Udgivet d. 1. september 2017
EU’s nye forordning for persondata, der træder i kraft 25. maj 2018, er ikke noget at spøge med. Det stod klart for de cirka 25 deltagere, da advokat Karina Lind Bertelsen fra Advodan Glostrup onsdag gennemgik de nye regler på vores netværksmøde.
Vi har alle sammen persondata liggende, og det behøver ikke være følsomme oplysninger. Navn, adresse, telefonnummer eller et foto af en medarbejder – så er vi omfattet af reglerne. Og det gælder lige fra A.P. Møller – Mærsk til enkeltmandsfirmaet. Sjusker vi med, hvordan vi håndterer disse informationer, og Datatilsynet kigger forbi, kan det ende med en bøde på op til 4 % af firmaets årsomsætning.
Hold op med at dele så meget
– Vi skal væk fra dele-kulturen, sagde Karina. Hold op med at dele jobansøgninger med hele HR-afdelingen eller sætte personer cc på en mail, hvis det ikke er relevant. Væn jer til at slette data, også i jeres mailbox, når de ikke mere er relevante. Bed kun om at få tilsendt det materiale, der er nødvendigt for jer. Får I alligevel noget, der er irrelevant, så er det jeres ansvar at få det slettet igen. Og sørg for, at I har processer til at sikre, at data slettes reelt. Ligger de i papirkurven på pc’en, er de ikke slettet.
– Den person, som I har oplysninger om, skal kunne få at vide, hvordan I behandler dem. Lav eventuelt en standardformulering og sæt den på jeres hjemmeside og/eller i jeres mails. Den registrerede har ret til at få indsigt i de data, I har om vedkommende.
Dette her skal du overveje
Karina fremhævede disse overvejelser, du bør gøre, når du indsamler og behandler personoplysninger:
• Er der et saglig formål med behandlingen?
• Er der hjemmel til at behandle oplysningen – hvilken?
• Hvem skal have adgang til oplysningen?
• Hvordan skal oplysningerne overføres til relevante personer?
• Hvor længe skal de gemmes? – sletning?
• Må oplysningen bruges til andre formål?
• Er der tilstrækkelig behandlingssikkerhed?
• Hvordan opfyldes oplysningspligten?
– De ting bør I tage stilling til, ligesom I bør vedtage en politik for, hvordan I behandler data i jeres firma og få den formidlet til kunder og medarbejdere, rådede hun.
Datatilsynet skal være vagthund
I Danmark er det Datastilsynet, som skal holde øje med, at reglerne overholdes. Det er hertil, at personer, som er registreret i et firma, kan klage. Men vi må også forvente, at Tilsynet får en langt mere udfarende rolle end hidtil og kommer på kontrolbesøg.
– Har I været passive i forhold til sikkerheden om persondata, og Datatilsynet kommer på besøg, får I en betydelig højere bøde, end hvis I kan vise, at I har forholdt jer til emnet, for eksempel ved at have en politik for området.
Hun tilføjede, at i personligt ejede virksomheder kommer ejeren selv til at hænge på bødekravet. Så hvis man har et firma, der arbejder med personfølsomme oplysninger, hvor bøderne kan være endnu højere, er det måske værd at overveje at omdanne firmaet til et selskab.
Dette er kun et udpluk af Karinas mange råd og tips. Du kan downloade hendes præsentation.
Mødet om persondata blev holdt hos vores medlem HumanizeR og samlede knap 25 deltagere.