Landets redaktioner, K-folk og marketing-afdelinger har et arbejde foran sig. Det bliver kort sagt en af de største forandringer for omgang med data og oplysninger nogensinde, når EU’s nye ’databeskyttelsesforordning’ – også kaldet ’persondataforordningen’ – bliver aktiveret i Danmark 25. maj.
”Det er en ’eye opener’ for nogle mennesker i 11. time, at man har vedtaget nogle regler, der har så vidtrækkende og endnu uafklarede konsekvenser,” lyder det fra Allan Sørensen, digital chef i Danske Medier.
Forordningen vil sætte en mur op om privatlivet på nettet. Den vil stille langt skrappere krav til behandling af personhenførbare oplysninger – fra IP-adresser til mailadresser. Og ændringerne får betydning for alle, der – i erhvervsmæssigt regi – benytter sig af oplysninger, som kan bruges til at identificere andre mennesker.
Journalistisk arbejde vil være undtaget for de fleste paragraffer, men forordningen får også betydning for journalister. For eksempel skal man have nye skriftlige aftaler med sine cloud-tjenester. Det vender vi tilbage til.
Virksomheder, der ikke lever op til kravene, kan få bøder på op til fire procent af deres globale årlige omsætning.
Vi har talt med fire eksperter
Medie- og kommunikationsbranchen er plaget af rådvildhed om forordningen. Derfor har Journalisten undersøgt, hvad den vil betyde for mediefolk og kommunikatører. Vi har kigget i forordningen og forskellige vejledninger. Og vi har talt med fire eksperter om sagen:
– Claus Guldager, næstformand i Advokatrådet og partner i Andersen Partners Advokatfirma
– Allan Sørensen, digital chef i mediernes brancheorganisation, Danske Medier
– Cecilie Kunz Paulsen, juridisk rådgiver i bureauernes brancheorganisation, Kreativitet og Kommunikation
– Pernille Tranberg, rådgiver om etisk brug af data og medstifter af tænketanken Dataethics.eu
Her er de vigtigste pointer fra vores research. [quote:0]
1. Privatlivet vender tilbage
Forordningen har to formål:
1. Det primære formål er en beskyttelse af privatlivet. ”Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed,” står der i forordningen, der vokser ud af debatten om privatliv på nettet.
2. Forordningen skal også ”fjerne hindringerne for udveksling af personoplysninger inden for Unionen,” fremgår det.
Enkelte aspekter vil variere fra land til land, og en ny ”lov om supplerende bestemmelser” er aktuelt til behandling i Danmark.
2. Persondata er et vidt begreb
Alle oplysninger, der kan bruges til at identificere en person, bliver klassificeret som persondata hos EU.
Allan Sørensen fra Danske Medier udlægger teksten sådan her:
”Al information, som kan relateres til en fysisk person – eller en fysisk enhed, der tilhører en fysisk person – skal defineres som persondata. Det gælder cookies, ID-numre, IMEI-numre (en telefons serienummer, red.) og i det hele taget alle former for ID, der gør det muligt at adskille én enhed fra en anden.”
Og i forordningen kan man læse følgende:
”Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person.”
3. Der er ingen bagatelgrænse
De nye regler gælder alle erhvervsmæssige sammenhænge, om end journalistisk arbejde altså bliver undtaget for det meste.
”Der er ikke nogen bagatelgrænse,” som Allan Sørensen siger det:
”Så uanset om du er en blogger, et af de største danske nyhedsmedier, eller om du er Google eller Facebook, så er reglerne, som de er.”
Særligt de annoncedrevne hjemmesider bliver ramt, forklarer han.
”Jo mere koncentreret din forretningsmodel er omkring anvendelsen af persondata og annoncering, desto mere bliver du påvirket,” siger Allan Sørensen.
Det skyldes blandt andet, at meget web-annoncering bygger på indsamling af data, så annoncerne kan målrettes til brugerne.
Også bloggerne skal være vågne. Lisbeth Kiel Bjerrum, formand for Danske Bloggere i DJ, skriver i en mail til Journalisten, at ”den nye dataforordning kommer til at påvirke alle bloggere”. Hun oplyser, at gruppen er i gang med at danne sig et overblik over konsekvenserne. Det sker i samarbejde med jurister i Dansk Journalistforbund.
4. Journalistisk arbejde er undtaget for det meste
Journalister kan dog i store træk ånde lettet op.
Pressefriheden er stadig et fundamentalt princip hos EU, kan man læse i forordningen.
