GDPR nåede D-dag og hysteriet nye højder

JURA Så nåede vi forbi den 25. maj, og EU’s nye regler om persondatabeskyttelse trådte i kraft, kendt som GPDR, der er en forkortelse for General Data Protection Regulation.

I mange virksomheder er man ikke helt i mål men er godt på vej. Hysteriet og overimplementering af de nye regler har desværre taget fokus fra en væsentlig men overkommelig opgave og almindelig sund fornuft.

Arbejdet med at sikre en bedre beskyttelse af bl.a. kundernes personoplysninger stoppede ikke den 25. maj, men man kan sige at forarbejdet er slut nu, og at virksomhederne nu skal i gang med driften. Hvis man skal skære helt ind til benet, så handler de nye regler om, at man kun skaffer sig de oplysninger, man reelt har brug for, at man har lov til at have oplysningerne, passer godt på dem og at man skaffer sig af med oplysningerne igen, når man ikke har brug for dem længere.

Nu skal virksomhederne til at arbejde med de procedurer og forretningsgange, de selv har sat i søen, og mange vil formentlig opdage, at der er noget, de har glemt, at der er noget, som ikke kan lade sig gøre, eller at ting fungerer anderledes i virkeligheden end i et skema. I så fald skal man sørge for at justere sine procedurer eller tilføje det, man har glemt.

Bare fordi man modtager en oplysning, behøver man ikke altid at beholde den, og der har været tendens til, at vi bare ukritisk har gemt alt for en sikkerheds skyld.

I stedet for at gemme pr. automatik, skal vi nu huske at spørge os selv, om vi har brug for oplysningen. Det bliver på sigt - og som så meget andet - en vane. Jo mere digitalt man arbejder, jo lettere er det at styre, at oplysninger bliver gemt de rigtige steder, at oplysningerne opbevares sikkert og bliver slettet.

Hvad må man gemme?
Nogen kender måske udtrykket "Hvad der ikke kan forklares, kan heller ikke forsvares". Dette kan i høj grad anvendes som trykprøve, hvis man er i tvivl om, hvorvidt man har brug for en personoplysning eller om man fortsat må gemme den.

Man er derfor på gale veje, hvis man ikke på fornuftig vis kan forklare, hvorfor man har en personoplysning og til hvilket formål, man har gemt den.

Et eksempel - hos en lastbilforhandler har man oplysninger om navnene og tøjstørrelsen på chaufførerne hos en vognmand. Chaufførerne er ikke lastbilforhandlerens kunder og deres kontaktoplysninger og tøjstørrelse er ikke umiddelbart relevante oplysninger for lastbilforhandleren. Men hvis de skal deltage i en event arrangeret af lastbilforhandleren, som også udleverer logojakker til deltagerne, så er oplysningerne nødvendige for planlægningen af eventen, og lastbilforhandleren må derfor gerne opbevare dem. Når eventen er overstået, skal deltagerlisten slettes og det skal oplysningen om tøjstørrelsen også.

Sådan skal arbejdskortet håndteres
Noget, der helt lavpraktisk har optaget branchen, er værkstedets arbejdskort. Arbejdskortet indeholder ofte navn og kontaktoplysninger på kunden. Det er personoplysninger, men det er samtidig personoplysninger, som værkstedet har behov for og derfor godt må opbevare.

Værkstedet har med andre ord en saglig interesse i at opbevare disse oplysninger, der overstiger kundens interesse i ikke at være registreret hos værkstedet. Men et arbejdskort med personoplysninger skal opbevares passende sikkert og må ikke efterlades uden opsyn eller hænges op et sted, hvor uvedkommende har adgang.

Der ligger jo heller ikke en liste fremme med navn, adresse og e-mail på kunderne i Brugsen.

Alternativt kan man anonymisere arbejdskortet, så der alene fremgår et kunde-ID eller et registreringsnummer.

Gigant bøder - eller hvad?
Processen frem til den 25. maj har båret præg af truslen om gigantiske bøder, hvis ikke man har indhentet formålsopdelte samtykker til alt, hvad man foretager sig med personoplysninger. Dertil må det siges, at man gerne må foretage sig rigtigt mange ting, som involverer almindelige personoplysninger, uden et samtykke, hvis man har en legitim interesse heri og sørger for at oplyse om det i virksomhedens privatlivspolitik.

Adskillige lovregler foreskriver i øvrigt også, at man håndterer personoplysninger, uden samtykke. Således kræver det ikke samtykke at opretholde en kundedatabase eller et bogholderi, så længe man kun registrerer de oplysninger, man har brug for, opbevarer dem sikkert og sletter dem, når de ikke længere skal bruges.

Hvis man vil bruge elektronisk kommunikation med salg for øje, skal man indhente et samtykke, men så er vi ovre i markedsføringsloven, hvor bødeniveauet er et helt andet.

Meldingen fra Datatilsynets direktør til magasinet DI Business er, at der er andre redskaber end bøder, og at tilsynet ved vurderingen af en overtrædelse af reglerne vil tage hensyn til "formidlende omstændigheder".

Tilsynet kommer både til at behandle klagesager og vil komme på uanmeldt besøg. Hvem der kan vente besøg afhænger bl.a. af hvor store mængder data, man håndterer, og hvor følsomme oplysningerne er. Datatilsynet forventer at alle virksomheder arbejder seriøst med at komme i mål, men vil være positivt indstillet overfor virksomheder, der ikke helt har nået det, men som arbejder fornuftigt på at få de sidste ting på plads.