Forstå EU’s forordning om persondata
EU’s Persondata Forordning træder i kraft i foråret 2018. Det er der stadig halvandet år til. Men branchens virksomheder skal i gang med forarbejdet, og derfor bør arbejdet sættes i gang allerede nu.
Juraklummen går på skift mellem juristerne hos henholdsvis AutoBranchen Danmark, Dansk Bilbrancheråd og Bilbranchen under DI. Klummerne er udtryk for skribentens egen holdning og deles ikke nødvendigvis af redaktionen.
I denne uge skrives klummen af Karoline Thomsen, chefkonsulent i Bilbranchen under DI.
Persondataforordningen kan groft sagt deles op i fire afsnit:
• Almindelige persondata og følsomme persondata
• Principper for behandling af persondata
• De registreredes rettigheder
• Virksomhedernes pligter
Forordningen omfatter behandlinger af persondata - ikke ejerskab til persondata. Behandlinger er f.eks. indsamling, lagring og sletning. Selv om en virksomhed ejer eller køber nogle persondata (f.eks. en kundedatabase), giver ejerskabet i sig selv ikke ret til at behandle disse data. De nye regler stiller krav om, at virksomhederne dokumenterer deres persondatabehandling og det kan kort sagt siges sådan, at dét der ikke er dokumenteret, det er ikke gjort! Selv om man rent praktisk behandler persondata korrekt og virksomhedens systemer er sikre, så skal det hele beskrives og dokumenteres.
Et eksempel: Hos virksomhed A er det beskrevet i virksomhedens persondatapolitik, at kundeoplysninger slettes 24 måneder efter oplysningen sidste gang er benyttet. Hos virksomhed B står der ikke noget i virksomhedens datapolitik om sletning af kundeoplysninger, men data slettes altid 12 måneder efter sidste benyttelse. Selv om virksomheds A’s 24 måneder nok er i overkanten af, hvad der sagligt kan begrundes, vil det være virksomhed B, som kommer i klemme i forhold til Persondataforordningen. Hellere have en holdning til sletning, som er "lidt skæv" end slet ikke at have en holdning.
Almindelige og følsomme persondata
Man kan ikke bare behandle persondata - det skal man have en ret til. Forordningen indeholder en opdeling af persondata i to kategorier. Nogle persondata er almindelige (f.eks. navn adresse, e-mail, stilling, telefonnummer eller uddannelse) mens andre er følsomme (f.eks. race eller etnisk oprindelse, politisk, religiøs, seksuel overbevisning eller helbredsoplysninger).
Det er vigtigt, om persondata er almindelig eller følsom, fordi retten til at behandle følsomme persondata er meget begrænset, mens retten til at behandle almindelige personoplysninger kan udspringe af flere forhold: et samtykke, et køb, en finansiering, en forsikring, en saglig interesse eller fordi det fremgår af loven, at personoplysninger skal afgives.
Principper for behandling af persondata
Efter forordningen skal en række principper følges, hvis virksomhederne ønsker at behandle personoplysninger. Det betyder, at data kun må behandles til et specifikt formål, at der ikke må behandles flere persondata end nødvendigt, at data skal være korrekte og opdaterede, at oplysningerne ikke må lagres længere end nødvendigt og at data skal beskyttes via sikkerhedsforanstaltninger iværksat efter en risikovurdering.
De registreredes rettigheder
De registrerede har en række rettigheder i forhold til de persondata som behandles. De registrerede har bl.a. generelt ret til at blive informeret om behandlingen og ret til at få rettet eller slettet persondata.
De har også ret til at få deres oplysninger udleveret, så de kan gives videre til en anden tjenesteudbyder, og desuden har de ret til ikke at blive profileret. En profilering betyder en automatisk behandling af personoplysninger, så virksomheden får mulighed for at tilpasse sin markedsføring præcist til sine kunder.
Hvis en kunde tidligere har vist stort interesse for bestemte brands, vil man med profilering have mulighed for efterfølgende at markedsføre tilbud inden for netop de efterspurgte brands til kunden.
Databehandlers pligter
Virksomhederne har en række pligter, som skal opfyldes. Disse pligter indebærer, at virksomhederne skal beskytte personoplysninger tilstrækkeligt og herunder i et vist omfang designe beskyttelse af personoplysninger ind i deres it-systemer.
Virksomhederne skal også kunne dokumentere deres behandlinger og sikkerhedstiltag samt kunne reagere på brud på sikkerheden.
Hvor skal man starte?
Virksomhederne kan starte med at nedsætte en arbejdsgruppe, som samler information om, hvordan persondata kommer ind i virksomheden, hvordan det bliver gemt, hvem der har adgang til det, hvordan det eventuelt videresendes, rettes, slettes og hvordan sikkerhedsbrister håndteres.
Med andre ord en beskrivelse af virksomhedens procedurer og arbejdsgange ved behandling af personoplysninger. De sikkerhedstiltag der er nødvendige, finder virksomheden frem til ved at lave en risikoanalyse.
Risikoanalysen viser sammenhængen mellem sandsynligheden for fejl og konsekvensen af disse fejl. Det skaber et overblik over alt fra den lille sandsynlighed for fejl med små konsekvenser til den store sandsynlighed for fejl med vidtrækkende konsekvenser.
DI har levet en analysemodel til sine medlemsvirksomheder.
Det er vigtigt til sidst at nævne, at virksomhedens politiker og procedurer skal efterleves, kontrolleres og tilrettes løbende.
Vigtigt er det også at forstå, at arbejdet med forordningen ikke kun er en juridisk øvelse. Det vil for de fleste virksomheder i lige så høj grad være en teknisk øvelse og et spørgsmål om den interne ledelse i virksomheden.
