31.07.2017
5 min læsetid

GDPR: Er du klar til de nye dataregler?

EU's persondataforordningen, GDPR, trådte i kraft 25. maj 2018, og bøderne er til at tage at føle på. IDA giver dig overblikket over de nye dataregler.

Morten Scriver Andersen

af Morten Scriver Andersen

Den gamle persondatalov står ifølge Datatilsynet stadig ved magt. Det nye er, at der skal males et lag af regler henover, som mest af alt skal hjælpe med at dokumentere, at man følger reglerne. Det lyder indviklet, og er det nok også. Men her får du et kærkomment overblik over de vigtigste dele at forholde sig til.

Hvorfor en ny persondataforordning?

Det er ingen vej udenom. Forordningen gælder for alle virksomheder, der har etableret sig i EU eller retter tjenester mod folk og fæ i EU.

Men forordningen er ikke et påfund for at genere de europæiske virksomheder eller øge beskæftigelsen blandt it-folk. Tværtimod er den et forsøg på at værne om den basale menneskeret, det er selv at bestemme hvem, man deler sine oplysninger med og hvornår. Eller med andre ord: Retten til at have et privatliv. Og det er noget, der ifølge eksperter er under stigende pres, som digitaliseringen buldrer derudaf i alle samfundets lag.

Ifølge ekspert på området Henning Mortensen er forordningen et politisk ønske om at modernisere de gældende regler, fordi vi står over for anvendelse af en masse nye teknologier, siden det gamle direktiv blev skrevet. Dernæst har man ønsket en harmonisering af reglerne inden for EU og til sidst også enkelte administrative lettelser.

Dem vender vi tilbage til, for først det kedelige. For hvad skal små og store virksomheder helt konkret foretage sig på den anden side af 25. maj 2018. Vi spurgte Henning Mortensen tilbage i 2017, hvilke tre ting, du skal holde øje med:

Persondataforordningen (GDPR) kort

Indføres i Danmark 25. Maj 2018.

Indeholder en række stramninger og lettelser i forhold til den nuværende persondatalov, som fra politisk hold er blevet dømt utidssvarende.

Gælder for alle, der behandler persondata. Også virksomheder uden for EU bliver omfattet, hvis de tilbyder varer eller tjenester til EU-borgere.

1) Mere dokumentation

Forordningens helt store ændring, der rammer alle, er dokumentationspligten. Den bliver, sammen med enorme bøder på op til 4 procent af moderselskabets omsætning eller maksimalt 20 millioner euro, indført for lettere at komme virksomheders sjusk med persondata til livs.

"Der er de regler, der er. Men nu skal du dokumentere, at du rent faktisk har gjort dig de overvejelser. Hver gang du behandler personoplysninger skal du ind og dokumentere, hvor du har oplysningerne fra, med hvilket formål du behandler dem og med hvilket hjemmel, altså hvor i loven står der, at man må det," forklarede Henning Mortensen.

Dokumentationsforpligtigelsen kræver uundgåeligt en del benarbejde, men for at lette byrden blandt de it-ansvarlige har Henning Mortensen selv udformet et lettilgængeligt, godt gammeldags Excel-ark til at nå i mål med kravet. Her skal du blandt andet svare på, hvilke personoplysninger din virksomhed indsamler og til hvilket formål, hvorefter Excel-arket spytter nogle guidelines ud.

"Jeg vil gætte på, at 90 procent af virksomhederne kommer 90 procent af vejen med dokumentationskravet ved at bruge regnearket," lyder påstanden fra Henning Mortensen.

2) Databeskyttelse ved design

Et andet væsentligt punkt i forordningen er det, der hedder "data protection by design". Det kræver, at beskyttelsen af persondata designes ind i relevante systemer og slås til som standard.

"Man skal ind og designe sine it-systemer på en sådan måde, at de rent faktisk understøtter forordningen. Det er noget der tager lang tid og koster langt hen af vejen også mange penge," siger Henning Mortensen.

Det kræver et eksempel for at forklare.

