Sådan bør du forholde til dig regulering af persondata i USA: Ligheder med den nye EU-persondataforordning

Klumme:: EU-persondataforordningen er på vej herhjemme. Men hvordan ser reglerne for persondatahåndtering ud i USA? Det får du svaret på her.

Der har været stor fokus på spændingerne mellem EU og USA's håndtering af borgernes personlige oplysninger - Edward Snowdens afsløringer vedrørende NSA, annulleringen af Safe Harbor-aftalen og kritikken af dens efterfølger, Privacy Shield, har alt sammen givet et billede af to retssystemer, som griber persondata ganske forskelligt an.

Men er der i virkeligheden så stor forskel, som man umiddelbart kunne tro?

Det korte svar er faktisk umiddelbart nej.

Stridighederne mellem EU og USA oprinder primært i myndighedernes måde at administrere loven på - ikke selve loven (selvom Bush-administrationens 2001 Patriot Act væsentligt udvidede myndighedernes kompetence til at overvåge på individbasis). På visse områder er USA's persondatalovgivning faktisk væsentligt mere omfattende end EU's.

Sektorbaseret
En af de primære forskelle på den persondataretlige regulering i USA og EU er rent formalistisk, i det USA på føderalt niveau regulerer persondata inden for visse sektorer og ikke persondata over en bred kam, som EU hovedsageligt gør.

I USA findes i dette henseende hovedsageligt fire love, forkortet hhv. HIPAA, FCRA, FACTA og COPPA (suppleret af andre særlove på hhv. føderalt og statsligt niveau).

Udover at lyde som figurer fra Mario Kart dækker disse navne også over de "primære persondatalove" i USA.

De regulerer hhv. behandling af privatpersoners sundhedsoplysninger, forbrugeres finansielle informationer (både FCRA og FACTA) og beskyttelsen af børn under 13 år og deres personlige oplysninger.

Andre særlove inkluderer statslige love, som regulerer brud på persondatasikkerheden, behandling af amerikanske borgeres personnumre (social security numbers) og overvågning.

Omfattende
En god illustration på, at USA faktisk tager persondatabeskyttelse alvorligt er omfanget af HIPAA.

Den konsoliderede version kan lige akkurat stå på 115 tætskrevne sider. Til sammenligning fylder den danske persondatalov lige omkring 20 sider - en lov, som udgør langt størstedelen af danske regulering af personlige oplysninger.

EU vs. USA med udgangspunkt i HIPAA
I det følgende vil blive omtalt nogle forskelle og ligheder mellem den kommende persondataforordning (GDPR) og den amerikanske persondatalovgivning (med særlig fokus på HIPAA for at illustrere forskellen på de to regelsæt).

Dataansvarlig/databehandler:
Amerikansk lovgivning skelner ikke, ligesom europæisk, mellem dataansvarlig og databehandler.

Men så alligevel: De opererer med begreberne 'data owner' og 'service provider' - blandt andet i forbindelse med beskrivelse af reglerne om anmeldelse af sikkerhedsbrud, hvor det er op til data owner at anmelde sikkerhedsbruddet og service provider at informere data owner om bruddet.

Det samme gør sig gældende i GDPR, blot vedrørende henholdsvis den dataansvarlige og databehandleren. Der synes ikke at være synderlig materiel forskel på de to jurisdiktioner her.

Kategorisering og definition af personoplysninger:
USA har ingen fast definition af almindelige oplysninger, følsomme og semi-følsomme oplysninger.

Man skelner i stedet i forhold til, hvilken kontekst, behandlingen af oplysningerne foregår i.

Indsamler du som virksomhed oplysninger om børn under 13 år er du underlagt COPPA og dermed et ganske omfattende sæt forpligtelser, og behandler du oplysninger om en forbrugers kreditværdighed, er du underlagt FCRA og i visse tilfælde også FACTA.

Det hele afhænger af konteksten.

GDPR opererer derimod med en universel - og særdeles bred - definition af personlige oplysninger, som er beregnet til at omfatte alle brancher og kontekster.

De amerikanske regelsæts definition af personoplysninger er forskellig, idet de netop er tilpasset konteksten.

HIPAA's definerer sundhedsoplysninger som oplysninger, som er genereret eller modtaget af en virksomhed, myndighed eller organisation, som i et vist omfang beskæftiger sig med sundhed og at oplysningerne vedrører et individs psykiske eller fysiske helbred.

GDPR henviser til 'helbredsoplysninger', som uddybes i præambel 35, men tillægger det ellers ingen vægt, hvem der behandler de pågældende oplysninger.

Anvendelsesområde
En af de store forskelle er desuden måden, hvorpå lovens anvendelsesområde fastlægges.

