Indien på vej mod status som sikkert 3. land?

Den 13. april i år vedtog Indien nye regler om beskyttelse af persondata. Reglerne indebærer et højere beskyttelsesniveau, end hvad der følger af EU's Databeskyttelsesdirektiv og dermed også den danske persondatalov. Ændringerne kan derfor få afgørende betydning i forbindelse med danske virksomheders outsourcing af servicefunktioner mv. til Indien.

De nye indiske regler gælder nemlig for alle virksomheder og organisationer, der indsamler og anvender data i Indien - uanset om data indsamles fra personer bosiddende i eller udenfor Indien. Det er dog endnu usikkert, om rene databehandlere er omfattet af de nye krav, da loven indeholder en undtagelse for visse service providers.

Det øgede beskyttelsesniveau kommer bl.a. til udtryk ved, at følsomme data - som helbredsmæssige oplysninger - kun må indsamles efter indhentelse af skriftligt forhåndssamtykke fra den registrerede. Begrebet "følsomme oplysninger" er endvidere bredere end i EU og omfatter bl.a. også visse bankoplysninger. Desuden stilles der specifikke betingelser for videregivelse og overførsel af data, og ydermere en række krav, som vi kender fra vores danske persondatalov - nemlig underretningspligt, ret til indsigt og berigtigelse, oplysningspligt mv.

Påvirker danske og europæiske virksomheder
Indiens nye regelsæt kan få afgørende betydning for danske og europæiske virksomheder, da det måske kan medføre, at Indien nærmer sig en godkendelse som sikkert 3. land. Hvis det bliver konsekvensen, kan man fremover undgå at udarbejde modelkontrakter ved overførsel af data til Indien - en væsentlig administrativ lettelse.

En anden, mindre gunstig, konsekvens kan dog være, at Indiens øgede krav til databeskyttelse indebærer, at danske virksomheder, der outsourcer funktioner til Indien eller i øvrigt har et samarbejde med indiske virksomheder, bliver nødt til at ændre deres processor og persondatapolitik for at leve op til de indiske krav.

Brud på datasikkerheden - mange ændringer i regelsættet

Brud på datasikkerheden håndteres meget forskelligt i de enkelte medlemslande og bør harmoniseres. Det konkluderer EU's ekspertgruppe i april, og kommer samtidig med en række anbefalinger til den kommende revision af databeskyttelsesdirektivet.

Netop håndtering af sikkerhedsbrud er på Kommissionens agenda ved den kommende revision af databeskyttelsesdirektivet. I den forbindelse foreslår ekspertgruppen blandt andet følgende:

• En standardisering af reglerne for hvornår der skal gives meddelelse til den registrerede i tilfælde af brud på datasikkerheden
• Opstilling af standardprocedure for håndtering af brud på datasikkerheden, eksempelvis konkrete deadlines for underretning til den lokale datamyndighed og regler for, hvordan bruddet efterforskes.
• Udarbejdelse af standarddokumenter, der skal udfyldes til de nationale datamyndigheder i tilfælde af databrud
• Regler for hvordan der skal gives meddelelser til de registrerede, eksempelvis i form af e-mails, telefonopkald eller brug af meddelelser i aviser.
• Regler for eventuelle undtagelser til krav om underretning af de nationale datamyndigheder

Der er ikke tvivl om, at det øgede fokus på reguleringen af sikkerhedsbrud er yderst relevant. Det ses ikke alene af de efterhånden mange sager, hvor Datatilsynet udtaler sin kritik af konkrete sikkerhedsbrud.Det fremgår også af en række internationale sager, senest af sikkerhedsbruddet på Sonys Playstation netværk, hvor hackere i foråret flere gange skaffede sig adgang til navne, adresser og muligvis kontooplysninger på omkring 77 millioner brugerkonti. Netværket er placeret i en cloud-løsning, og selvom Sony lukkede netværket omgående, er selskabet efterfølgende blevet mødt med kritik af, at der gik en uge, før offentligheden blev informeret om sikkerhedsbruddet.

Navnlig i lyset af det stadigt stigende fokus på brug af cloud-løsninger, hvor risikoen for sikkerhedsbrud utvivlsomt er til stede, må det forventes, at problemet ikke bliver mindre de kommende år.

RFID - Har du styr på din teknologi?

På europæisk plan ligger de overordnede persondataretlige krav til RFID-teknologier nu fast. Forventes brugen af RFID-teknologi at medføre behandling af personoplysninger, skal virksomheden forud for ibrugtagning bl.a. udarbejde en risikovurdering, som skal forelægges for den nationale myndighed. Desuden skal virksomheden udarbejde oplysningstekster til brugerne af RFID-teknologien.

RFID (radiofrekvensbaseret identifikation) er en metode til informationsudveksling mellem en radiobrik, som kan integreres i enhver genstand, og en læser, en trådløs anordning, som identificerer radiobrikkens oplysninger ved hjælp af radiobølger og derved bl.a. gør radiobrikken sporbar.

