Den nye persondataforordning, som har til hensigt at give EU-borgere bedre kontrol med personlige data, indfører principperne om Privacy by Design and Privacy by Default for at følge med den teknologiske udvikling.
Privacy by Design og Privacy by Default
Privacy by Design indebærer, at virksomheder skal beskytte personlige oplysninger ved at indarbejde forretningsprocedurer og infrastrukturer i teknologiens designspecifikationer.
Det betyder, at persondatabeskyttelse skal bygges ind i nye systemers og processers arkitektur.
Privacy by Default betyder, at virksomheder skal indføre procedurer, der som standard sikrer, at der kun behandles persondata, som er nødvendig for hvert enkelt formål med behandlingen, og især at data ikke indsamles og opbevares ud over det nødvenlige tidsrum til de specifikke formål, og at de kun opbevares i det tidsrum, der er nødvendigt for at levere produktet eller servicen.
Privacy by Design og Privacy by Default er gældende på alle niveauer, herunder for producenterne af enheder, programudviklere og sociale platforme.
Persondatabeskyttelse og sikkerhed skal være indarbejdet som standard og i udformningen af et program helt fra starten.
Typisk eksempel på overtrædelse
Eksempelvis vil du som en kommende bruger af en ny tjeneste - for eksempel et socialt medie - ved oprettelse af en profil skulle udlevere navn og e-mailadresse til udbyderen.
Men tjenesten behandler måske uden tilstrækkelig samtykke også andre personlige data, som for eksempel din lokation og dit køn, ligesom tjenesten gør dataene offentlig tilgængelige - og ikke kun for dine kontakter.
Dette vil nok være en type eksempel på overtrædelse af persondata-beskyttelsesprincipperne og derved af Privacy by Default-princippet, da der behandles flere informationer, end servicen kræver.
Denne situation kunne have været undgået ved at bruge Privacy by Design-konceptet, hvor producenten ville have indarbejdet tekniske og organisatoriske forholdsregler til at forudse og undgå denne overtrædelse, allerede før det sociale medie blev lanceret.
Hvorledes forpligtelsen mere praksis vil blive håndhævet, er ikke helt klart. Klart ligger det dog, at de lokale datatilsyn vil kunne bede virksomhederne om at dokumentere, at deres løsninger overholder kravene om Privacy by Design og Privacy by Default.
Og der er strenge straffe til virksomheder, som overtræder reglerne; virksomheder kan idømmes bøder på helt op til fire procent af den årlige omsætning for grove overtrædelser.
Fordelene
Nogle kunder er meget betænkelige ved, hvad der sker med de informationer, som de afgiver til virksomheder - især online.
Kravet om Privacy by Design and Default har til hensigt at give kunder - altså de registrerede - større kontrol med deres persondata og skal medvirke til at opbygge tillid til virksomheder, herunder online-tjenester.
Ulemperne
Modsat har nogle virksomheder kritiseret Privacy by Design og Default-koncepterne - ikke for den øgede kontrol, deres kunder vil få, men for de høje implementeringsomkostninger.
Nogle virksomheder vil skulle foretage betydelige investeringer for at sikre, at de overholder forordningen både indenfor og udenfor Europa.
Der har været meget fokus på store webbaserede virksomheder som Google, Facebook og Microsoft på grund af det store antal af tredjeparter, der benyttes i forbindelse med databehandlingen, og hvor der - for at implementere reglerne - kræves et højt niveau af samarbejde på et administrativt plan, og store omkostninger til drift og overvågning.
Dog er byrderne specielt tunge for små og mellemstore virksomheder.
Når der for eksempel skal udvikles et nyt produkt, skal hele udviklingsprocessen overholde forordningen, ligesom den løbende overvågning kan skrue omkostningerne til et nyt produkt kraftigt i vejret.
Dette kan blive en stor økonomisk belastning for virksomheder med små budgetter, for eksempel startups.
Men er det kun dårligt for forretningen?
Det kunne måske være nyttigt for virksomheder at se på kravene om Privacy by Design fra en anden synsvinkel.
Kundernes voksende betænkeligheder ved at afgive personlige oplysninger kunne ses som en ny forretningsmulighed.
Det er vigtigt, at kunder føler sig trygge og har tillid til servicen eller produktet, så ved at overholde den nye forordning kan en virksomhed måske skabe et produkt eller en service, som kunderne vil være trygge ved at anvende og derved gøre produktet eller servicen mere attraktiv.
I henhold til den nye Persondataforordning kan virksomheder endda få en certificering fra EU's tilsynsmyndighed, hvorefter virksomheden kan oplyse kunderne om, at de overholder forordningen og derfor kan betros personlige oplysninger og opnå en konkurrencemæssig fordel.
(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)
Læs også:
Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket