Privacy by Design

Privacy by Design og Privacy by Default var reaktioner på virksomheders tendens til at udvikle og udbyde ydelser og applikationer, der i høj grad udnytter persondata, som er indhentet uden brugerens tilladelse. Hvad betyder disse principper? Er de lovkrav? Er en overtrædelse af disse principper strafbar? Hvordan skal virksomheder håndtere lancering af produkter fremadrettet?

15000 kr.

Kom i gang

Persondataforordningen introducerede både "Privacy by Design" og "Privacy by Default". Det var reaktioner på en tendens for virksomheder i mange industrier til at udvikle og udbyde ydelser og applikationer, der i høj grad udnytter persondata indhentet uden brugerens tilladelse.

 

Nye virksomheder har som regel så travlt med at få deres produkter eller services ud på markedet, at de ofte risikerer at overse deres almindelige juridiske forpligtelser. For nyopstartede virksomheder kan nedprioriteringen af privatlivsbeskyttelse og persondatabeskyttelse have store konsekvenser for virksomheden på længere sigt. Konsekvenserne kan være at blive idømt en bøde og dels at skulle bygge en etableret digital infrastruktur påny. I begge tilfælde bliver det dyrt for virksomheden. Idømmelsen af en bøde kan være så høj som op til 4 % af virksomhedens globale omsætning.

 

For at undgå at komme i situationer som ovenstående bør virksomheder indtænke Privacy by Design og Privacy by Default. Med disse principper skal databeskyttelse indarbejdes gennem design fra starten af produktets udvikling.

 

Hvad er Privacy by Design?

 

Privacy by Design indebærer, at databeskyttelse allerede skal indarbejdes i designfasen af produktet. Med andre ord skal enhver handling, der involverer virksomhedens behandling af persondata, udføres med databeskyttelse som prioritet. Dette omfatter interne projekter, produktudvikling, softwareudvikling, IT-systemer mm.

 

Privacy by Design som tilgang har sjældent været til stede i praksis. Normalt vil en virksomhed færdigudvikle deres produkt forinden databeskyttelseshensyn overhovedet overvejes. Virksomheders behov for at indsamle persondata og lagre det uden et legitimt grundlag er ikke længere tilladt.

 

Baggrunden for denne tilgang til at indsamle så meget information som muligt kan skyldes mange forskellige årsager. Oftest er det for virksomheden en interesse i at kunne kortlægge brugernes digitale adfærd. Ligeledes kan det også være tilfældet, hvor man ønsker at identificere tidligere besøgende for at målrette markedsføring til disse brugere.

 

Hvad er Privacy by Default?

 

Privacy by Default medfører, at når et produkt eller en ydelse er offentliggjort, skal de mest restriktive privatlivsindstillinger være anvendt fra start. På sociale medier kan dette være synligheden af en profil til offentligheden. På applikationer kan dette være hvor meget information man som bruger passivt transmitterer til virksomheden, og som virksomheden dermed bruger til at forbedre applikationen.

 

Her er det vigtigt, at dette skal være tilfældet, uden at brugeren er tvunget til at ændre dette manuelt forinden produktet tages i brug. Brugeren skal dog have mulighed for at ændre dette efterfølgende, hvis denne ikke foretrækker disse indstillinger.

 

Endvidere skal alt persondata, der er uploadet af brugeren med henblik på at optimere produktets funktionalitet, alene opbevares i den tidsperiode, der er nødvendig for at opretholde en produktet eller ydelsen. Hvis der kræves mere information end hvad der umiddelbart er rimeligt for produktet eller ydelsens anvendelse, strider dette imod Privacy by Default.

 

Hvordan bør et produkt eller en ydelse udvikles med Privacy by Design/Default?

 

Med henblik på de potentielle risici ved databehandling bør et produkt designes, så den:

 

  • minimerer dataindsamling,
  • anvender de mest restriktive privatlivsindstillinger fra start
  • sletter data, som ikke længere er påkrævet for systemets funktionalitet,
  • giver systemadgang til slutbrugeren og
  • giver brugeren kontrol over, hvor meget data, der deles med andre organisationer.

