Det kan blive dyrt ikke at have styr på de nye regler om persondata: Her er de nye regler, som du skal følge

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Klumme: Det er 25. maj 2018. Heldigvis kan du ånde lettet op. Du har nemlig sørget for at have det hele på plads, nu hvor den nye persondataforordning (GDPR) træder i kraft.

De kæmpemæssige bøder skal du ikke tænke over, og du skal heller ikke bekymre dig om de store mængder data, der skal behandles. Du kan faktisk bare køre videre på fuld damp.

Hvorfor?

Fordi du har læst med her og sikret dig, at du kender det nye regelsæt.

Hvad er persondata?
Allerførst må vi lige definere, hvad persondata egentlig er. Det simple og korte svar er:

Alle oplysninger, der drejer sig om en identificerbar person. Altså eksempelvis navn, IP-adresser, mailadresser, bopælsadresse, ordrenummer mv.

Persondata inddeles i kategorier, alt efter hvor meget de skal beskyttes:

- Almindelige personoplysninger: For eksempel kontaktoplysninger eller købshistorik.

- CPR-numre: Du må kun indsamle CPR-numre, hvis du har et relevant formål, eller hvis det er et lovkrav. Det er for eksempel relevant ved forsikringer eller telefonabonnementer.

- Følsomme personoplysninger: De mere private oplysninger som for eksempel ting, der afslører seksuel orientering, oplysninger om helbred, religiøs eller politisk overbevisning.

Er der noget nyt?

Ja, det er der i dén grad, men det er langt fra sikkert, at det vil påvirke din webshop. Og hvis det påvirker din shop, er det måske kun i begrænset omfang.

Du skal sørge for at kunne dokumentere hvilken data, du indsamler, hvordan det sker, hvorfor du gør det, og med hvem det deles, ligesom du skal tage stilling til, hvem der har adgang, og hvor længe du må opbevare dataen.

Hvis du kan dokumentere disse punkter, er du allerede rigtig langt i processen.

Hvis du ikke kan dokumentere disse punkter, anbefaler vi kraftigt, at du begynder at interessere dig for at gøre det.

Bødeniveauet, du kan rammes af, hvis ikke du har styr på det, er nemlig svimlende: Op til 20.000.000 euro eller maksimalt fire procent af din virksomheds globale omsætning.

De tager det beløb i bøde, som er højest. En overtrædelse af reglerne kan altså gøre et anseeligt indhug i økonomien i de fleste virksomheder, så det er værd at gøre sig umage med at overholde de nye regler.

Hvad skal du være opmærksom på, når du behandler persondata?
Overordnet set skal personoplysninger behandles i overensstemmelse med ”god databehandlingsskik”.
Det betyder, at du skal være opmærksom på følgende krav, når du behandler persondata:

• At formålet med indsamlingen af oplysningerne er tydeligt oplyst,  og
• at kunden har givet et udtrykkeligt samtykke (for eksempel ved at indtaste sine oplysninger), og
• at du ikke beder om flere oplysninger end nødvendigt, og
• at du ikke opbevarer oplysningerne længere tid end nødvendigt, og
• hvem der har adgang til oplysningerne,
• om behandlingen sker for at kunne overholde en aftale med kunden, eller anden retslig forpligtelse, og
• at oplysningerne er korrekte og kan slettes eller rettes, hvis de alligevel er forkerte. 

Databehandleraftaler
Data-hvaffornoget? Det er faktisk ganske normalt, at en webshops persondataoplysninger bliver behandlet af andre virksomheder. Er du én af dem, der gør brug af dette, skal du lave en ”databehandleraftale”.

Sender du eksempelvis nyhedsmails ud, skal du have en aftale med den softwareudbyder, du bruger til det formål. Det havde du muligvis også før, men du skal være opmærksom på, at kravene til den slags aftaler er blevet skærpet. Nu skal databehandleraftalen beskrive disse punkter:

• Typen af personoplysninger, og hvilken kategori de tilhører.
• Kategorierne af de registrerede (f.eks. webshoppens kunder)
• Hvor længe oplysningerne behandles.
• Behandlingens karakter og formål. (Karakter kan f.eks. være systematisering, opbevaring, ændring etc.)
• Den dataansvarliges forpligtelser og rettigheder.

Retten til at blive glemt
Reglen om ’retten til at blive glemt’ er blevet præciseret og uddybet. Kort sagt betyder reglen, at kunder kan kræve at få fjernet eller rettet personoplysninger, hvis de vil.

Hvis de for eksempel ikke længere ønsker, at du behandler, opbevarer eller offentliggør deres data, skal du slette dem – og det samme skal dine databehandlere.

Altså skal du sikre dig, at virksomheder eller personer, der behandler data på dine vegne, enten sletter eller anonymiserer de konkrete personoplysninger.

Hvis du er forpligtet til at eksempelvis opbevare oplysningerne på grund af noget særlovgivning (for eksempel bogføringsloven), er du dog undtaget fra at skulle slette.

Så er der nemlig et andet hensyn, som vejer tungere end kundens ret til at blive glemt. Følger du det her, er du rigtig langt i den proces, der ellers kan virke uoverskuelig for de fleste.

Og husk, at du kan læse meget mere om de nye regler på Datatilsynets hjemmeside, hvor der er lagt flere vejledninger ud, ligesom du kan prøve at forholde dig til den data, du selv behandler ved at svare på en række spørgsmål i PrivacyKompasset, som er udarbejdet af Erhvervsstyrelsen og Datatilsynet.

Link til privacykompasset: https://startvaekst.virk.dk/privacykompasset/testen

Link til datatilsynets vejledninger: https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/

God fornøjelse!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.