EU’s persondataforordning: Fem konsekvenser for printbranchen

EU’s lov om databeskyttelse, kaldet General Data Protection Regulation (GDPR), trådte i kraft i den 25. maj 2018. Den skal efterleves, hvis din virksomhed håndterer personoplysninger for EU-borgere. I modsat fald kan det udløse bøder på op til 20 millioner euro eller 4 % af virksomhedens samlede globale årsomsætning.

Så hvad betyder den nye forordning for printbranchen? Her er fem vigtige grundlæggende punkter:

1. Forstå begreberne ”dataansvarlig” og ”databehandler”
Første skridt for en virksomhed i printbranchen er at forstå, om man klassificeres som dataansvarlig eller databehandler. Begge har forpligtelser under den nye forordning. En ”dataansvarlig” afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger (fx en bank), og en ”databehandler” (fx en printvirksomhed) behandler disse persondata på vegne af den ansvarlige.

I visse tilfælde skal virksomheder, uanset deres klassifikation, udpege en person, der har ansvaret for databeskyttelse. Denne medarbejder har i samarbejde med andre afdelinger til opgave at overvåge efterlevelsen af GDPR, rådgive og informere organisationen og medarbejderne om deres forpligtelser og fungere som kontaktperson for tilsynsmyndighederne og personer, hvis data behandles.

2. Registrering af behandlingsaktiviteter
Under den nye forordning skal såvel dataansvarlige som databehandlere registrere databehandlingsaktiviteter og på anmodning stille disse registre til rådighed for tilsynsmyndighederne.

Hvordan skal databehandlere kontrollere datastrømmen? En måde kan være at afholde øvelser i datakortlægning, som giver et omfattende overblik over de data, som indsamles, behandles og opbevares, og som sporer datastrømmen mellem forretningsenheder og underbehandlere eller tredjeparter. Det kan også være nødvendigt at gentage disse kortlægningsøvelser, da der kan forekomme ændringer i den måde, som data indsamles på, eller systemer, processer eller procedurer kan ændre sig under dataenes livscyklus.

3. Individets rettigheder
Tæt tilsyn med og sporing af persondata er essentielt for at efterleve GDPR’s styrkede rettigheder for individer. Det kan også omfatte retten til at blive informeret, retten til dataoverførsel og retten til at få slettet data (også kaldet ”retten til at blive glemt”).

Hvad sker der, hvis et individ ønsker at få sine persondata slettet eller, hvis relevant, at få behandlingen af data stoppet? I de tilfælde kan printvirksomheder i deres egenskab af databehandlere skulle hjælpe dataansvarlige ved anmodning om adgang. Det vil kræve, at databehandlere lokaliserer specifikke persondata, som skal fjernes eller destrueres, på foranledning af en dataansvarlig eller et individ.

4. Sikkerhed og privacy by design
Der har været stort fokus på det nye GDPR-rapporteringsvindue for information om databrud, som giver dataansvarlige 72 timer til at rapportere databrud til tilsynsmyndighederne. GDPR kræver også, at databehandlere uden unødigt ophold informerer dataansvarlige, når de bliver opmærksom på et brud på persondata.

For at undgå bøder og de skader på omdømmet, som et databrud kan forårsage, skal printbranchen opretholde en højere sikkerhedsstandard end nogensinde før. Printvirksomheder skal indføre relevante tekniske og organisatoriske forholdsregler for at holde et sikkerhedsniveau, der er passende i forhold til risikoen.

I takt med, at Internet of Things (IoT) og flere trådløse enheder vinder indpas med adgang til netværk, opstår nye cybersikkerhedstrusler, som påvirker printerteknologien. Moderne printere og intelligente enheder kræver en sikkerhed i flere lag, som strækker sig fra beskyttelse mod indtrængen til enhedssporing, dokument- og datasporing og eksterne partnerskaber med sikkerhedsspecialister. Sikring af persondata fx via kryptering er en absolut nødvendighed. Når data ikke længere er nødvendige, skal de slettes på en sikker måde.

Desuden medvirker produktets egenskaber. fx adgangskontrol (som sikrer, at kun autoriserede brugere har adgang til printenheder) og sikker print (som kun udskriver dokumenter, når brugeren indtaster sit unikke PIN-nummer) til at afhjælpe sikkerhedsproblemer.

I takt med at det bliver mere og mere krævende at kontrollere sikkerheden, er det sandsynligt, at kontrakter oftere vil indeholde serviceaftaler om sikkerhed (SLA’er) – herunder krav om datakryptering og dobbelt godkendelse.

5. Netværkskonsolidering
Mange transaktionelle printprojekter benytter flere partnere til komplicerede direct mail-kampagner (en agent til indhold, en til breve, en til sortering etc.). Det giver mindre kontrol over indholdet og øger risikoen for eksponering.

Kravene under GDPR kan resultere i flere opgaver til større OEM-virksomheder. Kunder søger måske sikkerheden ét sted, som kan håndtere underbehandlere globalt og tilbyder infrastruktur, sikkerhed og automatisk rapportering i et kontrolleret miljø.

Nu, da GDPR er trådt i kraft, er tiden inde til at forberede sig på de væsentlige ændringer, forordningen medfører for printbranchen. Det er nu, printvirksomheder skal evaluere deres databehandlingsaktiviteter, opsøge ekspertrådgivning og udvikle en systematisk tilgang.

Kontakt os

Kontakt ›

Ansvarsfraskrivelse

Denne artikel er udelukkende beregnet til generel information og kan ikke erstatte specifik juridisk rådgivning eller udtalelser. Xerox fralægger sig ansvaret for eventuelle handlinger eller manglende handlinger, der foretages baseret på indholdet af denne artikel.

Xerox har et tværfunktionelt Core Privacy Team, som har til opgave at sikre, at vi er driftsmæssigt forberedt som global medborger og serviceleverandør. Vi forventer til fulde at kunne leve op til vores forpligtelser til at efterleve EU’s persondataforordning.