EU General Data Protection Regulation

53 / 134 7.1.1.4. Opsamling

Med indførelsen af AML direktivet nr. 4 benyttes en risikovurdering til at kategorisere alle bankens kunder som værende lav-, mellem- eller højrisikokunde. Afhængigt af hvilken risikovurderingen kunden score, skal banken efterleve løbende og passende kundekendskabskrav. Kundens risikovurdering er dynamisk, så hvis kundens forhold ændre sig, f.eks. kunden flytter til udlandet, begynder at foretage store udenlandske transaktioner, store kontante indbetalinger eller lignede vil dette have indflydelse på kundens risikovurdering. Hvis risikovurderingen ændres, vil det derfor også ændre bankens krav til kundekendskabet på den pågældende kunde. Hvis banken ikke overholder kravene, har myndighederne flere hårde sanktionsmuligheder, hvilket understreger vigtigheden af bankens AML-opgave.

AML-direktivet spiller derfor en centralrolle i bankernes daglige arbejde. I afsnit 10.1 analyseres og diskuteres det, hvilken indvirkning regulativet vil have på blockchainclearing.

54 / 134 7.2.1. Definition af persondata

I GDPR reguleringen defineres persondata som:

“’Personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly,

in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person”. (GDPR-reguleringen, art. 4)

Af ovenstående definition kan udledes, at persondata er data som relaterer til en identificeret eller identificerbar person. En identificerbar person kan, direkte eller indirekte, identificeres gennem oplysninger som navn, adresse m.m.

Yderligere betragtes persondata som er manipuleret, krypteret eller pseudonymiserede, således at denne data ikke er identificerbar, som værende for persondata, så længe det er muligt at tilbagebringe personens identitet. Hermed er det bredt bestemt, at hvis ”identificeringen” fjernes fra persondata, men efterfølgende kan tilbagebringes, vil denne data til al tid være persondata.

Modsat er data indsamlet anonymt, eller data hvor identificeringen er fjernet og ikke kan tilbagebringes, at værende for ikke-persondata. Dermed gældende, at ved data hvor personen bag er umulig at identificere, og hvor det ikke er muligt at kombinere dette data med andet data for, for hermed at skabe en identificerbar person, som værende for ikke-persondata. Af hjemmesiden EUGDPR.org defineres persondata groft sagt som værende:

“Any information related to a natural person or ‘Data Subject’, that can be used to directly or indirectly identify the person.” (EUGDPR, 2018)

Eksempler på persondata er dermed åbenlyse ting som navn, adresse, telefonnummer og lignende.

Persondata kan også være af mere teknisk karakter som f.eks. et billede-id, cookie id, datanavn på

55 / 134

en reklame på ens telefon m.m. Dette gør definitionen af persondata meget bred og inkluderer derfor størstedelen af den data man efterlader på internettet.

Det er værd at bemærke, at GDPR-reguleringen ikke skelner til, hvordan data er opbevaret. Hvis dataene er kategoriseret som værende for persondata har det dermed ingen indflydelse om det opbevares på et stykke papir, hvor det styres og kontrolleres manuelt, eller om det opbevares på en privat-, eller offentligserver, eller på en blockchain. Kort sagt er opbevaringssystemet helt uden betydning for kategoriseringen af data (GDPR-reguleringen).

7.2.2. Retten til persondata

GDPR er et regelsæt der skal beskytte forbrugeren ved opstramning af persondataloven. Før introduktionen af GDPR havde virksomhederne bedre og nemmere mulighed for at bruge og udnytte persondata, men med GDPR gives retten til persondata tilbage til forbrugeren. Med nedenstående tiltag, får forbrugeren mere kontrol over sin egen persondata.

7.2.2.1. Retten til at blive glemt

En af de største rettigheder som er givet til forbrugeren, er retten til at blive glemt. Det betyder at brugeren skal have mulighed for at få slettet eller fjernet vedkommendes personlige data, uden ophør. Ligeledes har brugeren ret til at få slettet sin data, hvis den er blevet behandlet ulovligt.

Ydermere finder loven også anvendelse for tredjeparter. Det betyder, at hvis en bruger har ønsket sin data slettet, skal virksomheden som indsamlede denne data, meddele dette til alle tredjeparter således at alt data slettes (GDPR-reguleringen, art. 17).

Et eksempel på dette kan være når en person opretter en bruger på Airbnb, og anvender sin Facebook konto til at oprette denne bruger. Hvis personen ikke ønsker at have sin Facebook konto mere, kan personen kræve, at Facebook sletter både det persondata som Facebook og Airbnb opbevarer.

56 / 134 7.2.2.2. Privacy by Design & tilgængelighed

I forlængelse af retten til at blive glemt, er indført: Privacy by Design (PbD). PbD er med til at begrænse virksomhedernes dataindsamling og beskytte forbrugeren overfor unødvendig indsamling og opbevaring af data.

Med PbD er det kun tilladt for virksomhederne at opbevare den mængde data, som er nødvendig for at levere kundens produkt eller tjeneste. Virksomhederne skal kunne redegøre for, hvilke data, som er nødvendige i deres forskellige processer og når en specifik proces er afsluttet, skal den data som ikke længere er nødvendig for at gennemføre de kommende processer slettes. Med PbD er det dermed ulovligt at indsamle og opbevare data udover det nødvendige tidsrum til de specifikke formål.

Forbrugere og reguleringen kan til enhver tid forlange at få fremvist gratis dokumentation for, hvilket formål den opbevarede personlige data tjener, samt hvordan denne er indsamlet. Da virksomheden kun må opbevare den nødvendige data, stiller det derfor krav til virksomhederne udarbejder procedurer og standarder for hvilke persondata, som er nødvendige til specifikke processer (GDPR-reguleringen, art. 25).