 

Designtilgangen på hver af disse fokusområder bør tilpasses til at maksimere overholdelsen af retten til privatliv.

 

Hvad er formålet med Privacy by Design/Default?

 

Privacy by Design/Default er en proces, der er designet til at sikre, at personers privatliv er beskyttet, når de bruger en given tjeneste. Ideen bag er, at privacy skal være indbygget i designet af tjenesten, således at der er et default-niveau af beskyttelse, uanset om brugeren har foretaget ændringer eller ej. Dette indebærer, at tjenesteudbydere skal tage flere forholdsregler for at sikre, at private data er beskyttet, og at brugerinteraktioner er sikre og konfidentielle.

 

Ønsker du hjælp til en persondataretlig problemstilling?

Lexly har eksperter i alle områder inden for persondataretten, og vi bistår meget gerne med vurderingen af hvilke forhold, der er mest optimale i den konkrete situation.

Uanset om der ønskes en generel rådgivning om, hvilke forhold opmærksomheden skal henledes på i forbindelse med udarbejdelsen med alt fra en databehandleraftale til en anmodning om dataportabilitet, eller om der ønskes en egentlig udarbejdelse af dokumentet, så er det alt sammen noget, vi hos Lexly kan hjælpe med. Vi leverer ikke blot juridisk rådgivning, vi har også stor opmærksomhed på de forretningsmæssige aspekter, der gør sig gældende i den enkelte situation.

Du kan derfor trygt vælge Lexly, hvis du vil sikkert i mål med din sag.

Hvordan kommer jeg igang?

Hos Lexly kan du vælge at downloade en dokumentskabelon. Alternativt kan du vælge, om du vil få en jurist til skræddersy dokumentet fra bunden.

Du kan høre mere om vores rådgivningsmuligheder ved at klikke på "start nu" ovenfor. Du kan endvidere vælge at oprette en opgave på vores platform for at få tilbud fra juridiske eksperter inden for persondataret.

Hvis du er i tvivl om noget, er du mere end velkommen til at skrive eller ringe til os. Vi sidder klar til at hjælpe.

Ofte stillede spørgsmål

Ofte stillede spørgsmål

Hvad er Privacy by Design/Default?

Privacy by Design/Default er et koncept, der forsøger at sikre, at personoplysninger ikke misbruges eller offentliggøres uden samtykke. Det går ud på, at organisationer skal indarbejde principper for databeskyttelse i alle aspekter af deres virksomhed, herunder design, udvikling og implementering af produkter og tjenester. Dette kan gøres ved at sikre, at personoplysninger kun bliver brugt, gemt og offentliggjort, som det er specificeret i aftalen mellem den organisation, der håndterer de oplysninger, og den enkelte person, der er berørt.

Hvilke love og regler er forbundet med Privacy by Design/Default?

Når det kommer til Privacy by Design/Default, er der flere lovgivningsmæssige krav, som enhver organisation skal overholde. Disse inkluderer bl.a. Databeskyttelsesforordningen (GDPR), der specificerer reglerne for databeskyttelse og privatliv, der skal overholdes, når personoplysninger håndteres. Herudover EU-lovgivningen om databeskyttelse (ePrivacy).

Hvordan implementerer man privacy by design/default?

Trinene for at implementere privacy by design/default er enkle, men kræver lidt tid og planlægning. Først skal du starte med en grundig risikovurdering. Dette skal omfatte overvejelse af de data, der skal indsamles og lagres og hvilke processer, der skal anvendes. Derefter skal du udvikle en politik til at håndtere data. Den skal omfatte hvordan data skal indsamles, hvor det skal lagres, hvem der har adgang til det, og hvordan man skal håndtere uautoriseret adgang.

Privacy by Design

15000 kr.

Kom i gang