GDPR i din virksomhed

Virksomhed og persondata

Her er hvad du skal vide om GDPR som virksomhed

GDPR er forkortelsen for General Data Protection Regulation. Det er en ny persondataforordning der er trådt i kraft for lidt over et år siden, d. 25.maj 18. Loven gælder for hele EU/EØS. 

Alle verdens lande har længe haft hver deres nationale databeskyttelseslove. Men data kender ingen landsgrænser. Det gør handel med data, datamisbrug og dertil knyttet kriminalitet heller ikke. Derfor var det tvingende nødvendig med fælles fodslag for håndtering af persondata. 

Persondata, dvs. alle oplysninger om os, er blevet en handelsvare. Mere end det, persondata er faktisk en virtuel valuta som der bliver både spekuleret i og handlet med. 

Den offentlige interesse i GDPR kan ligge et ret lille sted. Mange der er kommet i berøring med GDPR synes det er bare endnu et irriterende stykke EU bureaukrati. I hvert fald koster det mange virksomheder forholdsvis store ressourcer at efterleve GDPR. Et eksempel blandt utallige er virksomheden Henrik Ørsnes, som har fået hjælp fra et revisionsfirma for at sikre at alle regler overholdes.

Men faktisk er GDPR til for at beskytte os. Så måske er det på tide at kigge lidt på hvad det virkelig drejer sig om?

Viden er magt 

De der sidder på viden og information som andre ikke har, har et naturligt forspring i livets konkurrence. Indtil for ganske nyligt har adgang til viden været ganske alvorligt begrænset. Kun de mest privilegerede, overklassen og religiøse institutioner har overhovedet haft adgang til viden. 

I 1700 tallet begyndte humanismen at vinde frem i det meste af Europa og Nordamerika. Denne periode kaldes også for oplysningstiden. Det var en kulturel og social revolution. Dens formål var bl.a. at gøre viden tilgængelig for en bredere offentlighed. Skolepligt og statsstyret undervisning af børn begyndte i denne periode. 

Alle fik retten til at læse på et universitet – hvis de havde råd til det og ellers var kvalificerede nok. Kvinder var uden civile rettigheder som selvstændige personer. De var økonomisk afhængige af ægtemænd eller andre mandlige familieoverhoveder. Men i princip kunne de tage en universitetsuddannelse. Det var dog kun ganske få mønsterbrydere der kunne klare det. 

Der er forskel på viden og information

I dag er viden frit tilgængelig, ikke? 

Er det? I princippet er det sådan, i det mindste i de vestlige demokratier. Men i praksis findes der stadig mange begrænsninger. Disse begrænsninger er ofte skjulte, men alligevel uoverkommelige for mange. De kan være økonomiske, politisker, sociale eller en blanding af disse. 

I Danmark har vi fri uddannelse. Og så alligevel ikke. Nogle studieretninger er nemlig ikke frie. Typisk dem man kan tjene gode penge med, som Business School, Erhvervsakademiske uddannelser og meget mere. Det er især de nye discipliner som er på hel eller delvis brugerbetaling. 

Hvad så med Internettet?

Internettet kaldes også for informations-motorvejen. Det er netop det: information, ikke viden.

Forskellen mellem viden og information er at information er uforpligtende. Det er bare data som kan være relevant, irrelevant, sand eller usand. Viden er information der er påviseligt bekræftet og har både mening og formål. 

Så nej, Internettet formidler ikke viden, men information. Og en stor del af denne information drejer sig om os, om vores persondata. Især personlige oplysninger giver den der kender dem magt over personen. 

GDPR drejer sig om at give dig som privatperson mest mulig beskyttelse imod at denne magt bliver misbrugt. 

Læs mere om retten hos den enkelte ift. GDPR her, som du skal have styr på som virksomhed.

GDPR beskytter din ret til privatliv

GDPR påvirker både privatpersoner og virksomheder. For dig som privatperson er GDPR ment til at give dig mere kontrol og sikkerhed vedr. dine personlige oplysninger. 

Men hvad er persondata egentligt?

