Det kan blive dyrt ikke at have styr på de nye regler om persondata: Her er de nye regler, som du skal følge

Klumme: 25. maj går det løs med den nye EU-persondataforordning. Sørg nu for at få det hele plads inden da. Og læs denne gennemgang af de nye regler.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Klumme: Det er 25. maj 2018. Heldigvis kan du ånde lettet op. Du har nemlig sørget for at have det hele på plads, nu hvor den nye persondataforordning (GDPR) træder i kraft.

De kæmpemæssige bøder skal du ikke tænke over, og du skal heller ikke bekymre dig om de store mængder data, der skal behandles. Du kan faktisk bare køre videre på fuld damp.

Hvorfor?

Fordi du har læst med her og sikret dig, at du kender det nye regelsæt.

Hvad er persondata?
Allerførst må vi lige definere, hvad persondata egentlig er. Det simple og korte svar er:

Alle oplysninger, der drejer sig om en identificerbar person. Altså eksempelvis navn, IP-adresser, mailadresser, bopælsadresse, ordrenummer mv.

Persondata inddeles i kategorier, alt efter hvor meget de skal beskyttes:

- Almindelige personoplysninger: For eksempel kontaktoplysninger eller købshistorik.

- CPR-numre: Du må kun indsamle CPR-numre, hvis du har et relevant formål, eller hvis det er et lovkrav. Det er for eksempel relevant ved forsikringer eller telefonabonnementer.

- Følsomme personoplysninger: De mere private oplysninger som for eksempel ting, der afslører seksuel orientering, oplysninger om helbred, religiøs eller politisk overbevisning.

Er der noget nyt?
Ja, det er der i dén grad, men det er langt fra sikkert, at det vil påvirke din webshop. Og hvis det påvirker din shop, er det måske kun i begrænset omfang.

Du skal sørge for at kunne dokumentere hvilken data, du indsamler, hvordan det sker, hvorfor du gør det, og med hvem det deles, ligesom du skal tage stilling til, hvem der har adgang, og hvor længe du må opbevare dataen.

Hvis du kan dokumentere disse punkter, er du allerede rigtig langt i processen.

Hvis du ikke kan dokumentere disse punkter, anbefaler vi kraftigt, at du begynder at interessere dig for at gøre det.

Bødeniveauet, du kan rammes af, hvis ikke du har styr på det, er nemlig svimlende: Op til 20.000.000 euro eller maksimalt fire procent af din virksomheds globale omsætning.

De tager det beløb i bøde, som er højest. En overtrædelse af reglerne kan altså gøre et anseeligt indhug i økonomien i de fleste virksomheder, så det er værd at gøre sig umage med at overholde de nye regler.

Hvad skal du være opmærksom på, når du behandler persondata?
Overordnet set skal personoplysninger behandles i overensstemmelse med ”god databehandlingsskik”.
Det betyder, at du skal være opmærksom på følgende krav, når du behandler persondata:
  • At formålet med indsamlingen af oplysningerne er tydeligt oplyst,  og
  • at kunden har givet et udtrykkeligt samtykke (for eksempel ved at indtaste sine oplysninger), og
  • at du ikke beder om flere oplysninger end nødvendigt, og
  • at du ikke opbevarer oplysningerne længere tid end nødvendigt, og
  • hvem der har adgang til oplysningerne,
  • om behandlingen sker for at kunne overholde en aftale med kunden, eller anden retslig forpligtelse, og
  • at oplysningerne er korrekte og kan slettes eller rettes, hvis de alligevel er forkerte. 
Databehandleraftaler
Data-hvaffornoget? Det er faktisk ganske normalt, at en webshops persondataoplysninger bliver behandlet af andre virksomheder. Er du én af dem, der gør brug af dette, skal du lave en ”databehandleraftale”.

Sender du eksempelvis nyhedsmails ud, skal du have en aftale med den softwareudbyder, du bruger til det formål. Det havde du muligvis også før, men du skal være opmærksom på, at kravene til den slags aftaler er blevet skærpet. Nu skal databehandleraftalen beskrive disse punkter:
  • Typen af personoplysninger, og hvilken kategori de tilhører.
  • Kategorierne af de registrerede (f.eks. webshoppens kunder)
  • Hvor længe oplysningerne behandles.
  • Behandlingens karakter og formål. (Karakter kan f.eks. være systematisering, opbevaring, ændring etc.)
  • Den dataansvarliges forpligtelser og rettigheder.
Retten til at blive glemt
Reglen om ’retten til at blive glemt’ er blevet præciseret og uddybet. Kort sagt betyder reglen, at kunder kan kræve at få fjernet eller rettet personoplysninger, hvis de vil.

Hvis de for eksempel ikke længere ønsker, at du behandler, opbevarer eller offentliggør deres data, skal du slette dem – og det samme skal dine databehandlere.

Altså skal du sikre dig, at virksomheder eller personer, der behandler data på dine vegne, enten sletter eller anonymiserer de konkrete personoplysninger.

Hvis du er forpligtet til at eksempelvis opbevare oplysningerne på grund af noget særlovgivning (for eksempel bogføringsloven), er du dog undtaget fra at skulle slette.

Så er der nemlig et andet hensyn, som vejer tungere end kundens ret til at blive glemt. Følger du det her, er du rigtig langt i den proces, der ellers kan virke uoverskuelig for de fleste.

Og husk, at du kan læse meget mere om de nye regler på Datatilsynets hjemmeside, hvor der er lagt flere vejledninger ud, ligesom du kan prøve at forholde dig til den data, du selv behandler ved at svare på en række spørgsmål i PrivacyKompasset, som er udarbejdet af Erhvervsstyrelsen og Datatilsynet.

Link til privacykompasset: https://startvaekst.virk.dk/privacykompasset/testen

Link til datatilsynets vejledninger: https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/

God fornøjelse!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Her er de vigtigste pointer i NNIT's nye halvårsregnskab: Frigører sig fra Novo Nordisk - og stort udbytte på vej
Interview: Manglende omsætning hos Novo Nordisk og stor fremgang i tre andre sektorer betyder, at NNIT gør sig mere uafhængig af Novo Nordisk. Her er de vigtigste punkter i selskabets nye regnskab. Interview med finansdirektør Carsten Krogsgaard Thomsen.
Computerworld
Studieguide: Følg disse råd og få mest smartphone for pengene - disse fire smartphones er de bedste køb lige nu
En ny, velfungerende smartphone behøver ikke at koste alverden. Sådan får du masser af mobil til få penge.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Ny undersøgelse: Service er nøglen til øget omsætning i den digitale fremtid
Service bliver en vigtigere og vigtigere del af din virksomheds succes fremadrettet, og i dette whitepaper kan du blive klogere på hvordan du kommer i gang med at implementere intelligente serviceløsninger. Undersøgelsen der er udført af Salesforce, fortæller blandt andet at hele 92% af alle adspurgte ledere vil have deres organisation til at adaptere servicestrategier, for bedre at kunne reflektere kundens ønsker og behov. Læs dette og meget mere nu, ved at downloade vores gratis whitepaper.