Whitepaper. Når EUs persondataforordning træder i kraft den 25. maj 2018 er der god grund til at være på plads med beskyttelsen af persondata i både virksomheder og myndigheder. Forordningen indfører nemlig skrappere krav for både dataansvarlige og databehandlere og understreger rettighedsperspektivet på databeskyttelse.
Fremover er der fokus på, at den enkelte person – eller datasubjektet – har ret til at have kontrol med egne data, d.v.s. vide, hvad data anvendes til, hvor de indhentes fra og hvilke andre data, de beriges med, men også ved at få adgang til data, flytte dem og få dem rettet eller slettet, hvis de ikke længere er retvisende eller nødvendige.
EU-domstolen har med dommene i 2014 om logningsdirektivets ugyldighed og Googles forpligtelse til at slette oplysninger om en borger i deres søgemaskine allerede fastslået både rettighedsperspektivet og niveauet for effektiv persondatabeskyttelse i en digital tidsalder. Det baner vejen for, at de bødekrav på op til 10 og 20 mio euro, forordningen opstiller, bliver en reel risiko i de EU-lande, som danske virksomheder samarbejder med. Så selv om vi endnu ikke kender det reelle bødeniveau, som Datatilsynet vil lægge sig på her i Danmark, og heller ikke kan forudsige, hvor mange civilretlige sager, der vil blive indbragt for domstolene om brud på databeskyttelsen, udgør bødekravene en løftestang til at få styr på data-beskyttelsen og datasikkerheden.
En forudsætning for at kende sit databeskyttelsesniveau som organisation er viden om de data, der strømmer gennem funktionsområder, it-systemer og netværk, også kaldet dataflows. Disse data udgør et aktiv, der dels repræsenterer en værdi, dels tilhører en persons privatsfære, og som personen har indvilget i eller er forpligtet til at stille til rådighed til et bestemt formål. Det er tilfældet for såvel medarbejderdata som kunde- og borgerdata.
Og derfor skal vi vide, hvor data kommer fra, hvad de omfatter, hvordan de behandles, hvor de flyder hen og hvad der regulerer brugen af dem.
DataEthics præsenterer i et Whitepaper eksempler på, hvad en kortlægning af dataflows bør indeholde for at danne grundlag for en analyse af de konsekvenser, databehandlingen kan have for kunden, borgeren og medarbejderens rettigheder og friheder, især deres ret til privatlivs- og persondatabeskyttelse.