Det er slet ikke så svært…
GDPR er ofte udskældt, men er faktisk bedre end sit ry, for det behøver slet ikke at være så kompliceret, som mange gør det til. Har du styr på nogle simple begreber og krav om håndtering og dokumentation af personoplysninger, er den (næsten) hjemme.
Hvad er personoplysninger?
Først er det vigtigt at forstå, at der er forskel på personoplysninger. Mange tror fejlagtigt, at personoplysninger kun dækker personfølsomme oplysninger, men det er ikke korrekt.
Personfølsomme oplysninger omfatter bl.a. race og etnisk oprindelse, politisk overbevisning og seksuelle forhold eller orientering, mens de almindelige og ikke-følsomme personoplysninger omfatter alle andre data, der gør det muligt at identificere en person udfra data.
Disse omfatter derfor helt almindelige data som navn, adresse, telefon og mailadresse, men også IP-adresser, GPS-oplysninger og sågar portrætfotos.
Der skal altså ikke meget til, for at der er tale om personoplysninger. Læs mere om de forskellige slags personoplysninger her.
Basale forpligtelser
Det handler altså kort og godt om at beskytte de oplysninger, I som virksomhed har på kunder, medarbejdere, leverandører og samarbejdspartnere, for det er jeres ansvar, at de oplysninger, I opbevarer, lever op til GDPR-reglerne. Men hvad indebærer det?
Grundlæggende er det jeres ansvar, at…
- spørge om lov før I behandler oplysninger på folk
- holde styr på de data, I behandler
- informere folk om de oplysninger, I har på dem, hvis de ønsker det
- informere Datatilsynet indenfor 72 timer hvis der er brud på sikkerheden
- få det på skrift, hvis andre behandler personoplysninger på jeres vegne
- kunne dokumentere over for Datatilsynet, at I har styr på databeskyttelse og GDPR
Du kan læse en mere uddybende liste over jeres forpligtelser her.
Basale principper
Men der lige et par yderligere principper, I skal overholde som dataansvarlig.
- jeres behandling af data skal være lovlig og gennemsigtig
- I skal oplyse folk om, hvad du bruger deres oplysninger til – og overholde det
- I skal begrænse databehandlingen til kun at omfatte data med et konkret formål
- I skal registrere alle oplysninger og huske at slette urigtige oplysninger
- når I ikke længere skal bruge dataene, skal de anonymiseres eller slettes
- pas godt på eventuelle fortrolige oplysninger, og undgå at miste eller beskadige dem
Hvis du har lyst, kan du finde mere information om GDPR her.
Virksomheder der har betalt til bødekassen
De fleste af de virksomheder, der har været under Datatilsynets lup, er virksomheder, der ikke har fundet slettelakken frem. For ét er at have styr på data. Noget andet er at huske at slette unødvendige data som fx oplysninger om tidligere kunder.
Det er typisk oplysninger, man lykkeligt har glemt, man havde. Oplysninger som gemmer sig i stakken af papirer – eller et sted dybt inde i CRM-systemet. Desværre koster det dyrt at glemme, og flere virksomheder har måttet finde den store pengepung frem, når de blev afsløret.
Men det er ikke kun ”slettepolitikken”, der har ramt virksomheder rundt om i verden. Nedenfor er der nogle få eksempler på, hvilke ting, der bliver slået ned på – og hvad det koster.
Taxaselskabet 4 x 35 måtte slippe 1,2 mill. kr. for manglende sletning af kundedata. Knap 9 mio. personhenførbare taxature blev gemt for længe uden formål. Læs mere her.
Møbelfirmaet IDdesign måtte punge ud med hele 1,5 mill. kr. Igen var det manglende sletning af data på ca. 385.000 kunder, der var årsagen. Læs mere her.
British Airways fik i 2019 den hidtil største bøde på hele 1,52 mia. kr. for overtrædelse af GDPR-reglerne. Årsagen vare et hackerangreb i 2018, hvor kunder blev ført til et falsk website, hvor de skulle logge ind og aflevere oplysninger om kreditkort og bookede rejser. Oplysninger, der alle blev samlet op af hackerne. Læs mere her.
Google i Frankrig fik en bøde på godt 370 mill. kr. af de franske datamyndigheder for at overtræde ansvar og principper om gennemsigtighed, information og samtykke. Læs mere her.
Det er med andre ord ikke småbeløb, man som virksomhed risikerer at skulle betale, hvis man ikke lever op til reglerne. Databeskyttelse er for alvor blevet noget, der tages alvorligt. Faktisk rummer GDPR-reglerne mulighed for at idømme bødestørrelser på op til 150 mill. kr. eller 4% af virksomhedens årlige globale omsætning, alt efter hvad der er størst.
Kan det ske for jer?
Nu tænker du måske, at det kun er de store fisk, der rammes af den slags bøder – for hvorfor skulle Datatilsynet overhovedet interessere sig for dig og din virksomhed? Tanken er forståelig, men risikabel. For Datatilsynet kommer nemlig oftest på besøg, når en borger, kunde eller (tidligere) medarbejder gør Datatilsynet opmærksom på din virksomhed.
Faktisk er over halvdelen af alle GDPR-tilsyn i Europa opstået på baggrund af en klage fra en borger, svarende til knap 150.000 sager. Så hvis der er nogen, der har et horn i siden på jer, eller føler at deres oplysninger ikke bliver håndteret korrekt, er de ikke bange for at gribe til værks.
Og set i lyset af sager som den for nylige Facebook-skandale med Cambridge Analytica og lignende misbrug af personlige oplysninger, kan man egentlig ikke bebrejde folk.