Med indførelsen af den nye Generelle Databeskyttelsesforordning (GDPR), kan du godt være en af de mange der nu må i gang med en grundig vurdering af alle forretningsprocesser og systemer i din virksomhed. Det er nemlig med at sikre, at du ikke bryder de nye regler omkring beskyttelse af personfølsomme oplysninger, som træder i kraft maj 2018. Efterhånden som fristen kommer tættere og tættere på, søger virksomhederne at uddanne deres medarbejdere omkring det grundlæggende i den nye forordning, selvfølgelig med særlig fokus på dem, der har adgang til personoplysninger.
En introduktion til GDPR
Så hvad er det det lige GDPR er, og hvordan adskiller denne nye lov sig fra databeskyttelsesdirektivet, som den går ind og erstatter?
Den første nøgleforskel er anvendelsesområdet. GDPR går nemlig længere, end blot af beskytte mod misbrug af personoplysninger som e-mail-adresser og telefonnumre. Forordningen gælder for enhver form for personoplysninger, der kunne identificere en EU-borger, herunder brugernavne og IP-adresser. Desuden skelnes der ikke mellem oplysninger, der holdes på en person i en virksomhed eller personligt – det er alt sammen klassificeret som personlige data, der identificerer en person, og derfor er omfattet af den nye forordning.
For det andet gør GDPR op med bekvemmeligheden af blot at kunne tilbyde en ?opt-out?-mulighed, som mange virksomheder lige nu nyder godt af. I stedet kræver de nye regler, at hvis man skal indhente personoplysninger fra en EU-borger, så skal der indhentes samtykke frit, specifikt, informeret og utvetydigt. Det kræver en positiv indikation af enighed – det kan ikke udledes af stilhed, forkrydsede kasser eller inaktivitet.
De danske virksomheder er i fuld gang med, at undersøge de nye regler, og sikre sig, at de driver deres virksomhed i overenstemmelse med dem. Der kigges blandt andet på løsninger til sikker e-mail, så man ikke risikerer at sende eksempelvis jobansøgninger indeholdende CPR-nummer rundt, uden at denne information er stærkt krypteret. Da virksomhederne allerede er vant til at implementere teknologiske løsninger, som eksempelvis digital faktura, er der ikke forventninger om, at det vil volde alt for store hovedpiner her i landet, når den nye lov indføres.
Virksomhederne skal dog ikke bare være i overensstemmelse med den nye lov. De skal også, hvis det udfordres, være i stand til at påvise denne overholdelse. For at gøre tingene endnu vanskeligere, vil loven ikke kun gælde for nyligt erhvervede data efter maj 2018, men også til den data, der allerede er indhentet. Så hvis du har en database med kontakter, som du frit har markedsført i fortiden, uden deres udtrykkelige samtykke, så har du ikke længere lov til at kontakte dem efter maj 2018. Det gælder også, selvom du har givet dem mulighed for at afmelde sig ? det er ikke nok, de skal aktivt have tilvalgt at modtage emails fra dig. Samtykke skal indsamles for de ting, du har til hensigt at gøre med dataen. At få samtykke til bare at indsamle og bruge dataene helt generelt, vil typisk ikke være tilstrækkeligt.