Men Claus Guldager understreger, at skruen også vil blive strammet om journalister på visse områder. For eksempel vil der blive stillet større krav om datasikkerhed:
”Når I behandler personoplysninger om mig, så skal I leve op til de samme sikkerhedsstandarder som enhver anden erhvervsvirksomhed,” siger han.
Dataansvarlige – det kunne være journalister – skal også have skriftlige aftaler med alle deres data-behandlere – det kunne være Dropbox og Microsoft. Så hvis du som journalist eller fotograf bruger cloud-tjenester til at gemme dit materiale, bliver det fremover dit ansvar, at der ligger en lovlig aftale mellem dig og hver enkelt cloud-tjeneste.
Du skal også være opmærksom på, at det ikke vil være lovligt at lægge kilde-materiale i alle lande uden for EU. I USA vil det kun være lovligt hos udbydere, der har tilsluttet sig ordningen 'EU-U.S. Privacy Shield', oplyser Claus Guldager. Dét har blandt andre Dropbox og Microsoft.
”Det skal klarlægges i hvert enkelt tilfælde, om betingelserne for overførsel af personoplysninger til tredjelande er opfyldt,” siger Claus Guldager.
Redaktionerne skal også indføre nye politikker for aspekter af deres arbejde, der ikke er direkte relateret til journalistisk arbejde.
”En moderne redaktion følger med i trafik, brugere, tid og loyalitet. Alt dét er baseret på personoplysninger,” siger Allan Sørensen.
Det betyder for eksempel, at man skal være i stand til at slette unødvendige data på kommando. Det vender vi tilbage til.
Personlige og familiemæssige aktiviteter er til gengæld helt undtaget fra forordningen. Man er for eksempel – som udgangspunkt – ikke omfattet, hvis man lægger feriebilleder op på en offentlig facebookside, forklarer Claus Guldager.
5. Krav om ”fuldstændigt overblik” og dokumentation
Med forordningen vil alle, der benytter sig af personhenførbare oplysninger i kommercielt regi, blive mødt med et markant skærpet dokumentationskrav. Det gælder for eksempel medier, bloggere, net-butikker og fagforeninger.
Mange virksomheder skal udarbejde en såkaldt ”fortegnelse” over alle deres data-strømme. Det kan man læse mere om i ”Vejledning om fortegnelser” fra Justitsministeriet og Datatilsynet.
Man skal også indgå skriftlige aftaler med virksomheder, der opbevarer og behandler ens data.
Og for at få styr på dokumentationen bør man danne sig et totalt overblik over sine data, forklarer Allan Sørensen.
”En af de vigtigste forandringer er, at medierne skal få et fuldstændigt overblik over deres interne data flows,” siger han.
Cecilie Kunz Paulsen fra Kreativitet og Kommunikation giver det samme råd til bureauerne.
”En af de ting, man skal starte med, er at kortlægge: Hvor kommer vores data fra? Hvilke data har vi? Hvad gør vi med vores data? Og hvor flyder de hen?” siger hun.
For eksempel samler hjemmesider typisk oplysninger om dem, der besøger siden. Disse oplysninger bliver ofte kombineret med data fra andre kilder. Og ofte bliver dataene sendt videre til andre virksomheder.
Claus Guldager opsummerer:
”Alle skal kunne dokumentere, at de overholder forordningen.”
”Hvor vi tidligere skulle fanges i en fejl, før nogen kunne løfte en pegefinger, så skal vi nu have dokumentation i skuffen, som viser, at vi har orden i penalhuset,” siger han. [quote:3]
6. Brugere kan kræve data slettet
Fra den 25. maj kan brugerne kræve at få de fleste data slettet, en virksomhed har samlet om dem.
”Hvis du er abonnent hos Berlingske, kan du altid kontakte dem og sige, at du gerne vil se alt, hvad de har af data om dig, og hvilke databaser du er med i,” siger Pernille Tranberg.
”Det bliver en meget, meget stor forandring for nyhedsmedierne,” vurderer hun.
”Forordningen vender det hele om. I stedet for, at det er dem, der sidder på dine data, der bestemmer over dem, så bliver det dig, der kan bestemme over dine data,” opsummerer hun.
Allan Sørensen forudser ”et vist antal forespørgsler fra brugere, der ønsker at få indsigt i egne data eller ønsker at blive slettet”.
”Man bør nok opstille nogle systemer for det,” siger han.
Brugerne kan også kræve at få de fleste data slettet, som er givet videre til andre virksomheder.
”Som moderne medievirksomhed interagerer du med et stort antal samarbejdspartnere. Og alle dem skal du også have styr på,” siger Allan Sørensen.
Og virksomhederne får ikke lov til at skjule meget for sine brugere.
