Svaret er efter al sandsynlighed nej, for nu er de første reaktioner på europæisk plan kommet, og selvom de bifalder en tiltrængt forenkling, påpeger de også behovet for et højt sikkerhedsniveau.
Fokus på risiko
I dag kan en virksomhed i teorien fritages for at lave en fortegnelse over behandling af persondata. Desværre fungerer de eksisterende undtagelser stort set ikke i praksis. En del af vilkårene for undtagelse er, at virksomheden har under 250 ansatte, men dette vilkår finder ikke anvendelse i praksis, fordi det kun gælder i sammenhæng med øvrige undtagelser.
Derfor er alle virksomheder i dag reelt omfattet af kravet til en intern fortegnelse.
Kommissionen foreslår nu at hæve grænsen til 750 ansatte, og samtidig erstatte de komplekse undtagelser med nye krav til risikoniveauet, så persondata, hvor behandlingen sandsynligvis kan medføre en høj risiko for den registreredes rettigheder, friheder og privatlivets fred stadig kræver en fortegnelse over behandling af persondata.
Enighed om at lette de administrative byrder
Kommissionen har bedt det Europæiske Databeskyttelsesråd (EDBP) og den Europæiske Tilsynsførende for Databeskyttelse (EDPS) om at se på forslaget. I en udtalelse fra den 8. juli støtter de målet om at reducere byrden for SMV’er, forudsat at det enkelte individs ret til databeskyttelse ikke svækkes. En sådan vurdering har Kommissionen ikke konsekvensberegnet i det fremlagte forslag.
Derfor understreger EDBP og EDPS behovet for proportionalitet, så små virksomheder ikke skal leve op til de samme krav som større virksomheder, ligesom virksomheder med få almindelige persondata ikke er lige så udsatte, som virksomheder med mere kritiske persondata.
Da selv små virksomheder kan foretage behandlinger, der medfører høj risiko, bør kravet om at foretage en risikovurdering derfor stadig gælde her. Konkret foreslår EDBP og EDPS derfor, at det tydeliggøres, at kravet om fortegnelse kun gælder, hvor der er høj risiko – og ikke for alle behandlinger generelt.
Den interne fortegnelse
Med GDPR blev dataansvarlige og databehandlere pålagt at dokumentere relevante oplysninger om behandling af persondata ét samlet sted, hvor de kunne stilles til rådighed for tilsynsmyndigheder efter anmodning.
Derfor kom der krav om at samle dokumentationen i én samlet fortegnelse. Den fungerer både som et værktøj for dataansvarlige og -behandlere til at dokumentere, at de overholder reglerne i overensstemmelse med ansvarlighedsprincippet. Desuden hjælper den tilsynsmyndighederne med at føre tilsyn med behandlingen.
Vedtages forslaget fra Kommissionen, er virksomheder og organisationer med under 750 ansatte, som ikke foretager behandlinger med høj risiko, ikke længere forpligtet til at føre en fortegnelse.
Undtaget men stadig forpligtet
Selvom forslaget vil betyde, at SMV’er uden højrisiko-persondata vil være undtaget fra kravet om en intern fortegnelse, påpeger EDPB og EDPS, at selv for disse virksomheder er det nyttigt at føre en intern fortegnelse. Denne understøtter nemlig efterlevelse af GDPR ift. den registreredes rettigheder, DPIA, dokumentation over for tilsynsmyndigheder og datasikkerhed.
For selvom både dataansvarlige og -behandlere kan være undtaget fra kravet om en intern fortegnelse, er de stadig omfattet af alle andre gældende krav til GDPR – og her gør en opdateret fortegnelse det både lettere at overholde og dokumentere dette. For der er stadig krav om både kortlægning af persondata, databehandleraftaler og risikovurdering. Alt sammen noget, der i Lexoforms løsning indgår i den automatiske generering af den interne fortegnelse – i realtid.
En intern fortegnelse med mange fordele
EDBP og EDPS påpeger en lang række fordele ved netop den interne fortegnelse. De fremhæver, at den interne fortegnelse…
- hjælper dataansvarlige med at få 100% overblik over samtlige behandlinger af persondata
- bidrager til at sikre, at principperne for databehandling overholdes
- hjælper med at identificere hjemmel for behandlingen
- styrker de registreredes rettigheder ved at lette udarbejdelsen af privatlivspolitikker, sikre indsigtsretten og lette vurderingen af den faktiske risiko ved behandling af persondata
- giver vigtigt input til at vurdere risici og beslutte om, der er behov for en konsekvensanalyse (DPIA)
- letter DPO’ens arbejde, herunder rådgivning og overvågning af overholdelse
- letter vurderingen af, om der kræves supplerende foranstaltninger ifm. overførsel til tredjelande
- hjælper med at sikre ansvarlig anvendelse af nye behandling af data, fx ved nye teknologier
- hjælper dataansvarlige med at sikre, at en databehandler overholder sin instruks
- bidrager til at identificere og implementere passende sikkerhedsforanstaltninger
- letter dokumentation af sikkerhedsbrud
Alternativet kan være værre
Er man som dataansvarlig eller -behandler undtaget kravet om den interne fortegnelse, skal man dog som nævnt stadig vælge andre ”passende metoder” til at sikre og dokumentere overholdelse i overensstemmelse med ansvarlighedsprincippet.
Disse metoder kan dog hurtigt vise sig mere omfangsrige, da der ikke er formelle krav hertil, ligesom der heller ikke findes noget overblik over, hvilke metoder og dokumentationskrav, der overhovedet er tale om. Det vil derfor kræve en individuel vurdering overhovedet at vælge de rigtige metoder og værktøjer.
Lexoforms mener…
EDBP og EDPS’ kommentarer til Kommissionens forslag ligger helt i tråd med vores holdning til GDPR. Vi mener grundlæggende, at de nuværende regler er fint dækkende til at sikre hinandens persondata. Men det er tolkningen og implementeringen af reglerne, der ødelægger hensigten.
Det er ikke målet med GDPR at drukne virksomhederne i administration og bureaukrati, og derved hæmme konkurrenceevnen. Det er tværtimod målet at hæve (person)datasikkerheden og dermed styrke konkurrenceevnen gennem en skærpet opmærksomhed omkring persondata. Denne skal så suppleres med konkrete tiltag til, hvor den fysiske datasikkerhed kan forbedres – uden at overkomplicere det.
Hvad nu?
EDPB og EDPS støtter forslaget om at forenkle kravene, forudsat at databeskyttelsen opretholdes. Derfor understreger de vigtigheden af risikovurdering og ansvarlighed. Desuden anbefaler de, at der tilføjes klarhed omkring anvendelsesområdet, ligesom de fremhæver værdien af vejledning og ressourcer som fx enklere vejledninger og konkrete skabeloner.
Europa-Kommissionen bad EDBP og EDPS om udtalelsen, der som nævnt kom den 8. juli. Derfor har Kommissionen endnu ikke haft mulighed for at kommentere på denne. Forslaget er desuden sendt videre til Europa-Parlamentet og Ministerrådet, som nu skal behandle det. Der er endnu ingen fast tidsplan, og ændringer kan komme undervejs, afhængigt af input fra interessenter.
Vi holder øje…
