I skal have styr på jeres behandling af persondata inden
den 25. maj 2018. Har I ikke det kan det blive en bekostelig affære – økonomisk, ressourcemæssigt og imagemæssigt
Målet med persondataforordningen
Formålet med persondataforordningen (i daglig tale GDPR - General Data Protection Regulation) er overordnet set at styrke beskyttelsen af personoplysninger og beskytte individets rettigheder i forbindelse med behandling af persondata. Derigennem skal der skabes større tillid til den digitale verden, som vi lever og driver forretning i i dag.
I princippet skal man i hvert enkelt tilfælde vurdere, hvordan data skal klassificeres og dermed behandles.
Den nye lov er en forordning - det betyder, at den gælder, uden at Folketinget skal godkende eller tilpasse loven. Der er dog en række forhold, som Danmark (og andre lande) særskilt har lovgivet omkring. Virksomheder som handler med andre EU lander, skal derfor være opmærksom på, at det kan være nødvendigt at kunne håndtere processer individuelt for hvert land for at overholde lovgivningen.
EU’s definition
Eu-persondataforordning finder anvendelse på behandling af persondata inden for den Europæiske Union. Forordningens artikel fire defineret persondata som følgende:
"Enhver information, der kan relateres til en identificeret person, eller data der kan direkte eller indirekte identificere en person. F.eks. kan der være tale om navn, CPR.nr. online identifikationer eller oplysninger angående fysisk, psykologisk, økonomisk, kulturel tilstand samt religiøs eller politisk overbevisning."
Læs forordningen her >
Hvem er berørt
Stort set alle virksomheder (store og små, enkeltmandsvirksomheder, foreninger, forvaltninger, institutioner ….) er omfattet af reglerne og derfor er det vigtigt, at I hurtigt får afklaret i hvilket omfang I er berørt. Det kan være et stort og tidskrævende arbejde med at tilpasse jeres arbejdsgange for at overholde persondataforordningens regler. Derfor er det vigtigt at komme i gang.
Mange tror GDPR er et juridisk projekt eller et it projekt. Selv om begge områder er tungt involveret, er det ikke den rigtige tilgang.
Det drejer sig om hvordan I som virksomhed arbejder med kunder, partnere og internt i forhold til medarbejder mm. Og det drejer sig om at udnytte data bedst muligt inden for rammerne af reglerne. Det er således et forandringsprojekt, der påvirker hele forretningen.
Implementeres og styres det rigtigt kan det tilføre jeres virksomhed brugbar viden om og til gavn for jeres kunder.
Derfor er arbejdet med at leve op til den nye persondataforordning et ledelsesmæssigt og bestyrelsesmæssigt anliggende. Fordi der skal tages grundlæggende beslutning om virksomhedens strategi og risiko.
Det handler om dataflow, at få styr på detaljer, formuleringer, dokumenter og aftaler med underleverandører og samarbejdspartnere, samt ikke mindst at få opkvalificeret og efteruddannet medarbejderne til at have en grundlæggende forståelse for persondata og de nye reglers rammer.
Hvad er persondata
Persondata er alt, der direkte eller indirekte kan henføres til en person – også selvom det kun er muligt for særligt indviede at forstå, hvem oplysningen vedrører. Om det kræver specielt program at finde disse informationer gør ingen forskel.
Den danske lov har tre kategorier af persondata.
Almindelige data er eksempelvis navn, adresse, fødselsdato, telefonnummer, e-mailadresse, IP-adresse, journaliseringsdata, lokaliseringsdata, eksamener, stilling, onlineidentifikator, betalingsinformationer, historik over tidligere køb, arbejdsområde, oplysning om hvilke varer en person har klikket på, fotos, videoovervågning, stemmeoptagelser og meget mere.
Fortrolige data er f.eks. CPR-nummer, økonomi, skatteforhold, sygedage, tjenstlige forhold, familieforhold, sociale forhold og strafbare forhold.
Følsomme data er f.eks. race, etnisk baggrund, politisk-, religiøs- og filosofisk overbevisning, fagforeningsmæssige forhold, seksuelle forhold og helbredsoplysninger. CPR-nummeret er endnu ikke placeret under følsomme data, men det bliver det formodentligt.
Ansvarlige for data
Loven arbejder med to typer: dataansvarlig og databehandler.
Dataansvarlig
I er dataansvarlig, når I er ”den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.”
Den dataansvarlige anses for at have 'ejerskabet' af oplysningerne. Dette betyder, at alle med en webshop, medlemssite, nyhedsbrev og bruger af mail osv. er omfattet.
Databehandler
I er databehandler, når I er ”…den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.”
Databehandleren må kun behandle oplysningerne på vegne af (efter instruks fra) en dataansvarlig. Har I adgang til data, f.eks. som leverandør af en webshop, er I databehandler.
Ansvaret for dataene er hos den dataansvarlige. Den dataansvarlige skal indføre foranstaltninger for at sikre og være i stand til at dokumentere overholdelse af forordningen - I skal altså stille krav over for jeres databehandlere.
