende en mail til fire millioner danskere inden for et døgn eller tre, en tidsramme som EU-politikerne blandt andet forhandler om.

Læs også: Her er Danmarkshistoriens største hackersag

Bestemmelserne formodes generelt at skulle gælde alle virksomheder med kunder i EU, også selvom virksomheden ligger uden for Europa.

Væsentlige bødeforhøjelser

I disse timer sidder politikere fra EU-Parlamentet og Rådet samt embedsmænd fra nationale datatilsyn og lægger de sidste hænder på Persondataforordningen.

Udover meldepligt vil Persondataforordningen formentlig også indeholde en bestemmelse, der giver de enkelte landes myndigheder muligheder for at stange bøder ud i million- og milliardklassen, hvis selskaber misbruger folks online-data.

Mere specifikt foreslår Rådet, at bøden skal ligge på op mod to procent af selskabets globale omsætning, mens Parlamentet argumenterer for en bøde på op mod fem procent af den globale årsomsætning.

Læs også: Ny skrap EU-datalov får konsekvenser for dig: Sådan kan du ruste din virksomhed

Digital chef i foreningen Danske Medier, Allan Sørensen, er i Bruxelles for at følge med i de i allersidste forhandlinger, og hvad reglerne får at betydning for den danske mediebranche.

Han forventer, at den endelige bøde formentlig kommer til at ligge på fire procent.

"Vi taler om en væsentlig bødeforhøjelse, hvilket nok ender med et kompromis på fire procent," fortæller Allan Sørensen som af gode grunde endnu ikke har set den færdige aftale, da den som nævnt stadig er under udarbejdelse.

Katastrofal cookie-lov kan blive værre

Allan Sørensen har til gengæld set et arbejdsdokument for Persondataforordningen, og heri er der udover meldepligt og bødestraf for misbrug af online-data også andre markante opstramninger.

Eksempelvis er der samtykke-bestemmelsen - måske bedre kendt som 'Cookie-lovgivningen' - som er en af mere bøvlede knaster for EU-politikerne at få høvlet i mål.

Besværet skyldes, at nogen vil have lettet reglerne, mens andre vil have strammet dem yderligere.

Læs også: Fri mig for de evindelige og irriterende cookie-advarsler

Stramningen kan helt ude i teorien munde ud i, at internet-surfere i EU skal klikke 'ok' for alt data-indsamlende indhold på sitet herunder hver enkelt eneste bannerannonce.

"Den nuværende og ganske katastrofale cookie-lovgivning er jo ikke noget, der går nogen glade - hverken brugerne eller medierne, og derfor er vi meget interesserede i, at EU-politikerne kan finde ud af at grødbøje lovgivningen i nogen grad," forklarer Allan Sørensen fra Danske Medier.

Ny digital lavalder på 16

En anden og måske ganske kontroversiel bestemmelse, som er med på tegnebrættet til det allersidste, er, at børn under 16 ikke må bruge sociale medier uden tilladelse af en forælder.

Det betyder, at tjenester som Instagram, Facebook og Snapchat er lukkede land for de små poder, indtil de runder 16, med mindre mor eller far har givet dem tomlen i vejre til at benytte de sociale medier.

Samtidig forventes det, at 'Right to be forgotten'-bestemmelsen bliver udbygget, så medier kan risikere at skulle fjerne personer, som ønsker det, såfremt disse personer ikke har offentlighedens interesse længere.

Allan Sørensen fra Danske Medier vurderer dog i denne henseende, at retten til at udtrykke sig vil veje trungere end retten til at blive glemt. 

Udover de nævnte nye og opstrammede regler for persondatahåndteringen, ærgrer Allan Sørensen sig over, at alle data fortsat er ligestillet i den kommende forordning.

Læs også: Dansk it-system skal advare norske børn om skoleskyderier og andre farer

Det betyder eksempelvis, at CPR-numre, bankoplysninger og en håndskreven liste over telefonnumre er på lige fod.

"Efter fire års lovarbejde ser det ud til, at politikerne har forpasset chancen for at komme med mere fleksible regler for databehandlingen, da der jo er stor forskel på data, og fordi alle virksomheder jo efterhånden er blevet databehandlere," siger han.

Klar om to år

Selv hvis politikerne ganske uventet i 11. time skulle finde på at prioritere i persondata, må vi vente godt to års tid, før reglerne træder i kraft.

Det skyldes, at efter den nuværende forhandling skal Rådet først godkende Persondataforordningen, hvorefter den formelt skal godkendes i parlamentet.

"Jeg forventer dog, at vi har en aftale i nat, og så starter den mere formelle del af processen," forklarer Allan Sørensen.

Den mere formelle del betyder altså, at når de forskellige EU-instanser har godkendt forordningen, træder den i kraft to år efter.

Det vil i skrivende stund betyde, at de nye EU-bestemmelser på persondata-området bliver en kendsgerning i hele EU i starten af 2018.

Du kan selv dykke ned i EU-reformen her

Computerworld har tidligere interviewet Allan Sørensen om Cookie-reglerne. Det interview kan du se nedenfor.

Computerworld har skrevet flere artikler om persondata, som du kan læse et lille uddrag af her: 

Sådan får vi god cybersikkerhed i Danmark: Kopiér USA

Danskerne er enige: Kom så med nye regler om databeskyttelse