Weekly News

Håndtering af persondata

Med den nye persondataforordning skal virksomheder overveje håndtering og brug af personoplysninger en ekstra gang.

Det er ikke tilladt for virksomhederne at anvende oplysningerne til andre formål end dem, de oprindeligt var indsamlet til.

Selvom Danmark har haft en persondatalov siden 2000, er det først med EU’s nye persondataforordning, at virksomheders håndtering af persondata har fået så stor opmærksomhed, som det er tilfældet i dag. Og virksomheder må gå ud fra, at det ikke kun er dem selv, der suger viden til sig i øjeblikket.

– Som virksomhed skal du være forberedt på, at forbrugere vil stille spørgsmål til, hvilke oplysninger du har liggende, og hvordan du behandler dem. Det er en rettighed, forbrugeren har, og det skal du kunne svare på som virksomhed, siger Martin Jørgensen, advokat og chefkonsulent i Dansk Erhverv.

Udover at følge den nye lovgivning anbefaler han virksomhederne at se håndtering af persondata som en af mange tillidsbårne kontaktflader mellem virksomhed og kunde.

– Kunder vil ikke købe varer hos virksomheder, de ikke har tillid til. Vi er et tillidsfuldt folkefærd, og som regel er det ikke nødvendigt med alenlange kontrakter, der tager højde for alt, når man indgår aftale med en erhvervsdrivende. Det er ikke anderledes, når det handler om behandling af persondata. Kunderne skal have tillid til, at virksomheden, de afgiver deres personoplysninger til, kun gør det med dem, som de har sagt, de vil, og at de i øvrigt passer godt på dem, siger Martin Jørgensen.

Han mener generelt ikke, at der er problemer med virksomheders opbevaring af kunders persondata i dag, men med de krav, der stilles fra 25. maj, kræver det en ekstra indsats af virksomhederne at overholde lovgivningen, da det fremover ikke kun er tilstrækkeligt at efterleve regler. Virksomhederne skal i højere grad også kunne dokumentere efterlevelsen, bl.a. gennem udarbejdelse af fortegnelser over virksomhedens behandlingsaktiviteter.

Kravet om løbende tjek og sletning af opbevarede personoplysninger er nyt for mange virksomheder, der må ændre adfærd i deres omgang med disse data.

Persondataforordningen stiller krav til, at virksomhederne skal begrænse deres behandling af personoplysninger f.eks. således, at de udelukkende indsamler de oplysninger, der er nødvendige for at opfylde aftalen med kunden, og ikke beder om flere oplysninger.

– Herudover skal de på samme måde som de er opmærksomme på, hvad de bruger forretningskritiske informationer til, hele tiden vurdere, hvad kunders personoplysninger anvendes til. Det er nemlig ikke tilladt for virksomhederne at anvende oplysningerne til andre formål end dem, de oprindeligt var indsamlet til, siger Martin Jørgensen.

Udover at virksomhederne ikke må høste flere data, end de har brug for, kræver den nye persondataforordning af virksomhederne, at en registreret person skal informeres, når vedkommendes personoplysninger behandles.

Hvis en virksomhed finder oplysninger om en potentiel kunde på LinkedIn og føjer oplysningerne til en liste, skal virksomheden som hovedregel kontakte den potentielle kunde og oplyse, at virksomheden behandler personoplysninger om vedkommende samt hvorfor.

Virksomheden skal også informere den potentielle kunde om vedkommendes rettigheder, bl.a. personens ret til at få indsigt i virksomhedernes behandling af personoplysninger og ret til sletning af oplysninger.

– Denne oplysningspligt for de dataansvarlige i virksomhederne er ret tung at løfte, og undtagelserne til, hvornår man ikke skal gøre det, er ikke mange, siger Martin Jørgensen. 

Fakta

Otte trin i godt persondata-arbejde:

1. Sæt tid og ressourcer af. 2. Afdæk, hvordan I håndterer personoplysninger i dag. 3. Gennemgå jeres aftaler med databehandlere. 4. Dokumentér, hvad I gør. 5. Sørg for tydelig information til de personer, I har registreret. 6. Få styr på jeres samtykker. 7. Få alle medarbejdere med. 8. Beskyt jeres data.

Kilde: Dansk Erhverv Magasinet nr. 1/2017.

Del

Journalist

Peter Klar

Andre artikler