Tekst: Elke Marie Hou-Carleton

Tænk, hvad man nogle gange frivilligt gennemgår som virksomhed og ofrer af ressourcer for at kunne opnå – og beholde – en anerkendelse indenfor sikkerhed, design, miljø, bæredygtighed, økologi, astma & allergi, madspild m.v.

Nogle certificeringer er lovbestemte, andre er frivillige.  Men fælles for dem alle er, at ens aktiviteter bliver kvalitetsstemplet.  Et stempel som bliver en del af virksomhedens identitet og historie – og fortæller, hvem man er og hvad man, som virksomhed står for.

Deres oprindelse stammer oftest fra et ønske om, på den ene side, at balancere en persons interesser og sikkerhed og på den anden side en virksomheds ressourcer og forretningsgrundlag.

Sådan er det også med de nye (og gamle) regler om behandling og beskyttelse af persondata, der træder i kraft den 25. maj 2018 i henhold til EU’s persondataforordningen (GDPR).

Så ja, det betyder noget.

I øvrigt kan man få bøder, der gør ondt – og ikke bare på bundlinjen – men på eksistensgrundlaget, hvis man vælger at ignorere sit ansvar.  Og hvis man forårsager skader som følge af ens behandling af persondata, kan man i øvrigt også risikere at blive idømt et erstatningsansvar for ens handlinger.

Så ja, man skal tage reglerne seriøst – for både ens egen og andres skyld.

Mig? Nej.  Jeg har kun navn og kontaktoplysninger stående
Hvis du behandler personoplysninger af nogen art (ikke kun personfølsomme) i hvilken som helst form, om en fysisk person eller en virksomhed, som man uden tvivl ud fra oplysningerne ved hvem er, eller hvis man ad omveje, ved at lægge 2+2 sammen kan identificere, er din behandling af personoplysninger omfattet af forordningens regler.  Og du burde læse videre.

Er der noget der er undtaget – overhoved?
Svaret er ja. Oplysninger om et selskab og oplysninger, der er anonymiseret, hvor personen aldrig kunne eller ikke længere kan identificeres er ikke omfattet. Personoplysninger der behandles af en fysisk person som led i rent personlige eller familiemæssige aktiviteter er heller ikke omfattet. Der er også andre tilfælde, hvor personoplysninger er undtaget, som du kan finde i persondataforordningens artikel 2.

Hvad er det så jeg skal gøre?
– Hvad er det, som egentlig gælder fra den 25. maj 2018?

De nye regler stiller krav til, at du behandler andres personoplysning med integritet og fortrolighed og som man ud fra omstændighederne kan forvente; at du sikrer disse oplysninger mest muligt og at du er åben omkring din behandling; at du sætter folk i stand til selv at danne et overblik over de personoplysninger der behandles om dem, hvorfor dette sker og at du har ret til at gøre det.

Du skal være selvkritisk
– og minimere de data, du har og imødegå ”data-hoarding.”

De nye regler stiller krav til, at du er selvkritisk, i det du ikke må indsamle flere oplysninger end du har brug for og skal begrænse din behandling af dem til det der kræves i forhold til et konkret og sagligt formål. Du må ikke bare gemme oplysninger til fremtiden ”hvis du nu skulle få brug for dem.”

Du skal rydde op efter dig selv, og slette de oplysninger du ikke længere behandler, har behov for eller ikke længere har et gældende retsgrundlag for.

 

Det kræver at du har styr på din data
og at du kan dokumentere at du har.

Du skal til enhver tid vide:

  • Hvilke personoplysninger, du har
  • Hvem du har fået dem fra
  • Hvilket formål, de tjener
  • Hvordan du håndterer oplysningerne (indsamler, opbevarer, videregiver (også til int’l organisation er og tredjelande), registrerer, systematisere og sletter mv.)
  • Hvorfor du har dem (retsgrundlag)
  • Hvornår du skal af med dem igen.

