ALLE skal forholde sig til persondataforordningen

EU’s kommende persondataforordningen kommer til at gælde for alle virksomheder i Danmark. Det er ifølge underviser på ITU Professional Courses Henning Mortensen særligt en udfordring for små- og mellemstore virksomheder. Han fortæller her, hvad de mindre virksomheder skal være opmærksomme på.

Efteruddannelseit-sikkerhedprivacy

- Mange kan ikke gennemskue det juridiske vokabular, som forordningen er skrevet på. Men forordningen gælder for alle, der har etableret sig i EU eller retter tjenester mod EU, og derfor også for alle virksomheder i Danmark. Alle skal sætte sig ind i reglerne og sørge for at overholde dem, fortæller Henning Mortensen, der underviser i persondataforordningen under ITU Professional Courses.

»

Men forordningen gælder for alle, der har etableret sig i EU eller retter tjenester mod EU, og derfor også for alle virksomheder i Danmark.

Henning Mortensen, underviser under ITU Professional Courses
«

Forordningen beskytter menneskerettighederne
Persondataforordningen, som træder i kraft i midten af 2018, skal værne om den menneskeret, det er at bestemme, hvem vi deler oplysninger med og hvornår i et samfund, hvor flere og flere digitaliserer oplysninger.

- Vi deler forskellige oplysninger med forskellige mennesker, og det konstituerer os som mennesker at have ret til at bestemme hvem, vi deler hvad med. Derfor vil man også tage en del af vores menneskelighed fra os, hvis vi ikke længere har den ret. Forordningen er således en operationalisering af en fundamental menneskeret – nemlig retten til privatliv, siger Henning Mortensen.

Et andet formål med forordningen er ifølge Henning Mortensen også at værne om innovationen, fordi muligheden for at kunne skjule sin identitet gør det muligt at udvikle og udgive videnskabelige teorier og politiske værker uden at blive forfulgt af magthavere, der måtte være imod.

Endelige peger Henning Mortensen på, at forordningen skal styrke europæisk erhvervsliv, som skal kunne konkurrere med store udenlandske giganter som Facebook og Google. Med forordningen operationaliseres beskyttelsen af personoplysninger på en måde, som man ikke er vant til i udenlandsk lovgivning.

Forordningen giver overblik over data
Virksomheder, der følger forordningen, vil lære deres data bedre at kende. Det kan ifølge Henning Mortensen give effektiviseringsgevinster, når man kan se, hvor man kan forbedre forretningsgange, og forretningsmuligheder, når man får overblik over data. Det giver også en bedre datasikkerhed, når virksomhederne får styr på deres data og fx skal gøre sig klart, til hvilket formål de behandler en bestemt personoplysning.

»

Konkret betyder det jo, at man skal undersøge, hvilke persondata man har liggende, og hvad man bruger dem til, og hvem man eventuelt deler dem med.

Henning Mortensen, underviser under ITU Professional Courses
«

- Set fra brugernes perspektiv, så giver det mere tryghed, når man ved, at virksomhederne skal overholde loven. Og det er der absolut brug for, hvis vi skal fortsætte med at digitalisere, som vi gør i dag, men også når vi i fremtiden kommer til at sætte endnu flere fodspor både via intelligente online produkter i hjemmet, beklædning og andet, der sender signaler om vores adfærd, som opsamles og tilknyttes os som personer, siger Henning Mortensen.

Med trusler om bøder på op til fire procent af virksomhedens omsætning forudser han også, at langt de fleste virksomheder vil gøre deres bedste for at efterleve reglerne uden at gå unødigt i panik.

Sådan skal du forholde dig
Helt overordnet kan man tale om fem overordnede områder, som man skal være opmærksom på, når man behandler persondata. 

1: Man skal overholde principper for, hvordan man behandler data
Ifølge forordningen skal man behandle persondata efter nogle overordnede principper, og man skal kunne dokumentere, at man overholder principperne. Persondata skal behandles på en lovlig og gennemsigtig måde og må kun bruges til de(t) formål, hvor man har et retligt grundlag. Og så skal oplysningerne selvfølgelig være rigtige, kun opbevares i den periode det er relevant og opbevares efter forholdsregler, så de ikke bliver stjålet eller kopieret.

- Konkret betyder det jo, at man skal undersøge, hvilke persondata man har liggende, og hvad man bruger dem til, og hvem man eventuelt deler dem med. Kravet er, at man skal kunne dokumentere, at forordningens regler efterleves, og det kan man kun, hvis man har overblik over sine data, siger Henning Mortensen.

2: Man skal have lov til at behandle data til det formål, man ønsker
Det er derfor nødvendigt at gennemgå det retslige grundlag, som data er indhentet på og undersøge, om der er behov for en ny samtykkeerklæring eller privatlivspolitik. Vel at mærke skrevet i et sprog, som er ”kortfattet, letforståeligt og udformet i et tydeligt og enkelt sprog” (citeret fra forordningen).

- Det er faktisk ikke noget nyt, at man skal have det retlige grundlag på plads til at bruge data til det formål, som man ønsker. Men den nye lov betyder, at man skal kunne dokumentere det, fortæller Henning Mortensen. 

Der er flere måder at få lov til at behandle personoplysninger på. For private virksomheder er det som oftest i medfør af en kontrakt, ved at foretage en interesseafvejning, ved at indhente et samtykke eller i medfør af anden lovgivning. Man må altså fortsat lave mange behandlinger af personoplysninger. Man skal ifølge Henning Mortensen tænke sig om først og ikke bare begynde at behandle løs.

3: Man skal håndtere henvendelser fra dem, data vedrører
Med persondataforordningen har den registrerede nogle rettigheder, herunder indtægtsretten til at se, hvilke oplysninger en virksomhed har om vedkommende og retten til at blive slettet.

»

Det betyder, at virksomhederne skal til at håndtere henvendelser fra personer, der ønsker indsigt i de oplysninger, som virksomheden har registreret om personen.

Henning Mortensen, underviser under ITU Professional Courses
«

- Det betyder, at virksomhederne skal til at håndtere henvendelser fra personer, der ønsker indsigt i de oplysninger, som virksomheden har registreret om personen. Den registrerede har ret til at se data om sig selv, få rettet data, flyttet eller slettet data, og det vil sige, at virksomheden skal have styr på, hvor der findes informationer og om hvem, siger Henning Mortensen.

4: Nye pligter til virksomhederne
- Der er en række nye forpligtelser til virksomhederne, når de behandler personoplysninger. Først og fremmest skal virksomhederne sørge for at implementere sikkerhedstiltag, som svarer til den risiko, som de registrerede udsættes for, når virksomheden behandler personoplysninger. Desuden skal virksomhederne også under en række forudsætninger designe privatlivsbeskyttelse ind i deres systemer, lave konsekvensanalyser og eventuelt udpege en databeskyttelsesansvarlig, fortæller Henning Mortensen.

Har uheldet været ude, og der er sket et databrud, hvor personoplysninger er blevet stjålet eller på anden måde lækket, skal virksomheden indenfor 72 timer give meddelelse om dette til Datatilsynet.

5: Man skal strukturere, hvem man videregiver data til
- Virksomheder skal også strukturere de data, de videregiver. De skal vide nøjagtig, hvem de videregiver data til, og om de fx fører data ud af EU og om de har hjemmel til det. Det betyder også, at man som virksomhed skal have styr på, om persondataoplysningerne ligger i løsninger, der befinder sig uden for EU, fortæller Henning Mortensen.