Persondataforordningens ikrafttrædelse ligger lige om hjørnet. Datatilsynet er ca. halvvejs gennem udarbejdelsen af de hertil knyttede vejledninger, som skal sætte de danske virksomheder i stand til at efterleve de nye regler.
MEN, selvom der bliver udarbejdet vejledninger, afholdt seminarer og skrevet artikler, synes forvirringen stadig at være stor rundt omkring i de danske virksomheder. De ressourcestærke virksomheder allierer sig med advokater og konsulenter, som fører opgaven ud i livet, men for de små og mellemstore virksomheder kan det være uoverskueligt at gribe GDPR-opgaven an.
Formålet med denne artikel er at aflive en del af de gængse ”myter” omkring den nye forordning, samt at give et bud på, hvad man som virksomhed skal fokusere på, hvis man endnu ikke er kommet ordentligt i gang med implementeringen af de nye regler.
”Man må ikke opbevare personoplysninger”
I vores arbejde med det persondataretlige områder møder vi adskillige personer og virksomheder, som er af den opfattelse, at der fra den 25. maj 2018 gælder et forbud mod at behandle personoplysninger.
Det er vigtigt at understrege, at Persondataforordningen skal ses som et sæt spilleregler og IKKE som et forbud.
Man må gerne behandle personoplysninger, såfremt man har et legitimt formål med dette. Forordningen indeholder en række grundprincipper som skal overholdes, men såfremt man holder sig inden for rammerne, er behandling af personoplysninger som udgangspunkt lovlig.
Forordningen indeholder 99 artikler, og kan selvsagt ikke koges ned til ovenstående, men formåls-vurderingen er, efter vores opfattelse, den vigtigste når det kommer til behandlingen af personoplysninger i praksis – Hvis du anvender den hver gang kommer du et langt stykke af vejen.
”Man skal have et samtykke for at behandle personoplysninger”
Der hersker visse steder en opfattelse af, at man altid skal have samtykke til at behandle personoplysninger.
Det er IKKE korrekt.
Et samtykke er én af de behandlingshjemler, der findes i forordningen, men i mange tilfælde findes der andre hjemler, som kan være nemmere at anvende i praksis.
Et eksempel herpå er kontraktforholdet mellem en virksomhed og en kunde. Hvis man som virksomhed indgår en kontrakt med en kunde, er man i stort set alle tilfælde nødt til at behandle personoplysninger, såfremt man skal kunne levere den ydelse som fremgår af kontrakten.
Man kan eksempelvis ikke levere en vare til en kunde uden at have dennes navn og adresse, og man kan ikke sende en ordrebekræftelse pr. e-mail uden at få denne oplyst.
Man kan heller ikke udbetale løn til en medarbejder uden at have dennes kontooplysninger.
Ovenstående afvejninger kan for mange virke simple og ligetil, men de understreger jo netop, at der er tale om et legitimt formål med behandlingen.
Hvis man eksempelvis bad en medarbejder oplyse sin religiøse overbevisning i forbindelse med lønudbetaling, ville der netop ikke være et sagligt formål, hvorfor en sådan behandling selvsagt ikke vil kunne forsvares.
”Jeg kan jo ikke bare sætte mig ned og finde alle personoplysninger i min virksomhed”
Jo du kan!
Det behøver ikke være en umulig opgave. Med de rette værktøjer og en kompetent indføring i de vigtigste elementer i GDPR, kan du få et overblik over hvordan personoplysninger optræder i din virksomheds daglige processer.
Det er desuden et krav efter forordningen, at du kan dokumentere overholdelsen af reglerne, så valget er allerede taget for dig.
Hvis man deler opgaven op på procesniveau, kan man via de enkelte trin i en given proces udpege, hvor der indgår personoplysninger. Hvis man indfører dette i et ark, kan man til slut analysere på, om man har hjemmel til at behandle alle de fundne personoplysninger.
Det kan samtidigt give dig en enestående mulighed for at overveje dine processer, hvis de ikke i forvejen er kortlagt.
Samtidigt med at man selv får overblikket, skaber man via det ovenfor nævnte ark en oversigt over virksomhedens personoplysninger, som kan danne grundlag for den dokumentation som forordningen kræver.
Ovenstående omtales ofte som en datastrømsanalyse.
Hvor skal jeg starte?
Start med datastrømsanalysen.
Få dig et overblik over hvilke personoplysninger din virksomhed ligger inde med og hvordan de bevæger sig. Når du har fået overblikket, er det nemmere at identificere de vigtigste fokusområder for din virksomhed.
Et andet område, hvor det også er vigtigt at komme i gang, er med indgåelsen af databehandleraftaler.
Fra 25. maj 2018 skal du som dataansvarlig have en databehandleraftale med alle de databehandlere du benytter, eller være underlagt en sådan, hvis du selv er databehander.
Hvis du er i tvivl om du er dataansvarlig eller databehandler, har Datatilsynet udgivet en god vejledning på området.
Du kan finde vejledningen her.
Hvis du sidder med spørgsmål som afholder dig fra at komme i gang med arbejdet med GDPR, så er vores bedste råd at ringe til en kompetent rådgiver som kan sætte dig i gang.
Hos Advokatfirmaet Vingaardshus rådgiver vi til dagligt en lang række danske virksomheder inden for GDPR-området og varetager alt fra fuld implementering til løbende sparring.
Du er altid velkommen til at give os et uforpligtende opkald eller sende en mail, så giver vi gerne et bud på hvordan din virksomhed kommer i gang eller videre med jeres GDPR-projekt.
Kontakt vores team for persondataret.
Du kan også finde en række gode råd til din implementering af Persondataforordningens krav her
Er du gået glip af vores øvrige nyheder? Fortvivl ej, du finder dem allesammen her