Det kan blive dyrt ikke at have styr på de nye regler om persondata: Her er de nye regler, som du skal følge

Klumme: 25. maj går det løs med den nye EU-persondataforordning. Sørg nu for at få det hele plads inden da. Og læs denne gennemgang af de nye regler.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Klumme: Det er 25. maj 2018. Heldigvis kan du ånde lettet op. Du har nemlig sørget for at have det hele på plads, nu hvor den nye persondataforordning (GDPR) træder i kraft.

De kæmpemæssige bøder skal du ikke tænke over, og du skal heller ikke bekymre dig om de store mængder data, der skal behandles. Du kan faktisk bare køre videre på fuld damp.

Hvorfor?

Fordi du har læst med her og sikret dig, at du kender det nye regelsæt.

Hvad er persondata?
Allerførst må vi lige definere, hvad persondata egentlig er. Det simple og korte svar er:

Alle oplysninger, der drejer sig om en identificerbar person. Altså eksempelvis navn, IP-adresser, mailadresser, bopælsadresse, ordrenummer mv.

Persondata inddeles i kategorier, alt efter hvor meget de skal beskyttes:

- Almindelige personoplysninger: For eksempel kontaktoplysninger eller købshistorik.

- CPR-numre: Du må kun indsamle CPR-numre, hvis du har et relevant formål, eller hvis det er et lovkrav. Det er for eksempel relevant ved forsikringer eller telefonabonnementer.

- Følsomme personoplysninger: De mere private oplysninger som for eksempel ting, der afslører seksuel orientering, oplysninger om helbred, religiøs eller politisk overbevisning.

Er der noget nyt?
Ja, det er der i dén grad, men det er langt fra sikkert, at det vil påvirke din webshop. Og hvis det påvirker din shop, er det måske kun i begrænset omfang.

Du skal sørge for at kunne dokumentere hvilken data, du indsamler, hvordan det sker, hvorfor du gør det, og med hvem det deles, ligesom du skal tage stilling til, hvem der har adgang, og hvor længe du må opbevare dataen.

Hvis du kan dokumentere disse punkter, er du allerede rigtig langt i processen.

Hvis du ikke kan dokumentere disse punkter, anbefaler vi kraftigt, at du begynder at interessere dig for at gøre det.

Bødeniveauet, du kan rammes af, hvis ikke du har styr på det, er nemlig svimlende: Op til 20.000.000 euro eller maksimalt fire procent af din virksomheds globale omsætning.

De tager det beløb i bøde, som er højest. En overtrædelse af reglerne kan altså gøre et anseeligt indhug i økonomien i de fleste virksomheder, så det er værd at gøre sig umage med at overholde de nye regler.

Hvad skal du være opmærksom på, når du behandler persondata?
Overordnet set skal personoplysninger behandles i overensstemmelse med ”god databehandlingsskik”.
Det betyder, at du skal være opmærksom på følgende krav, når du behandler persondata:
  • At formålet med indsamlingen af oplysningerne er tydeligt oplyst,  og
  • at kunden har givet et udtrykkeligt samtykke (for eksempel ved at indtaste sine oplysninger), og
  • at du ikke beder om flere oplysninger end nødvendigt, og
  • at du ikke opbevarer oplysningerne længere tid end nødvendigt, og
  • hvem der har adgang til oplysningerne,
  • om behandlingen sker for at kunne overholde en aftale med kunden, eller anden retslig forpligtelse, og
  • at oplysningerne er korrekte og kan slettes eller rettes, hvis de alligevel er forkerte. 
Databehandleraftaler
Data-hvaffornoget? Det er faktisk ganske normalt, at en webshops persondataoplysninger bliver behandlet af andre virksomheder. Er du én af dem, der gør brug af dette, skal du lave en ”databehandleraftale”.

Sender du eksempelvis nyhedsmails ud, skal du have en aftale med den softwareudbyder, du bruger til det formål. Det havde du muligvis også før, men du skal være opmærksom på, at kravene til den slags aftaler er blevet skærpet. Nu skal databehandleraftalen beskrive disse punkter:
  • Typen af personoplysninger, og hvilken kategori de tilhører.
  • Kategorierne af de registrerede (f.eks. webshoppens kunder)
  • Hvor længe oplysningerne behandles.
  • Behandlingens karakter og formål. (Karakter kan f.eks. være systematisering, opbevaring, ændring etc.)
  • Den dataansvarliges forpligtelser og rettigheder.
Retten til at blive glemt
Reglen om ’retten til at blive glemt’ er blevet præciseret og uddybet. Kort sagt betyder reglen, at kunder kan kræve at få fjernet eller rettet personoplysninger, hvis de vil.

Hvis de for eksempel ikke længere ønsker, at du behandler, opbevarer eller offentliggør deres data, skal du slette dem – og det samme skal dine databehandlere.

Altså skal du sikre dig, at virksomheder eller personer, der behandler data på dine vegne, enten sletter eller anonymiserer de konkrete personoplysninger.

Hvis du er forpligtet til at eksempelvis opbevare oplysningerne på grund af noget særlovgivning (for eksempel bogføringsloven), er du dog undtaget fra at skulle slette.

Så er der nemlig et andet hensyn, som vejer tungere end kundens ret til at blive glemt. Følger du det her, er du rigtig langt i den proces, der ellers kan virke uoverskuelig for de fleste.

Og husk, at du kan læse meget mere om de nye regler på Datatilsynets hjemmeside, hvor der er lagt flere vejledninger ud, ligesom du kan prøve at forholde dig til den data, du selv behandler ved at svare på en række spørgsmål i PrivacyKompasset, som er udarbejdet af Erhvervsstyrelsen og Datatilsynet.

Link til privacykompasset: https://startvaekst.virk.dk/privacykompasset/testen

Link til datatilsynets vejledninger: https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/

God fornøjelse!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Microsoft med klar melding til sine 3.000 danske partnere: "Overlæggeren er, at det er cloud or nothing at all"
Interview: Tiderne, hvor du som Microsoft-partner bare kunne sælge nogle licenser og have succes med det, er forbi. Hvis du vil være en af de hotteste partnere hos Microsoft, skal du bevise overfor partnerdirektør Claus Jul Chrisitansen, at du er klar til at basere hele din forretning på cloud.
CIO
Tech fra Toppen: Det har CIO Mads Madsbjerg Hansen fra FLSmidth lært af flere års global it-konsolidering
Tech fra Toppen: Flere års arbejde har betydet en reduktion i antallet af it-systemer hos FLSmidth. Men processen har ikke været uden overraskelser. Hør hvad CIO Mads Madsbjerg Hansen har lært af den omfattende og globale proces.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Kan du eliminere alle IT-truslerne på egen hånd?
Det er krævende at håndtere de mangeartede IT-sikkerhedstrusler på egen hånd – og trusselbilledet udvikler sig hele tiden. Denne hvidbog stiller skarpt på mulighederne for at løse nogle opgaver internt og håndtere andre i samspil med en ekstern udbyder af Managed Security Services.