Datatilsynet har efterhånden været ude med riven nogle gange, og har indtil nu indstillet bøder for 18,1 mill. kr., heraf 4 bøder på over 1 mill. kr. Men hvad skal I være specielt opmærksomme på, hvis I gerne vil undgå at komme i Datatilsynets søgelys?
GDPR handler i bund og grund om at have styr på andre menneskers data, og viser man ikke vilje eller evne til at passe på de personoplysninger, man ligger inde med, kan hammeren hurtigt falde.
Bøderne kan for helt almindelige virksomheder løbe op i mange millioner kroner, og for de rigtig store virksomheder kan de løbe op i et 3-cifret millionbeløb, da de i yderste fald kan udløse bøder svarende til 4% af virksomhedens globale omsætning.
GDPR som konkurrenceparameter
Risikoen for bøder bør dog aldrig være grunden til at arbejde med GDPR, mener Kim Jensen, CEO & Partner ved Lexoforms. Ifølge ham er GDPR nemlig en god anledning til at få ryddet op i både systemer og data, og samtidig få bedre overblik.
Ifølge Kim Jensen viser deres erfaringer, at hvis man går ind i GDPR-arbejdet med positive briller, ligger der flere markante gevinster i form af større overblik, øget effektivitet, styr på uforudsete situationer (som fx ønsker om indsigt) samt mindre risiko for databrud. For nogle virksomheder bliver det ligefrem en konkurrenceparameter og et signal om, at virksomheden også på dette område optræder organiseret og troværdigt.
Arbejdet med GDPR skal derfor gribes rigtigt an, og her er Kim Jensen især stødt på fem faldgruber, som I som virksomhed skal være opmærksomme på, hvis I vil overholde reglerne.
Faldgrube #1: Den interne fortegnelse
Persondataforordningen kræver, at alle virksomheder udarbejder en såkaldt intern fortegnelse. Den skal indeholde alle oplysninger, der samlet set giver et overblik over de personoplysninger, som virksomheden opbevarer og behandler – og den skal kunne videregives til Datatilsynet, hvis Datatilsynet ønsker det.
Mange virksomheder har lavet den interne fortegnelse i et regneark, men et regneark er en ”død fil”, som kan være både uoverskueligt og vanskeligt at opdatere, ikke mindst efter noget tid. Men opdatering af den interne fortegnelse er et lovmæssigt krav til virksomheden. Derfor halter virksomhederne typisk bagefter på dette punkt.
Faldgrube #2: GDPR-opgaven bliver syltet
Mange virksomheder har svært ved at forholde sig til GDPR, fordi reglerne er både komplicerede og tidskrævende. Med rigeligt at se til i forvejen, er det nærliggende at skubbe GDPR-opgaven lidt foran sig og gemme den, til der er bedre tid. Men det tidspunkt kommer aldrig.
Derfor er det vigtigt at få taget fat på opgaven – og ikke mindst holde den vedlige. Risikoen for at få en bøde kan være en stærk motivator for at komme i gang, men det bør være ambitionen om at behandle andres data med ansvar og respekt, der er den vigtigste driver. Den gode nyhed er her, at arbejdet med GDPR for mange faktisk er lettere, end de troede, når de først kommer i gang.
Faldgrube #3: Medarbejderne er ikke klædt på
Som virksomhed har I pligt til – og skal kunne dokumentere – at alle medarbejdere har fået en ordentlig instruktion i, hvordan de skal behandle de personoplysninger, som de får adgang til.
Men det er ofte svært, fordi det er en uvant opgave. Alligevel er det nok den vigtigste enkelt-opgave, da langt hovedparten af de mere end 16.000 anmeldelser til Datatilsynet om sikkerhedsbrud siden den 25. maj 2018, handler om menneskelige fejl.
Derfor er det afgørende, at alle medarbejdere ved, hvad personoplysninger er, og at disse skal behandles med ansvar og respekt.
Faldgrube #4: Sletning af data
Det er et krav, at personoplysninger ikke må opbevares i længere tid end det, der er nødvendigt til de formål, hvortil de blev indsamlet og behandlet. Når de ikke længere er nødvendige, skal de som udgangspunkt slettes eller anonymiseres, så de ikke længere er tilgængelige.
Men hvis man som virksomhed ikke har et overblik over, hvilke personoplysninger der behandles, og hvor de opbevares, bliver sletning af personoplysninger pludselig en udfordring. Derfor er det vigtigt at få defineret en klar slettepolitik – og løbende føre kontrol med, at den efterleves.
Faldgrube #5: Dårlige undskyldninger
”Vi har ingen følsomme personoplysninger”, ”vi har styr på vores databehandleraftaler” eller ”vi er på btb-markedet, så det er ikke relevant” er alle undskyldninger, vi har hørt mange gange. Men fakta er, at alle virksomheder med blot én ansat eller én kunde behandler personoplysninger.
Derfor er GDPR relevant for alle uanset størrelse, marked og produkter.