BIG DATA OG PERSONDATABESKYTTELSE B R A I N S B U S I N E S S / I C T N O R T H - K O N F E R E N C E D. 1 3. S E P T E M B E R 2 0 1 6 S Ø R E N S A N D F E L D J A K O B S E N P R O F E S S O R, P H. D. M E D L E M A F I N T E R N A T I O N A L E C O N O M I C C R I M E & C Y B E R C R I M E C E N T R E ( I E C C ) J U R I D I S K I N S T I T U T
Hvad er Big Data? Big Data is like teenage sex: Everyone is talking about it, nobody really knows how to do it, everyone thinks everybody else is doing it, so everyone claims they are doing it. (Dan Ariely) 2
Hvad er Big Data (fortsat)? Kort def.: Indsamling, opbevaring, analyse, behandling og fortolkning af meget store mængder af data Andre definitioner lægger vægt på tre nøgleord: Volume: Refererer til de massive mængder af data, der indsamles og genereres af forskellige organisationer Velocity: Refererer til den hastighed, som data nu kan analyseres med Variety: Refererer til den variation af forskellige typer af data, der genereres og som potentielt kan bruges, fx data fra offentlige myndigheders hjemmesider og databaser (fx Danmarks Statistik, OIS-basen mv.), betalingspligtige databaser (fx Krak, Google Street view mv.), kunde- og leverandørdatabaser, blogs, sociale medier, data fra GPS'er, overvågningsdata etc. 3
Persondatareguleringen I dag: Persondataloven fra 2000 Hviler på EU s persondatadirektiv, 95/46/EF Fra d. 25. maj 2018: EU s persondataforordning Erstatter direktivet og de nationale gennemførelseslove Dvs. større grad af harmonisering og ensartet retstilstand Forordningen styrker generelt persondatabeskyttelsen i forhold til direktivet men hviler på de samme grundlæggende principper Det er netop disse grundprincipper, der både i dag og med den nye forordning skaber de største problemer ved Big Data! Selvfølgelig muligt at overholde reglerne, men kræver bevidsthed om dem helt fra start, og at reglerne tænkes nøje ind i Big Data-projektet Det her er uhyre komplekst så tal med jeres juridiske rådgiver!!! 4
Hvornår finder loven (fra 2018: forordningen) overhovedet anvendelse? Persondatareguleringen gælder kun for behandling af persondata Persondata : Enhver form for information om en identificeret eller identificerbar person Dvs. alle oplysninger uanset form (IP-adresser, tlf.numre, billeder mv.), hvis det i praksis er muligt at henføre oplysningerne til en bestemt fysisk person Behandling : Behandlingsbegrebet er uhyre bredt, og Big Data vil formodningsvis altid udgøre behandling i lovens forstand (hvis der indgår persondata) Hvis behandling af anonyme data ikke tale om personhenførbare data og i så fald ingen problemer Kryptering bringer ikke i sig selv en behandling uden for loven (idet muligt at dekryptere) 5
Big Data og de persondataretlige grundprincipper Formålsbestemthed Persondata må alene indsamles til udtrykkeligt angivne formål, og en eventuel senere behandling må ikke være uforenelig med disse formål Dvs. indsamling af store mængder data fordi vi kan, for at se, hvad der dukker op, eller hvis vi nu skulle få brug for det en dag, er ikke lovligt. Hvis nyt formål skal der en ny hjemmel eller et nyt samtykke til (og de registrerede skal informeres om de nye formål) Proportionalitet Der må ikke indsamles flere data end nødvendigt for at opfylde de tilsigtede formål. Igen: ikke bare indsamling for indsamlingens skyld! Opbevaringstid Dataene må ikke opbevares længere end nødvendigt ift. formålet 6
Behandlingsgrundlaget Behandling af persondata kræver, at der er hjemmel i loven til behandlingen Samtykke kan udgøre en oplagt hjemmel, men er ofte ikke muligt eller realistisk ved Big Data (pga. omfanget af data og registrerede, og fordi samtykket skal være klart og utvetydigt) Hvis ej muligt at indhente samtykke, er der andre veje: Almindelige data (alt hvad der ikke er følsomme data): interesseafvejningsreglen kan være en vigtig hjemmel (virksomheden forfølger en berettiget interesse, og hensynet til den registrerede overstiger ikke hensynet til denne berettigede interesse) Følsomme data (race, politisk, religiøs eller seksuel observans, helbred mv.): svært at finde hjemmel for private virksomheder! Persondata, som den registrerede selv har offentliggjort (fx på åbne, sociale medier, debatsider mv.), må frit anvendes 7
Nyskabelser med forordningen af betydning for Big Data Dokumentationskrav: ikke nok, at man siger, man lever op til reglerne! Privacy by design/privacy by default IT-systemer, persondatasystemer og processer skal så vidt muligt indrettes, så de tager højde for persondatabeskyttelse Skærpede regler ved IT-sikkerhedsbrud Anmeldelse til myndighederne inden for 72 timer + evt. orientering af de registrerede Skærpede krav til brug af databehandlere (som behandler data på vegne af den dataansvarlige) 8
Nyskabelser med forordningen af betydning for Big Data Data Protection Impact Assessment (DPIA) Konsekvensanalyse hvis høj persondatarisiko (fx som følge af mængden af data) Indførelse af krav om en Data Protection Officer, DPO bl.a. hvis omfattende databehandling, som kræver systematisk og regelmæssig overvågning DPO skal rådgive om reglerne og kontrollere, at virksomheden lever op til disse Væsentligt skærpet bødeniveau ved overtrædelser Op til 4 % af den årlige, globale bruttoomsætning! 9
Konklusion Big Data er ikke uforeneligt med opfyldelse af persondatareglerne Men kræver omhu og kendskab til reglerne Udfordringerne bliver ikke mindre med den nye forordning Så kom i gang allerede nu! Tjekliste (meget forenklet): Er der tale om behandling af persondata? Kan dataene anonymiseres? Er der styr på eventuelle databehandleraftaler? Er formålene med behandlingen klare? Kan de evt. ændres undervejs? Behandles der flere data og i længere tid end formålene tilsiger? Er der grundlag i loven for behandlingen? Behandles der følsomme eller kun almindelige persondata? Er sikkerheden omkring behandlingen af de mange data i overensstemmelse med loven? Skal der laves Data Protection Impact Assessment og/eller udnæves DPO? 10