Du skal være din egen statsminister og sikkerhedsvagt
Databeskyttelse skal være et bærende element i jeres virksomhed; I skal skabe et miljø, der understøtter og inddrager databeskyttelse som en naturlig del af alle fremtidige beslutningsgrundlag.  Det skal blive til sædvane, at man inddrager ledelsen, og underviser medarbejdere i hvordan man gør. Der skal være retningslinjer og kontrol som sikrer at I overholder de krav der stilles til jer, og at både gamle og nye IT-systemer fremmer den størst mulig databeskyttelse. Du skal sikre de data, du behandler ved at etablere et tilstrækkeligt sikkerhedsniveau med passende sikkerhedsforanstaltninger, som enten kan være tekniske, i form af f.eks. bruger-id og adgangskoder, pseudomymisering, kryptering mv. eller organisatoriske, i form af f.eks. autorisationskrav til systemer, arbejdsgange, revision og kontrol.

For at kunne gøre dette, skal du kende til risikoen ved behandlingen –  altså hvor ked af det, vil personen være, at andre fik fat i de oplysninger og hvor sandsynligt er det for, at dette vil kunne ske, set fra et sikkerhedsmæssigt synspunkt – Jo større risiko for krænkelser og brud, jo højere sikkerhed skal du nå. Og kan der ikke gøres mere i forhold til sikkerheden, og er der stadig høj risiko ved behandlingen, må den i høring hos Datatilsynet før du må foretage den ønsket behandling.

Du skal have udpeget en dataansvarligt, der sørger for at du opfylder disse krav og dine egne politikker. Din dataansvarlige skal også sørge for, at der foretages en revision og kontrol hermed, samt kommer med forbedringsforslag. Derudover, skal han have styr på, dem der måtte behandle personoplysninger på jeres vegne – såkaldte databehandler, f.eks. når du videregiver personoplysning til e-conomics, Superoffice, Dataløn, ekstern server plads, cloud m.v., og skal sikre, at de også overholder reglerne og, at de er retligt (og skriftligt) forpligtet overfor dig.  I hæfter jo som udgangspunkt solidarisk og principalt for skader der opstå som følge af en sikkerhedsbrud. Så dæk jeres røv, bedst og mest muligt!

Og så skal du have en beredskabsplan, hvis det går galt, og I oplever sikkerhedsbrud – du skal hurtigt kunne afklare omfanget, konsekvenser og om muligt begrænse eventuelle skader.  Og så har du 72 timer til at anmelde bruddet til Datatilsynet og evt. også den registrerede person.

Du skal vise respekt
Ud over, at du skal give personen indsigt i de data du behandler om dem – både når du indsamler dem, eller de anmoder om det, så skal du også berigtige hvis oplysningerne er forkerte, vildledende eller ufuldstændige hvis de beder dig om det. Og du skal respektere, når en registreret person siger fra, når de f.eks. vil have slettet eller begrænset din behandling af deres personoplysninger. Ved anmodning, skal du også videresende deres oplysninger til en anden databehandler eller tredjepart.

Du skal høre efter, reagere hurtigt og tale til dem i et sprog, de kan forstå. Udtryk dig klart og utvetydigt og i den samme form, som de har henvendt sig til dig.  F.eks. via. e-mail.  Og så skal du som hovedregel gøre det uden beregning.

De har ret til at gøre indsigelse og klage over din behandling, og det er kun i nogle begrænsede tilfælde, at du kan nægte at imødekomme eller efterleve en anmodning. Derfor bør du overveje at indføre processer og retningslinjer for behandling af sådanne anmodninger, herunder hvornår og hvem der må nægte en anmodning.

 

 

Dit ord er ikke længere nok

Du skal dokumentere, at du rent faktisk gøre det her. På skrift.
Du skal som minimum lave en fortegnelse over dine behandlingsaktiviteter.

Du skal tage ansvar

Ja, det tager tid

Ja, I skal tænke jer om

Ja, I skal opfylde krav og regler

Ja, I skal stå til ansvar overfor de mennesker, I behandler personoplysninger om,

Ja, I skal tage ansvar for beslutninger og handlinger

 

MEN HVEM VIL IKKE DET??

 

Har du brug for hjælpe til at komme på den rette vej?  Få en køreplan og svar på dine spørgsmål på carleton.dk