”Den enkelte registrerede skal som udgangspunkt have besked om, at der behandles oplysninger om den pågældende,” står der i en vejledning med titlen ”Databeskyttelsesforordningen”.
Den er udgivet af blandt andre Datatilsynet og Justitsministeriet.
De nuværende cookie-regler vil fortsat gælde for hjemmesider. Men snart vil en ny såkaldt ePrivacy-forordning fra EU indføre nye krav.
Bemærk, at journalistisk arbejde er undtaget fra retten til indsigt og retten til at kræve data slettet.
7. Alle data skal have et formål
Forordningen indfører en række nye etiske principper for persondata. Ét af dem lyder, at al data-behandling skal have et klart og legitimt formål.
”Man må ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne,” står der i Datatilsynets og Justitsministeriets introducerende vejledning.
Der vil også blive stillet krav om ”dataminimering”.
”Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet,” står der i vejledningen.
Bemærk, at dette heller ikke gælder for journalistisk arbejde, men for alle andre, der bruger persondata i erhvervsmæssigt regi.
8. Del ikke med Google Analytics
Forordningen vil også få andre konsekvenser for medie- og K-folk.
For eksempel skal man også have styr på Google Analytics.
Hvis en hjemmeside-ejer bruger Google Analytics, skal man være opmærksom på at slå anonymisering til. IP-adresser og andre personhenførbare oplysninger må ikke sendes videre til Google, advarer teknologi-giganten. Man kan dog godt bruge Google Analytics uden at sende personhenførbare data videre til Google. [quote:4]
9. Danske Medier aflyser dommedag
Det kan lyde omfattende. Men bureauer, medier og andre virksomheder, der får styr på reglerne, vil i store træk kunne fortsætte deres arbejde som hidtil, vurderer Allan Sørensen hos Danske Medier.
”Langt hen ad vejen vil jeg gerne aflyse dommedag, for det bliver ikke så slemt. Men der er en hel masse steps undervejs, hvor man som dataansvarlig og databehandler skal leve op til en omfattende mængde af krav til administration, information og dokumentation,” forklarer han.
10. Sådan kan du blive klogere
Den nye forordning ligger her.
Den fylder 88 sider.
Datatilsynet har produceret en række vejledninger: En introduktion, som kan findes her. Og en række mere specifikke vejledninger, der kan findes her. Flere vejledninger er på vej.
Brancheorganisationer, såsom Danske Medier og Kreativitet og Kommunikation, har også skrevet vejledninger til deres medlemmer og tilbyder rådgivning.
Google har skrevet om forordningen her.
Og der findes masser af advokater, konsulentvirksomheder og it-huse, der sælger rådgivning om persondataforordningen. Journalistens kilder beretter om et boom i konsulentbranchen.
Journalistens kilder understreger også, at meget endnu er uvist.
Det skyldes blandt andet, at der endnu ikke er faldet domme på området, da forordningen ikke bliver anvendt endnu. Og at der stadig mangler nogle guidelines fra den såkaldte Artikel 29-gruppen, hvor tilsynsmyndighederne i de enkelte lande mødes i EU-regi. Denne gruppe skal på sigt udvikle sig til et tværeuropæisk databeskyttelsesråd.
8 Kommentarer
Du skal være logget ind med dit DJ-login for at kunne kommentere på artiklen.
Synes Lene Petersen stiller et yderst relevant spørgsmål: hvad er reglerne for kildearkiver? Må vi ikke længere opbevare oplysninger på kilder med angivelse af telefonnummer, mailadresse og evt. arbejdsplads?
Hvad med vores kildearkiver? Ellers vores gemte research?
Hvad med pressefotografiet? Det bliver, på grund af det digitale fotografis EXIF data, tid, sted, position, umuligt at fotografere mennesker i det offentlige uden deres accept. Selv MED deres accept betyder ikke, at man må pulicere det. Exit street-photography, exit pressefotos og meget andet.. De fleste af Henri Cartier Bressons billeder, ville være ulovlige at lave efter den 25 maj
"1. Det primære formål er en beskyttelse af privatlivet. ”Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed,” står der i forordningen, der vokser ud af debatten om privatliv på nettet.
2. Forordningen skal også ”fjerne hindringerne for udveksling af personoplysninger inden for Unionen,” fremgår det."
Er det ikke selvmodsigende: Vi skal beskyttes, men persondata skal uhindret kunne flyde i EU?
Hvor står det at journalistisk arbejde er undtaget fra retten til indsigt og retten til at kræve data slettet? Hvis en artikel er 10 år gammel etc...? Svar udbedes.
Flere