Forstå de nye GDPR-regler på 5 minutter
Den 25. maj træder den nye persondatalovgivning (General Data Protection Regulation – også forkortet og måske bedst kendt som GDPR), i kraft. Den betyder blandt andet, at virksomheder skal kunne redegøre for de personlige data, virksomheden opbevarer om de enkelte kunder, at virksomheden har foretaget en kortlægning af et system til præcist at oplyse hvilke data der samles og gemmes, samt at brugerne har ret til at få indsigt i den data og at blive slettet hos virksomheden. Opfyldes GDPR-kravene ikke, kan der falde store bøder.
Rigtig mange danske virksomheder opfylder i dag ikke kravene til persondatalovgivningen, men det er ved at våre i absolut 12. time, hvis man skal nå at leve op til reglerne inden den 25. maj. Vi har talt med Henrik Benjaminsen, Partner og advokat i Ret&Råd Fyn A/S, der tilbyder rådgivning til håndtering af GDPR til små og store virksomheder, så de kan blive GDPR-compliant.
Ret&Råd Fyn A/S benytter danske cloud-baserede Lexoforms som system til at kortlægge de IT-systemer og analoge systemer, som virkomhederne benytter til opbevaring af personoplysninger. Det er blandt andet medarbejderinstruks, samtykkeerklæringer, informationspligt, databehandleraftaler og så videre.
Persondatalovgivningen har eksisteret i mange år
Selvom de nye GDPR-regler har fået massiv omtale de seneste måneder, så er der egentlig ikke så meget nyt i persondatalovgivningen, forklarer Henrik Benjaminsen.
“Persondataloven har været der i mange år, så det er ikke nyt, at virksomheder skal passe på persondata. En af de store forskelle er dog de bøder, der kan blive udstedt til virksomheder, der ikke håndterer personlige data korrekt. Virksomheder kan få bøder på 4 procent af den årlige omsætning, så er man et stort firma, kan bøderne blive store. Tidligere har Danmark været meget tilbageholdende med at udstede store bøder, og nu indfører EU en ensrettet regulering af blandt andet dette.”
Se også: SEO-ekspert: Danske websites ikke klar til mobile first
GDPR-bøder som pisk til at opfylde lovgivningen
Bøderne kan med andre ord opfattes som en pisk til at få virksomheder til at tage persondatalovgivningen alvorligt. Selvom reglerne har været der i mange år, skal mange gøre noget nu, for de færreste har gjort noget før for at leve op til lovgivningen for persondataloven.
Ingen ved dog, hvornår og hvordan bøderne bliver udskrevet. Henrik Benjaminsen vurderer, at Datatilsynet vurderer de enkelte sager, der måtte opstå. Er der nogle få tilfælde i virksomheden, hvor der har været problemer, men hvor virksomheden så efterfølgende har sørget for at tage sig dem, vurderer han, at der ikke bliver udskrevet bøder. Kan Datatilsynet derimod konstatere konsekvent sjusk eller bevidst misbrug af persondata og der intet gøres for at rette op på det, så vil der formentlig falde bøder.
“Men reelt set ved vi det ikke, da det ikke står nedskrevet nogen steder, hvordan bøder bliver delt ud og håndteret”, forklarer Henrik Benjaminsen.
Han forklarer videre, at mange desværre nok tager chancen og intet gør i forhold til at leve op til de nye persondataregler, men man skal være opmærksom på, at der sandsynligvis vil blive udført tilsyn i form af uanmeldte stikprøver.
Se også: Billige mobilabonnementer til virksomheder
Hvordan skal man som virksomhed forholde sig til GDPR?
Hvad er det så, man skal gøre som virksomhed for at leve op til persondatalovgivningen (GDPR)? Det forklarer Henrik Benjaminsen her.
Først og fremmest skal man have for øje, at GDPR-lovgivningen rammer alle, der har et CVR-nummer og som behandler personoplysninger, altså virksomheder, der har økonomisystemer, mail, hjemmesider og så videre. Men organisationer uden CVR-nummer er også omfattet, hvis de behandler personoplysninger, for eksempel foreninger.
