Nyheder fra Conversio

GDPR: Hvad betyder den nye datalov for dig?

Anders Tjørnelund
Anders Tjørnelund

Hvad er GDPR?

General Data Protection Regulation. Et emne, der er på manges læber i 2018 – og med god grund. GDPR er nemlig en ny persondatalov, som træder i kraft under EU-lovgivning den 25. maj 2018. Indførelsen betyder, at den nuværende persondatalov (anno ’95) bliver til ’Den nye Persondataforordning’.

Og loven er længe ventet… Hvis stiftelsesåret ikke giver et klart indtryk af præcis, hvor forældet den gamle lov er, kan det bemærkes, at der er lavet over 4000 bekendtgørelser til loven, siden den blev stiftet.

Hvorfor og hvad betyder det?

Persondatalovgivning er måske det rene volapyk for dig, men ikke desto mindre er det afgørende viden for de mange virksomheder, der navigerer på det digitale marked i dag. Loven gælder alle, der håndterer nogen form for personlige data om en EU-borger. Det nye regulativ udspringer fra EU’s ønske om et Digital Single Market; en bestræbelse på, at medlemslandenes individuelle digitale markeder integreres i ét fælles digitalt marked.

EU ønsker at skabe et fælles regelsæt, der tvinger alle spillere til at spille efter de samme regler. Datamarkedet er nemlig komplekst, og det kan være svært at navigere i junglen af alle dem, der vil have adgang til dine data. Nu er der etableret et sikkerhedsnet, der straffer dem, som udnytter data uden tilladelse.

Det er i bund og grund en sikkerhed for individet i en digital verden. Regulativet skal være med til at beskytte borgere mod langvarig opbevaring og benyttelse af persondata – men samtidig også hjælpe virksomheder til at undgå datamisbrug ved at indføre nogle påkrævede procedurer.

Tænker du nu, hvad der mon tæller som persondata? Persondata kan egentlig siges at være ”alt om dig”. CPR-nummer, sygejournal, adresse, kreditoplysninger og meget mere.

Men det er lidt uhåndgribeligt… Hvordan vil det blive reguleret?

Det der med personlige data er et følsomt område, som er svært at kontrollere og straffe efter. Og det er derfor også svært at regulere. Kompleksiteten af regulativet fremstår måske i de – hold nu fast – SEKS ET HALVT år det har taget EU at nå frem til et fast regelsæt. EU-kommissionen fremlagde reguleringsforslaget allerede i januar 2012. Siden da er der blevet debatteret forslag, forhandlet omstændigheder og i maj 2016 indsat et direktiv til at stå for reguleringen af den nye GDPR.

Og der venter høje straffe for den, der overtræder væsentlige dele af regulativet: Ifølge artikel 83 ligger den øvre bødegrænse på 20 millioner euro – eller 4% af en virksomheds årlige globale omsætning. Bødernes størrelsesorden fastsættes ud fra graden af overtrædelse samt den overtrædende virksomheds størrelse.

EU ønsker nemlig at udsende et budskab om, at de nye regler skal tages alvorligt. Derfor har vi herunder sammensat en lille guide, der tager dig omkring hovedpunkterne i regulativet, og hvad du, som webshop, skal tage særligt hensyn til, når du behandler dine kunders, klienters eller medarbejderes persondata.

Det skal understreges, at der i guiden kun fokuseres på det mest hovedsagelige. Skal du bruge detaljerede bestemmelser, henviser vi derfor til det fulde regulativ.

 

 

TIP #1: Indfør som fingerregel at den medarbejder, der ikke benytter dataene i sit daglige arbejde, og/eller har brug for dem for at udføre sine opgaver, ikke skal have adgang til dem. Det beskytter både dig og dine medarbejdere i tilfælde af et databrud.

 

 

 

 

TIP #2: Registrerede personer kan, med den nye forordning, til hver en tid håndhæve retten til at blive glemt. Sørg derfor for at etablere en skridsikker proces for, hvad der skal ske, når I modtager en anmodning herom. Ignorerede anmodninger kan have store bøder til konsekvens.

OBS! Er du dataansvarlig, er det fremover også dit ansvar at videregive anmodningen til eventuelle databehandlende parter (eksempelvis integrationsprogrammer til en webshop, du varetager for en kunde).

 

 

TIP #3: Håndterer din virksomheds tunge mængder data, kan det være påkrævet at udpege eller ansætte en såkaldt DPO; Data Protection Officer. En DPO kontrollerer dataomstændighederne og sørger for risikovurdering og underretning ved databrud. Din DPO kan også udarbejde den påkrævede databeskyttelsesstrategi (DPS). Ved tvivl om hvorvidt din virksomhed hører under kravet, henviser vi til IT-branchens guide for, hvornår du skal have en DPO.

Hvilken betydning vil persondataforordningen få for kunder hos Conversio?

Den nye forordning kommer uundgåeligt til at have stor indflydelse på hele den digitale branche. For os, hos Conversio, vil det få den betydning, at vi nu, også skriftligt, forpligter os til at behandle både medarbejderes og kunders data korrekt og med de rette sikkerhedsforanstaltninger. I løbet af foråret vil vi udarbejde databehandleraftaler, og dermed fodfæste vores forpligtelser, når vi varetager data for de dataansvarlige.

Aftalen er påkrævet og sikrer, at der, hverken intentionelt eller hændeligt, deles eller ændres i de persondata, som de databehandlende varetager for dataansvarlige. Med aftalerne lover vi også, at de persondata, vi behandler, ikke misbruges eller læses af uvedkommende.

Det skal noteres, at dataaftaler, som standard, kan indgå som en garanti ved mindre komplicerede datasamarbejder. Datatilsynet påpeger, at aftalen især er ideel, når der er tale om behandling af hjemmesider.

OBS! Håndterer du data i større, eller mere kompliceret omfang, vil en standardiseret databehandleraftale ikke nødvendigvis være dækkende for din virksomhed. Sørg i det tilfælde for at konferere med en jurist eller dataekspert for udarbejdelse af en dækkende databeskyttelseskontrakt.

Vi håber, vores lille guide har givet dig et overblik over GDPR 2018 og de spilleregler, der vil være gældende på især det digitale marked, når foråret er omme.

Skulle du have brug for yderligere forklaring af, hvad den nye persondataforordning kommer til at betyde for dig som kunde i Conversio, er du altid velkommen til at kontakte os på +45 70 666 500 eller [email protected].

Der tages forbehold for, at Conversio ikke er en juridisk instans, og at indlæggets indhold ikke er udarbejdet af en jurist eller anden juridisk person. Der kan forekomme modificeringer, ophævelse eller på anden vis udvikling, som kan ændre på indholdets betydning og/eller anvendelighed. Conversio kan derfor ikke drages til ansvar for resultater eller konsekvenser, der ville kunne forekomme til følge af informationer forbundet med det ovenstående indlæg.

Al information er indhentet fra Datatilsynet, IT-Branchen og Det Officielle EUR-Lex for lovgivning i EU.

Klar til at blive en del af Conversio?

Bliv ringet op af en vores rådgivere - det er helt gratis og uforpligtende