Morten Schaumann

Konsulent - IT & Forretning, Compliance, Processer, Teknisk Projektledelse. DPO-uddannet

Kender du EU-databeskyttelsesfordningen (GDPR)?

EU-databeskyttelsesforordningen - også kaldet GDPR (Global Data Protection Regulation) eller blot omtalt som Forordningen.

EU-databeskyttelsesforordningen er en udvidelse af den nuværende persondatalov, som har eksisteret siden 1995, med sanktioner for ikke at overholde den.

Forordningen træder i kraft 25. maj 2018 og indeholder mulighed for bøder på 2% af virksomhedens omsætning eller €10.000.000, hvor det drejer sig om de såkaldte generiske persondata (fx personnummer, bilnummer o.l.) og 4% af virksomhedens omsætning eller €20.000.000, hvor det drejer sig om såkaldte særlige personfølsomme data (fx race, etnicitet, seksuel orientering o.a.) – der vælges altid det højeste beløb af de to muligheder. 

For at gøre det endnu sværere, skal persondatas klassifikation fortolkes ud fra den sammenhæng, de anvendes i, fx kan bestilling af en særlig type mad til julefrokosten bruges til at fortolke bestillerens religiøse tilhørsforhold og vil derfor blive klassificeret som særligt personfølsomme data.

Det skal understreges, at det ikke er ulovligt at ligge inde med personhenførbare data, hvis de anvendes til det formål, de er afgivet til; der er dog særlige krav til opbevaring og kryptering.

Samtidig indføres personens ”Right to be forgotten”, dvs en person kan henvende sig hos en virksomhed, der opbevarer nogle af hans data, og bede om at få disse slettet. Dette skal virksomheden gøre, med mindre der er lovkrav, der går i mod dette – fx krav om opbevaring af skatteoplysninger. Det betyder, at det er kritisk for virksomheden at vide, hvilke data om personen, der opbevares hvor – ellers er det svært at slette dem - kan stille udfordringer til dokumentation og teknologi.

Det kan være en svær størrelse at komme i gang med. Helt overordnet drejer det sig om at være bevidst, om hvilke data man opbevarer, hvorfor man har dem, hvordan man behandler dem på sikker vis og hvad man gør ved dem, den dag de ikke længere er relevante. Det skal understreges, at det drejer sig mere om at have taget stilling, end det drejer sig om teknologiprojekter for teknologiens skyld - med deraf følgende administrative og økonomiske konsekvenser.

Læs mere om schaumann.digital ApS implementerings- og serviceaftaler her på siden.