“Man skal sørge for at kunne lave en kortlægning af den persondata, der bliver samlet ind i virksomheden fra kunder, ansatte og leverandører. Det skal oplyses klart og præcist, hvilke almindelige persondata og hvilke personfølsomme oplysninger, der bliver samlet og gemt og hvor længe denne data bliver gemt. De registrerede skal informeres om, at virksomheden har oplysningspligt og at man som bruger og kunde har ret til at få indsigt i de gemte informationer og at man har ret til få dem slettet”.
Henrik Benjaminsen giver som eksempel, at det er almindelig praksis, at forhandlere har brug for kundedata for at kunne sælge og sende varer, men ophører man som kunde, så kan man altså kræve at blive slettet.
Som virksomhed skal man have en system, der kan håndtere personoplysninger, der oplyser brugerne om deres rettigheder og hvad der bliver samlet ind af data og hvor længe den bliver opbevaret. Beder en bruger eller kunde om indsigt i den persondata, der bliver opbevaret om en, skal man som virksomhed kunne dokumentere dette.
Se også: Sikker online handel
Hvad skal man gøre når brugere beder om indsigt i persondata?
Det system, som Partner og advokat i Ret&Råd Fyn A/S benytter til at håndtere de oplysninger, som er nævnt herover, det kan ikke bruges til at give brugerne indsigt i den personlige data, der gemmes om dem. Det skal gøres af virksomheden.
“Jeg ved ikke, om der findes systemer derude, som kan håndtere det, men sædvanligvis har virksomheder jo de oplysninger i deres sagsbehandlingssystemer mv., så det giver ingen mening også og lægge dem ind i et GDPR-system”.
“Når en bruger beder om indsigt, så skal virksomheden gå ind i de systemer, hvor man opbevarer data og så fremlægge. Det vil altså oftest skulle ske manuelt. Vores tjeneste fungerer på den måde, at vi leverer en teknisk løsning til at opfylde persondatalovens regler, vi har møder med virksomheden og giver instrukser til, hvordan de skal håndtere persondata”.
Personoplysninger opbevares ikke i deres løsning. Systemet bruges til at have styr på de juridiske dele af GDPR, men selve håndteringen og dokumentationen er stadig virksomhedens ansvar.
Henrik Benjaminsen forklarer, at de fleste vil søge rådgivning ude fra for at kunne håndtere GDPR-reglerne korrekt, men at der også er nogle virksomheder, der selv vil håndtere det – det kræver dog ganske stor viden om emnet, slutter han af.
Se også: Google har sat gang i mobile first – bliver din webshop ramt?
Hvordan skal private med website forholde sig til GDPR?
Private, der har en hjemmeside, som kun anvendes til forhold af privat karakter, vil generelt set ikke blive ramt af persondatareglerne. Men tjener private for eksempel penge på deres website eller indsamler de persondata, som de har planer om at offentliggøre på siden, så bør de tænke sig om en ekstra gang, da de formentlig også vil være ansvarlige i forhold til persondatareglerne, i følge Henrik Benjaminsen.
Se også: Printere bliver også ramt af GDPR
Bonus-info om ting, virksomheder også skal være opmærksomme på
Der er dog også andre ting, som virksomheder skal være opmærksomme på udover at have en digitalt system til at håndtere GDPR.
- Der er ikke noget krav om, at virksomheder skal have en makulator på kontoret for at kunne destruere dokumenter med persondata på. Man kan i stedet have en aftale med et firma, der kommer og ordner det.
- De oplysninger, du sender til din printer, skal også være sikret, ligesom din pc, mobil etc.
- Mange bliver nødt til at begynde og slette alle mails, der er ældre end et år, da det vil være for vanskeligt og håndtere, hvilke mails der må gemmes i hvor lang tid osv.
Se også: Nyheder om GDPR