Du har sikkert allerede hørt om den nye europæiske persondataforordning, GDPR, som trådte i kraft den 25. maj 2018. Men hvad betyder loven i praksis, og hvordan påvirker det dit daglige arbejde? Eksperter anbefaler virksomheder og organisationer at gennemgå deres aktiviteter og rutiner. Men hvordan? Vi guider dig her.
Er din arbejdsplads klar til GDPR?
Uanset hvilken industri du arbejder i, er sandsynligheden for, at EU's persondataforordning ikke påvirker din arbejdsdag, meget lille. Medarbejdere i alt fra HR og Marketing til IT, skal gennemgå deres systemer og rutiner for, hvordan man arbejder med at indsamle og registrere personlige oplysninger.
GDPR - hvad er det?
GDPR står for General Data Protection Regulation, eller på dansk: Persondataforordning. Loven har stillet nye krav til dokumentation og datasikkerhed, siden den trådte i kraft den 25. maj 2018. I Danmark betyder det, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger.
Hvorfor GDPR?
Formålet med den nye lov er at understøtte det digitale indre marked, samt styrke beskyttelsen personoplysninger og hvordan disse behandles, ved at indføre ensartede regler i hele EU. Personlige data kan bestå af information om medarbejdere, såvel som kunder, eller potentielle kunder. Et håb fra EU er at harmonisere reglerne mellem EU-medlemslandene gennem denne type lovgivningsmæssige rammer. Tidligere har det været op til hvert land at fortolke direktivet om beskyttelse af personlige oplysninger, men pr. 25. maj 2018 gælder den samme lovtekst i alle EU-lande.
Hvem påvirkes af GDPR?
Selvom det største arbejde ligger hos personer, der arbejder med juridiske spørgsmål eller it-sikkerhed, betyder lovændring en grundlæggende ændring i de fleste danske virksomheder, myndigheder og organisationer, som beskæftiger sig med personoplysninger.
For virksomheder og andre organisationer:
- Virksomheder skal oplyse om, hvordan og hvorfor de behandler personoplysninger.
- Virksomheden skal kende deres data og alle systemer, der håndterer oplysningerne.
- Virksomheden skal have en databeskyttelsesansvarlig, hvis den håndterer følsomme data i vid udstrækning. Den databeskyttelsesansvarlige er ansvarlig for overholdelsen af loven samt at uddanne personale - og fungerer som kontaktperson for offentligheden.
Som virksomhed eller organisation, der forvalter personlige data, bør du allerede kunne besvare disse spørgsmål:
- Hvorfor har vi oplysningerne?
- Har vi brug for oplysningerne?
- Hvordan bliver de indsamlet?
- Hvem har adgang til dem?
For privatpersoner gælder det at:
- Databeskyttelsesforordningen styrker enkeltpersoners ret til at blive informeret om, hvornår data indsamles og hvordan de indsamles.
- Det bliver lettere at undgå direkte reklamer.
- Retten til at blive glemt - det vil sige som privatperson under den nye lov, har du ret til at anmode om, at personoplysninger på søgemaskiner fjernes.
Hvad sker der hvis du ikke følger loven?
Virksomheder, der ikke overholder den nye lov, kan blive tvunget til at betale store sanktioner. Det er en såkaldt "administrativ sanktion" på op til 20 mio. EUR, eller fire procent af virksomhedens samlede omsætning. I Danmark er det Datatilsynet, der holder øje med om reglerne følges, men der er også et centralt databeskyttelsesråd i EU, der udarbejder retningslinjer og træffer beslutninger om fortolkninger.
Har I de kompetencer, der kræves?
Det har været en lang og kompliceret proces at producere loven, og det første udkast kom i 2012. Det er vigtigt at bemærke, at det vil tage tid, før der er en retspraksis at følge - dvs. hvordan loven fortolkes. Indtil da er det vigtigt at følge udviklingen, for at sikre sig og finde ud af, hvad der er relevant. Datatilsynets og juristernes råd er at kontakte eksperter, at have en aktiv tilgang til sikkerhedsspørgsmålet og at uddanne sig selv.
Du kan lære mere om EU persondataforordningen på følgende kurser:
Persondataforordningen - kend reglerne
7-timers kursus som gennemgår alle reglerne i persondataforordningen, med særlig fokus på de nyskabelser, som forordningen medfører, for alle virksomheder og offentlige myndigheder.
Uddannelse i Persondatabeskyttelse – fra juridiske krav til praktisk implementering
5-dages kursus der giver grundig indsigt i de juridiske krav, samt ruster dig til at agere som intern rådgiver eller Data Protection Officer (DPO).
GDPR certificering
Certificerede virksomheder eller organisationer kan bruge et segl kaldet: "European Data Protection Seal", der kan bruges i kommerciel kommunikation. Certificeringen udføres af akkrediterede tilsynsmyndigheder, og gælder i tre år, men kan trækkes tilbage, hvis virksomheden ikke overholder reglerne.