Hvis en virksomhed fx benytter sig af et HR-system, der behandler og opbevarer jobansøgninger, så skal systemet i sig selv tage højde for retten til at blive glemt. Det betyder at virksomheder maksimalt må gemme på jobansøgninger i 6 måneder. Derfor kan man i HR-systemet tilføje et felt med en udløbsdato for ansøgningen, så den automatisk bliver slettet, når den har ligget der i den maksimale tidsperiode.

Det kræver dog ifølge Henning Mortensen ikke nødvendigvis, at du ændrer designet på alle de systemer, der behandler persondata.

"Justitsministeriet har fortolket det sådan, at hvis man har et HR-system, der i øvrigt overholder reglerne i forordningen, så skal man ikke ændre design. Data protection by design er en fremadrettet pligt. Det gælder ikke for legacy-systemer. Den gælder først, når man går ind og laver væsentlige ændringer i sit system eller køber nyt," siger han. 

3) Hvem skal have en dataansvarlig?

En ting, der er blevet talt mangt og meget om, men som med al sandsynlighed er blevet blæst ud af proportioner, er kravet om en såkaldt Data protection Officer (DPO).

Ifølge justitsministeriets eget udsagn bliver det en frivillig ordning for langt de fleste virksomheder. Kravet om en dataansvarlig gælder nemlig kun for de virksomheder, for hvem behandling af persondata er en kerneaktivitet.

Det gælder fx cloud-tjenester, udbydere af marketingundersøgelser og forsikringsselskaber, fordi forretningen her er uløseligt forbundet med behandling ad persondata. Så her kan langt de fleste virksomheder godt slå koldt vand i blodet.

"For private virksomheder er det faktisk kun under ganske særlige omstændigheder, at du skal udpege sådan en fyr. Så ja, det er en ny ting, men det rammer ikke erhvervslivet særlig hårdt," siger Henning Mortensen.

Enkelte lettelser

Og så til den sjove del. For de administrative byrder lettes faktisk for virksomhederne på enkelte punkter. Det er der bare ikke mange, der har interesseret sig for at fortælle midt i massehysteriet, om at virksomhederne bliver begravet i et administrativt helvede.

Lettelsen gælder frem for alt anmeldelsespligten, der førhen har været en stopklods for nye virksomheder.

"Tidligere skulle man tage fat i datatilsynet for at anmelde, hvis man behandler personoplysninger. Den del falder bort. Nu skal man ikke foretage det administrative skridt, og man skal ikke vente på, at datatilsynet godkender det. Virksomhederne kan nu bare gå i gang med at behandle personoplysninger," siger Henning Mortensen.

Stadig masser usikkerheder

Der har sviret en masse usikkerhed omkring, hvordan reglerne skal tolkes i en dansk kontekst. Det er der dog kommet mere styr på efter Justitsministeriet sidste uge udgav en betænkning på 1000 sider.

rudover har de også udgivet en liste over vejledninger som de vil komme med på konkret områder. De kommer drypvis op imod 25. Maj 2018. Men derfor er tolkningen langt fra på plads.

En ting, som ifølge Henning Mortensen bliver spændende at se, er, hvorvidt de enorme bøder vil blive håndhævet eller om de er skabt til ren og skær afskrækkelse.

"Det er klart, at de bøder er kommet til, fordi der ikke var nogen, der overholdt de gamle regler. Så politikerne har tænkt, 'vi er nødt til at gøre et eller andet, så personoplysningerne faktisk bliver beskyttet', og der har de altså vedtaget de her meget voldsomme bøder.

Men, siger han. Der er tale om maksimalbøder på, for nogen, svimlende 4 procent af omsætningen og maksimalt 20 millioner euroer, der ikke desto mindre kan ruinere de fleste mindre virksomheder.

"Jeg tror der vil gå lang tid før vi overhovedet får en bøde på de 4 procent at se, siger han.

Hvad er persondata?

Personoplysninger er enhver information om en identificeret eller identificerbar person, som fx data om ansatte og eller om kunder.

Persondataloven opdeler personoplysninger i tre typer: Følsomme oplysninger, oplysninger om andre rent private forhold og almindelige ikke-følsomme oplysninger.

Opdelingen findes, fordi der gælder forskellige betingelser og procedurer for behandling af personoplysninger afhængig af oplysningernes følsomhed.