GDPR definerer som enhver oplysning der drejer sig om en person: 

  • Billeder
  • Navne
  • Adresser/emailadresser/IP-adresser
  • Bankoplysninger
  • Opslag på sociale medier
  • Oplysninger om lokation (fx Googles tracking af telefonen)
  • Helbredsinformation
  • Anden personlig information ang. fx seksuel orientering, religion, race, uddannelse etc. 

Vær opmærksom på at GDPR ikke skelner mellem en persons forskellige roller. Det er ligegyldigt om det er arbejdsmæssigt, offentligt eller privat. Dine persondata er under alle omstændigheder omfattet af GDPR. 

Virksomheders forpligtelser jf. GDPR

GDPR gælder for alle virksomheder og organisationer, der sælger varer eller serviceydelser, i det omfang de håndterer personlige oplysninger om borgere i EU og EØS lande. Også virksomheder fra andre verdensdele er omfattet af GDPR, så vidt de håndterer persondata fra EU/EØS borgere. 

Bland virksomheder og organisationer har GDPR skabt en del røre og modstand. Pludseligt skulle man imødekomme en masse nye regler. Fx må CPR numre og anden følsom personlig information ikke længere sendes eller opbevares ukrypterede. Dette skaber store og dyre omlægninger for bl.a. skoler og kommunale institutioner.  Og ikke kun omkostninger men også stress, da der vinker kæmpe bøder hvis reglerne ikke bliver overholdt.

GDPR gælder også for små webshops og hjemmesider, Også hvis din webside fx er en portal til oplysning om bæredygtig energi,er du underlagt reglerne så snart siden indsamler personlige oplysninger som email – eller IP adresser. Også hvis det kun er til anonymt statistisk brug. 

Med GDPR er det kunden, eller den besøgende privatperson der ejer rettighederne til alle oplysninger der er knyttet til personen. 

GDPRs konsekvenser for din virksomhed

GDPR beskytter privatpersoners interesser. Det er op til virksomheden eller organisationen at leve op til lovens krav. GDPR gælder for alle virksomheder og organisationer der er etableret i EU. Det er irrelevant hvor henne i verden databehandlingen foregår når virksomheden håndterer persondata af EU eller EØS borgere. 

Straffene er drakoniske. Overholder en virksomhed ikke loven kan den straffes med bøder på op til 4% af omsætningen. Den globale omsætning, velmærket, op til et maksimum på 20 millioner €.

GDPR har meget med IT at gøre. Men det stopper ikke der. GDPR har også konsekvenser for alle marketings- og salgsaktiviteter. Alle virksomheder og organisationer der håndterer persondata skal derudover udpege en databeskyttelses-ansvarlig. Denne person bærer ansvaret for at loven bliver overholdt til punkt og prikke. 

Sådan får din virksomhed styr på GDPR

Hvis du endnu ikke er med, sådan kommer du i gang:

  • Kortlægning af din virksomheds data – hvor kommer de persondata din virksomhed håndterer fra? Hvordan bliver de håndteret, hvor opbevares de, hvem er ansvarlig og hvor god er disse data beskyttede?
  • Gem kun de data der skal gemmes – fjern simpelthen data som ikke er nødvendige. Men husk at overholde reglerne for datasletning! Kun data med konkrete formål må gemmes. 
  • Få styr på datasikkerheden – tjek hele din virksomheds infrastruktur med henblik på hvor sikker håndteringen af persondata er, også når databehandlingen er outsourcet. Der skal etableres sikkerhedsprotokoller og rutiner. Du skal også have et kontingent for evt. sikkerhedsbrud. De relevante myndigheder skal informeres hurtigst muligt hvis fx der bliver stjålet data fra din virksomhed.
  • Al håndtering af persondata kræver nu kundens samtykke. Sørg for en gennemgribende dokumentation for overholdelse af dine forpligtelser. Samtykke- og fortrolighedserklæringer skal være opdaterede og tilpasset de aktuelle behov.

Rutiner og protokoller for persondata håndtering – alle involverede ansatte skal vide hvad deres opgaver i fh.t. GDPR er. Der skal være klare retningslinjer og gennemskuelige procedurer for alle tænkelige situationer.