Anvendelsen spænder i dag vidt - fra adgangskort til bygninger over fødevarers sporbarhed til overvågning af patienter, der lider af Alzheimers - og er et vigtigt skridt for udviklingen i en række sektorer, herunder særligt transportsektoren, sundhedssektoren og detailsektoren. Samtidig giver teknologien anledning til panderynker i relation til beskyttelsen af privatlivets fred og databeskyttelse, fordi teknologien muliggør indsamling og videregivelse af personoplysninger uden "bærerens" vidende.

Dette var baggrunden for, at Kommissionen i foråret 2010 kom med en henstilling om gennemførelse af principperne om beskyttelse af personoplysninger og privatlivets fred i forbindelse med anvendelse af RFID. Kommissionen opfordrede medlemsstaterne til at sikre, at erhvervslivet i samarbejde med andre relevante parter opstillede en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse. Rammen skulle efterfølgende forelægges Artikel 29-Gruppen til godkendelse, hvilket skete den 11. februar i år.

Den godkendte ramme indeholder følgende hovedpunkter og krav til konsekvensvurderinger af RFID-applikationer:

• RFID-applikationen inddeles af virksomheden/operatøren i fire mulige niveauer, der spænder fra "niveau 0-anvendelser", hvor applikationen ikke forventes at skulle anvendes/bæres af personer og ikke indeholder persondata, til "niveau 3-anvendelser", hvor applikationen forventes at skulle bæres af personer og samtidig indeholder persondata.
• Fastsættes RFID-anvendelsen til niveau 1 eller derover, har RFID-operatøren en pligt til at gennemføre en firdelt analyse af anvendelsen, som består af følgende elementer:
1. Beskrivelse af anvendelsen (datatyper, dataflow, RFID-teknologi, dataopbevaring og videregivelse mv.)
2. Identifikation af risici vedrørende persondata (evaluering af mulige "trusler" og deres betydning.)
3. Identifikation og anbefaling af kontrolforanstaltninger
4. Dokumentation af analysens resultater og konklusion om hvorvidt RFID-anvendelsen er klar til indførelse, herunder mulige resterende risikofaktorer.
• Vurderingen skal resultere i en rapport, som skal forelægges den relevante myndighed (i Danmark vil det formentlig blive IT- og Telestyrelsen) mindst 6 uger inden lanceringen af RFID-applikationen.
• Derudover skal RFID-operatøren udarbejde og offentliggøre en kortfattet, præcis og lettilgængelig "information policy" for hver enkelt applikation, indeholdende et resumé af konsekvensvurderingen.

En konkret risikofaktor, der især har rejst debat, er anvendelsen af RFID brikker i produkter, der sælges i detailhandelen til forbrugere. Bekymringen går på, at brikkens personoplysninger kan aflæses af andre end den lovlige operatør og derved identificere "bærerens" bevægelses/indkøbs/adfærds mv. -mønstre, uden at vedkommende er vidende om det eller har samtykket til det. På den baggrund har Kommissionen i sin henstilling udtrykkeligt anbefalet, at detailhandelen skal deaktivere eller fjerne alle RFID-applikationer, inden forbrugeren forlader butikken, med mindre forbrugeren samtykker til at lade den være virksom (efter at blive informeret om politikken knyttet til hvert produkt), eller applikationen ikke udgør nogen trussel i forhold til beskyttelsen af personoplysninger og privatlivets fred.

Industriens ramme for konsekvensvurderinger skal træde i kraft senest den 11. september 2011. Hvordan de enkelte medlemsstater vil implementere rammen og sikre en effektuering af de indeholdte forslag vides endnu ikke, men IT- og Telestyrelsen oplyser, at der inden fristens udløb, af ressourcemæssige årsager, næppe vil ske en fuldstændig implementering af kravet om forelæggelse af rapporter for styrelsen. Interesserede kan følge med i processen bl.a. på hjemmesiden www.rfididanmark.dk, som i samarbejde med IT- og Telestyrelsen vil oplyse om de danske regler, så snart de er udarbejdet.

Cookie-reglerne udsat på ubestemt tid

Det var ventet, at de nye cookie-regler om samtykke mv. skulle træde i kraft 25. maj, hvor fristen for at implementere de nye EU-retlige regler udløb. Oven på en høringsrunde, der har afdækket en række problemstillinger, besluttede IT- og Telestyrelsen dog i 11. time, at reglernes ikrafttræden skal udsættes. Baggrunden er bl.a. at der ifølge styrelsen nu er opstået tvivl om fortolkningen af EU-reglernes samtykkekrav.

IT- og Telestyrelsen vil arbejde for en implementering "snarest muligt" - realistisk set sker det dog tidligst i løbet af efteråret.

Cloud Computing: Ny vejledning fra IT- og Telestyrelsen

Cloud computing bliver mere og mere udbredt både inden for den private og offentlige sektor. samtidig påkalder det sig større og større fokus fra myndighederne pga. de åbenbare persondataretlige udfordringer. Datatilsynet har f.eks. for nyligt udtalt sig kritisk om Odenses kommune påtænkte cloud-løsning.