USA's persondatalove finder anvendelse på de virksomheder, som er underlagt amerikanske domstole.

Til sammenligning har GDPR på særdeles bredere anvendelsesområde, idet den også omfatter amerikanske virksomheders behandling af personoplysninger om europæiske borgere, hvis behandlingen (1) vedrører udbud af varer eller tjenester til datasubjektet eller (2) kan kategoriseres som overvågning af datasubjektets adfærd inden for EU.

Orientering af datasubjektet
Ligesom i GDPR indeholder de amerikanske persondatalove et krav om at orientere datasubjektet i forbindelse med behandling af vedkommendes personoplysninger.

Orienteringen er igen knyttet til den bestemte behandlingskontekst, som den enkelte lov regulerer. HIPAA forpligter eksempelvis data owners at orientere datasubjektet, når vedkommendes sundhedsoplysninger behandles med oplysninger, som i det væsentlige svarer til oplysningerne efter GDPR art. 13.

Retten til indsigt
Ifølge HIPAA har datasubjektet ret til at få indsigt i behandling af vedkommendes sundhedsoplysninger, med mindre der findes saglige grunde for at nægte dette.

Saglige grunde omfatter bl.a. hvis det ikke er tilladt ifølge lov eller hvis indsigt i behandlingen med rimelig sandsynlighed vil forårsage betydelig skade på enten datasubjektet eller andre personer.

Sidstnævnte begrænsning svarer i en vis udstrækning til GDPR art. 15 (4), hvorefter retten til at modtage en kopi af de behandlede oplysninger ikke må krænke andres rettigheder eller frihedsrettigheder.

Anmodningen om indsigt ifølge HIPAA skal imødekommes inden 30 dage, og afslag skal konkret begrundes. Samme forpligtelse er foreskrevet i GDPR præambel 59 og art. 12, hvor det tillige fremgår, at retten skal kunne udøves gratis.

Behandlingsprincipper
Der findes ingen generel amerikansk lov, som regulerer principperne, efter hvilke behandling skal ske, ligesom det findes i GDPR art. 5.

Det skal findes i de enkelte love. Eksempelvis forpligter både FCRA og HIPAA den ansvarlige til at sikre en gennemsigtig behandling, således at datasubjektet har mulighed for at kontrollere og korrigere ukorrekte eller utilstrækkelige oplysninger. Ifølge HIPAA skal ukorrekte eller utilstrækkelige oplysninger på datasubjektets foranledning rettes inden 60 dage, og afslag skal begrundes konkret.

Ingen af de amerikanske love har implementeret et formålsbegrænsningsprincip - altså en forpligtelse til kun at behandle data efter et eller flere bestemte, saglige formål, hvorefter dataen skal slettes eller anonymiseres.

Princippet kommer dog til udtryk, i det omfang en data owner er forpligtet til at orientere datasubjektet og denne heri beskriver formålet med behandlingen.

I disse tilfælde, er det ikke tilladt at anvende dataen til andet formål. Flere love kræver imidlertid orientering af datasubjektet, jf. ovenfor, så materielt er der ikke den store forskel.

Endeligt indeholder ingen af de amerikanske persondatalove forpligtelser vedr. opbevaringsbegrænsning - altså hvor længe en dataansvarlig er berettiget til at opbevare personoplysninger.

Der findes imidlertid et utal af særlove, som regulerer hhv. virksomheders, organisationers og myndigheders opbevaring af dokumentation, hvoraf flere af disse omfatter dokumentation indeholdende personoplysninger.

Det er ifølge GDPR generelt ikke tilladt at opbevare oplysninger i længere tid, end deres formål tilsiger.

Behandlingssikkerhed
Der findes ingen generel amerikansk lov, som regulerer sikkerhedsniveauet for behandling af personoplysninger. De findes i de enkelte love. Her er særligt HIPAA et illustrativt eksempel. HIPAA er, som tidligere nævnt, et lovkompleks på 115 sider, hvoraf 56 består af beskrivelser af sikkerhedskrav.

Det giver på sin vis mening, idet der er tale om følsomme oplysninger, som er særligt beskyttelsesværdige, men det er en bemærkelsesværdig kontrast, at GDPR's sikkerhedsbestemmelse kan rummes i art. 32 (½ A4 side). Art. 32 suppleres dog af andre bestemmelser, som bl.a. vedrører brud på persondatasikkerheden, adfærdskodekser, certificeringsmekanismer, osv.

Det er ikke formålet med dette indlæg at redegøre for sikkerhedsbestemmelserne i HIPAA, men i det store hele dækker den også de områder, som er reguleret i GDPR art. 32, blot i langt mere detaljeret grad.

