Den 25. maj 2018 træder den omdiskuterede GDPR – General Data Protection Regulation – i kraft. Dét betyder at Danmarks nuværende persondatalov udskiftes med den nye fælles EU-lovgivning, som har til formål at sikre ensartethed og gennemsigtighed, når EU-borgere færdes på nettet.
Men ved du, hvad den nye datalov betyder for din virksomhed og er I klar til at imødekomme kravene, der følger med?

Alle virksomheder som, på den ene eller anden vis, navigerer på det digitale marked, bør sætte sig ind i GDPR. Lovgivningen er nemlig gældende for alle, der håndterer personlige data om en EU-borger. Det vil sige webshops, hosting-virksomheder, de som har samlet leads via nyhedsbreve, eller lignende.

Én af de konsekvenser der kan ramme virksomheder, store som små, er de registrerede personers ret til at blive glemt. Uanset hvilke data du har på en given person, kan denne med rette bede om at al data slettes, når vi rammer d. 25. maj 2018. Det er derfor vigtigt, at du har fastlagt en intern proces, som hurtigt kan lokalisere alle data, opfylde forbrugernes krav og i sidste ende forhindre en bøde.

Dataansvarlig vs. databehandler

Udover den interne del, har du som dataansvarlig også en anden vigtig opgave. Det er nemlig op til dig at videregive ovennævnte anmodning til eventuelle databehandlere, som enten benytter eller blot har adgang til, den berørte data. Databehandlere vil i mange tilfælde være leverandører.

Hvis en forbruger kontakter dig – den dataansvarlige – og beder om at få udleveret og/eller slettet al data, er du altså forpligtiget til at kontakte eventuelle databehandlere.
Det kan eksempelvis være et digitalt bureau, som håndterer markedsføring, på vegne af din virksomhed.

Men hvorfor er det så vigtigt at skelne mellem dataansvarlig vs. databehandler? Her kan det eksempelvis næves, at ifølge GDPR er det den dataansvarlige, som har det primære ansvar for hele dataværdikæden.
Det betyder kort fortalt, at du som eksempelvis webshopejer – og derfor dataansvarlig – skal have styr på al data. Ikke kun internt, men også hos Jeres eksterne databehandlere.
Det kan umiddelbart virke uoverskueligt at skulle efterleve, men ved at udfærdige en databehandleraftale, til alle dine samarbejdspartnere, er du allerede nået langt.

Et andet vigtigt skridt på vejen, er gennemsigtigheden overfor jeres kunder. Her kan I oprette en persondatapolitik, som kort fortalt er information til dine kunder om, hvilke data I registrerer om dem.
Udover at gøre dine kunder opmærksomme på, hvilke data I registrerer, kan I ydermere nævne til hvilke formål de gemmes, tidsperiode og, hvorvidt data bliver videregivet til tredjepart.
Jeres persondatapolitik bør være let tilgængelig på hjemmesiden, ligesom handelsbetingelser og generelle vilkår.

Til slut skal nævnes arbejdsgivers rolle, i forhold til sine ansatte. I denne forbindelse agerer arbejdsgiver dataansvarlig, da de behandler personoplysninger til eksempelvis udbetaling af løn.

Der er skrevet utallige indlæg, guides og artikler, om den kommende persondataforordning. Du kan aldrig sætte dig for meget ind i sagen, men hvis du skal vælge ét sted, hvorfra din viden skal komme, så henviser vi til Datatilsynet eller anden juridisk instans.

 *Der tages forbehold for, at KompetenceKanalen ikke er en juridisk instans, og at dette indlæg ikke er skrevet af en jurist. Dette er blot en videreformidling af informationer fra Datatilsynet.