Seneste tiltag er en vejledning fra IT- og Telestyrelsen om, hvilke regler, myndigheder og virksomheder skal være opmærksomme, når de bruger cloud-løsninger, herunder når de indgår kontrakten med leverandøren. Vejledningen behandler både kravene efter persondataloven og andre lovgivningsmæssige krav, eksempelvis i bogføringsloven. Denne artikel omhandler kun de persondataretlige kav. For en gennemgang af de øvrige krav henviser vi til vores seneste IT-retsnyhedsbrev.

I det omfang cloud-løsningen behandler personoplysninger, skal persondatalovens behandlingsregler iagttages. Videregives persondata som led i cloud-løsningen, skal reglerne om videregivelse også iagttages.

Kravene til sikkerhed
Typisk skal leverandøren af cloud-løsningen ikke selvstændigt kunne råde over persondataene i skyen men alene handle som databehandler på vegne af den dataansvarlige. Her skal man som dataansvarlig være opmærksom på de regler, der gælder for brug af databehandlere, herunder krav om skriftligt kontrakt og sikring af tekniske og sikkerhedsmæssige foranstaltninger hos databehandleren samt pligten til at udføre kontrol med databehandlerens sikkerhedsniveau. Disse regler har i praksis vist sig som en udfordring, bl.a. fordi en række af de internationale cloud-leverandører opererer med standard-vilkår, som ikke i tilstrækkelig grad imødekommer persondatalovens krav.

Netop de persondataretlige krav til sikkerhedsmæssige foranstaltninger gennemgås udførligt i vejledningen, der bl.a. stiller krav om, at den dataansvarlige skal lave en samlet risikovurdering af, om den givne løsning lever op til et "passende sikkerhedsniveau". Er den dataansvarlige en offentlig myndighed, betyder det, at sikkerhedsbekendtgørelsen skal efterleves. Der er ikke samme generelle retningslinjer for private dataansvarlige, men generelt anbefaler Datatilsynet, at private dataansvarlige også iagttager bekendtgørelsens krav og i flere og flere sager stiller tilsynet decideret krav om det.

Persondata til tredjelande
Den dataansvarlige skal desuden være opmærksom på, om persondata overføres til lande udenfor EU, og om landene i givet fald er såkaldte sikre tredjelande. Er det ikke tilfældet, kan der være behov for en tilladelse fra Datatilsynet på baggrund af Kommissionens standardkontrakt. Offentlige myndigheder skal endvidere være opmærksomme på den såkaldte krigsregel i persondataloven. Ifølge krigsreglen skal der træffes særlige foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold for oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter. Sådanne oplysninger må eksempelvis ikke sendes til databehandlere uden for Danmark. 

Endelig kan der være behov for at indsende eller opdatere en allerede indsendt anmeldelse til Datatilsynet.

Som det fremgår, er den dataansvarlige forpligtet til at overveje en række persondataretlige emner, inden det er muligt at indgå aftale med en leverandør om brug af en cloud-løsning, hvori der indgår persondata. Disse overvejelser skal afspejles i den endelige kontrakt med leverandøren.

Nyt til kommunerne: Ændring af lov om tv-overvågning vedtaget

Ændringerne giver kommunerne udvidet adgang til tv-overvågning af visse offentlige arealer. Loven træder i kraft allerede den 1. juli 2011.

Med de ændrede regler opnår kommunerne øget adgang til at overvåge frit tilgængelige arealer med det formål at øge befolkningens tryghed.

Der knytter sig en række betingelser til den udvidede overvågningsadgang, herunder at området skal ligge 1) i nær tilknytning til et område, der allerede lovligt tv-overvåges af en boligorganisation, ejerforening mv. Desuden må overvågningen først iværksættes 2) efter drøftelse med politidirektøren, og skal i øvrigt ske for 3) generelt at fremme trygheden og bekæmpe kriminalitet.

Lovforslaget regulerer også kommunernes adgang til efterfølgende at behandle billedoptagelserne med personoplysninger. Persondataloven, herunder de grundlæggende principper i § 5 om god databehandlingsskik, gælder for tv-overvågningen og den efterfølgende behandling.

Morgenmøde hos Kromann Reumert den 21. juni om Whistleblower-ordninger

Etablering af whistleblower-ordninger er et område i konstant udvikling og undergivet massiv bevågenhed. Både for børsnoterede og ikke-noterede virksomheder af en vis størrelse er der mange gode grunde til at overveje at indføre en whistleblower-ordning.

For det første kan det være med til at dæmme op for uregelmæssigheder og decideret kriminelle handlinger i virksomheden.

For det andet forventer udenlandske samarbejdspartnere i stigende grad, at danske virksomheder har en ordning på plads, og for det tredje er bestikkelses- og korruptionslovgivningen i udvikling på internationalt plan. Senest har England f.eks. vedtaget en ny Bribery Act, som bl.a. kriminaliserer manglende kontrolforanstaltninger i virksomheder, der har aktiviteter i England.

Kromann Reumert inviterer til morgenmøde om emnet den 21. juni kl. 8 - 10.30. Læs mere på vores hjemmeside