Det kan blandt andet fremhæves, at HIPAA forpligter data owners, at beskytte datasubjekternes personlige oplysninger mod "rimeligt forventelige trusler mod sikkerheden og integriteten af sundhedsoplysninger" samt "rimeligt forventelig brug og videregivelse af sundhedsoplysninger".

Dette synes i det væsentlige at svare til GDPR art. 32s hensyntagen til at sikre et sikkerhedsniveau, der passer til "risici[...] af varierende sandsynlighed".

Brud på persondatasikkerheden
Generelt svarer de amerikanske regler om brud på persondatasikkerheden til GDPR.

Hvad angår HIPAA, skal det dog nævnes, at både data owners og service providers er forpligtet til at orientere de berørte datasubjekter, hvis der er tale om "unsecured" (usikrede) sundhedsoplysninger.

Her ses visse paralleller i forhold til GDPR art. 33 (1), hvorefter sikkerhedsbrud ikke skal anmeldes, hvis "det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder".

Data Protection Officers (DPO'er)
Der findes ingen regler om DPO'ens rolle i amerikansk ret. Dette fastsættes udelukkende af virksomhederne selv, hvis de ønsker at antage en DPO.

I GDPR reguleres DPO'en og dens rolle i art. 37-39.

Videregivelse af personoplysninger
HIPAA nedsætter strenge krav omkring videregivelse af sundhedsoplysninger.

Loven kræver eksempelvis, at man forinden videregivelse til service providers indgår en "business associate contract" indeholdende fast formulerede, lovfæstede forpligtelser for begge parter.

Forpligtelserne svarer i det væsentlige til databehandleraftaler, jf. GDPR art. 28 (3), men er igen meget detaljeret og udførligt reguleret og tager forskellige videregivelsessituationer i betragtning.

Videregivelse til tredjelande
Amerikansk persondatalov indeholder ingen restriktioner vedr. overførsel af personoplysninger til tredjelande.

Dette står i skarp kontrast til GDPR, hvor art. 44-50 alle omhandler netop dette, og der som udgangspunkt ikke kan ske overførsel til tredjelande uden særskilt grundlag.

Sanktioner: Bøder og erstatning
GDPR er kendt for dens bødestørrelser og det vidtgående ansvar, der pålægges den dataansvarlige og databehandlere. Sanktionerne ifølge amerikansk ret varierer imidlertid, alt afhængig af hvilke regler, der finder anvendelse.

FCRA indrømmer berørte datasubjekter ret til en erstatning mellem USD 100 - 1.000 for hver krænkelse inkl. pønalerstatning, advokat- og domstolsomkostninger.

Herudover er det imidlertid op til de berørte datasubjekter at stævne virksomheden, organisationen eller myndigheden, de mener, har overtrådt lovgivningen, hvilket ud fra en europæisk synsvinkel kan virke særdeles bebyrdende for en almindelig borger.

Konklusion
Der er utvivlsomt visse ligheder mellem persondatareguleringen i EU og USA.

Mindst forskel: Inddeling i dataansvarlig og databehandler, orientering af datasubjektet, retten til indsigt og brud på persondatasikkerheden, er, trods ubetydelige - primært strukturelle - forskelle, reguleret tilnærmelsesvist ens.

Moderat forskel: Amerikanske bestemmelser vedr. kategorisering af personoplysninger, behandlingsprincipper, behandlingssikkerhed og videregivelse afviger mere fra GDPR, særligt pga. den amerikanske tendens til at regulere den enkelte behandlingssituation, hvilket ofte resulterer i meget omfattende, detaljerede lovkomplekser.

Mest forskel: Endeligt er der områderne, hvor de to jurisdiktioner adskiller sig mest fra hinanden, nemlig anvendelsesområdet, DPO'er, videregivelse til tredjelande samt sanktionerne.

Tak til advokatfuldmægtig Mathias Bartholdy for hjælp med at skrive dette indlæg.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

CIO
Ekspert er ikke i tvivl: Det er nødvendigt at indføre helt nye KPI’er i virksomhederne
Interview: Mange virksomheder er nødt til at indføre helt nye KPI'er, der skal bruges til at måle og styre den digitale indsats. Gartners toprådgiver Peter Søndergaard forklarer, hvorfor det er nødvendigt - og hvordan du kommer i gang.
Comon
Test af Razer Phone: Hvem havde troet, at et gaming-brand ville lancere årets mobiloverraskelse?
Test: Razer har lanceret sin første smartphone, og mens det langt fra er en smartphone for alle, så indeholder den alligevel nogle innovative ideer, som vi kan lide.
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Sådan anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø
Dette whitepaper gennemgår hvordan du anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø og kommer med specifikke råd og konkret vejledning til anvendelsen.