EU's persondataforordning for Dummies

EU's persondataforordning for Dummies

25. maj 2018 træder persondataforordningen fra EU i kraft, og der er stadig mange der er i tvivl om betydningen for dem. ComArchive har fremstillet et par bud på, hvad en dansk virksomhed skal forholde sig til for at være på den sikre side

Af Lars Bennetzen

Der er mange ting der skal tages højde for, når danske virksomheder skal gøre sig klar til at leve op til persondataforordningen fra EU. Datatilsynet og Digitaliseringsstyrelsen står allerede klar til at hjælpe – med en kæmpevejledning på 1.300 sider, og Justitsministeriets vejledning er nødvendigvis meget lang, fordi den skal indeholde alle de forbehold og undtagelser, som loven indeholder.

Det er vigtigt at det er fra disse kilder danske virksomheder skal hente informationer, for at være sikre på at de lever helt op til persondataforordningen.

Men hvis virksomheder her og nu har brug for at få et overblik over, hvad de skal gøre, så er der hjælp at hente fra ComArchive, der til daglig beskæftiger sig med data management, har man sat sig ind i EU's persondatafordningen. De giver her et par bud på, hvordan en typisk dansk virksomhed skal forholde sig overfor den nye lovgivning uden at skulle bruge hverken et stort beløb på ekstern konsulentbistand eller oceaner af intern tid på projektet.

Hvad er personfølsomme data?

Personfølsomme data er alle oplysninger om en identificerbar fysisk person. Det kan fx være oplysninger om navn, cpr-nummer, adresse, oplysninger om personens helbred, økonomi, politiske eller religiøse overbevisning eller seksuelle orientering.

- Derfor er det vigtigt at finde ud af hvilke data, der er nødvendige for at drive din virksomhed, og hvor længe det er nødvendigt at have dem til rådighed. Beskriv herefter, hvilke persondata du ikke ønsker at ligge inden med, siger Svend Frandsen, direktør i ComArchive.

 Hvilke virksomheder er omfattet af loven og kan rammes med bøder?

Virksomheder, der ligger inde med personfølsomme data, er i princippet omfattet af loven.

- Alle virksomheder behandler eller ligger inde med personfølsomme data og skal derfor tage stilling til, hvordan man vil imødekomme kravene i persondataforordningen. Tag en pragmatisk tilgang til opgaven og tag altid udgangspunkt i din egen virksomhed, når du skal omsætte forordningens krav til arbejdsgange,  siger Svend Frandsen.

Hvor store er bøderne?

Bøder for overtrædelse af loven kan være op til 20.000.000 euro eller 4 pct. af den årlig omsætning for virksomheder.

- Det er irriterende mange penge at skulle af med. For det er ikke nogen uoverskuelig opgave at få styr på virksomhedens persondata. Helt kort kan det skæres ned til tre punkter, hvoraf de to første punkter i princippet kun skal gøres én gang. For det første skal I udarbejde korte og letforståelige arbejdsgange for, hvordan I lever op til kravene, når I indsamler, modtager, opbevarer, giver adgang til, videregiver og bortskaffer persondata. Sørg dernæst for at relevante medarbejdere er opmærksomme på at følge disse arbejdsgange. Og sidst men ikke mindst bør I sørge for, at persondata opbevares i specifikke systemer, hvor adgang og oprydning styres af de ansvarlige personer (personaledata i personalesystemer, kundeoplysninger i kundesystemer osv.), så persondata ikke ligger og flyder steder, hvor de ikke kan kontrolleres og styres, siger Svend Frandsen.

Hvad skal jeg kunne dokumentere?

Hvis der sker et brud, og du mister, eller uvedkommende får adgang til, de personfølsomme data, din virksomhed opbevarer, skal du underrette til Datatilsynet inden for 72 timer efter bruddet. Din dokumentation skal indeholde: En opgørelse over hvor mange personer, der er berørt, hvor meget data, der er omfattet af bruddet. Kontaktoplysninger på en ansvarlig person i virksomheden. En beskrivelse af bruddet, hvilke mulige konsekvenser det kan have, samt de handlinger virksomheden vil foretage for at rette op på bruddet.

EU dataforordningen er blevet vedtaget for at beskytte borgerne – ikke for at gøre livet besværligt for virksomheder og organisationer. Med den stigende risiko for hacking og cyberangreb er det blevet nødvendigt at skærpe kravene til virksomheder, der opbevarer personfølsomme data. Der er dog ingen grund til at gå i panik. Hvis bare ovennævnte processer og regler bliver anvendt og overholdt, så er du allerede kommet et langt stykke. Betragt det som en sund øvelse at få styr på virksomhedens data og lad være at overfortolke kravene.

ComArchive har fremstillet deres egen ’Persondataordning for Dummies’, og den kan du downloade gratis på www.comarchive.dk.