Fra 25. maj i år skal stort set alle virksomheder herhjemme og i det øvrige EU kunne dokumentere, at de overholder alle nye lovkrav til beskyttelse af personlige data.
I modsat fald risikerer den enkelte virksomhed meget alvorlige bøder på helt op til 20 mio. euro eller fire procent af sin årsomsætning, erstatningsansvar og andet.
Konkret medfører den ny databeskyttelseslov en række skrappere krav til virksomheders overblik over og håndtering af kunders, samarbejdspartneres og medarbejderes persondata samt af aftaler m.v. indgået både internt og med it-leverandører.
Omvendt får borgerne en serie nye datarettigheder - som for eksempel at blive glemt og slettet fra virksomhedens it-systemer samt retten til at få sine kundedata med sig.
Jura og it
"Her kun få måneder før lovens ikrafttræden kender tre ud af fire virksomheder - ikke mindst små og mellemstore - dårligt de nye persondataregler, og dét selv om det kan få ret alvorlige konsekvenser for dem ikke at overholde dem," siger Thomas Ringling, partner & creative technologist hos konsulentfirmaet PrivacyTree.
"For den enkelte virksomhed er juraen blot den ene side af sagen. Rent praktisk kan it-delen vise sig betragtelig større, når man først går i gang med at indkredse, hvor firmaets mange, måske personfølsomme data ligger spredt.
Det kan være på interne it-systemer, på måske indtil flere eksterne udbyderes systemer, på gemte og måske glemte USB-stik, på harddiske, fællesdrev, i både digitale og fysiske kartoteker og så videre."
Kun et par måneder før lovens ikrafttræden kender tre ud af fire ikke mindst små og mellemstore virksomheder dårligt de nye persondataregler, og dét selv om de kan få meget alvorlige konsekvenser for dem. |
Han vurderer, at de største udfordringer ved at dykke ned og udrede det mindre eller mellemstore firmas aktuelle datamængde tit kan være overhovedet at finde frem og ind til dem.
"Undertiden kan det godt være svært at indkredse vigtige data, der måske flyder rundt på forskellige harddiske ude i verden. Og det kan give andre og endnu større udfordringer at trække personfølsomme data ud af meget store og meget blandede datamængder," siger Thomas Ringling.
Samtykke
Danske virksomheder skal senest 25. maj have bragt på plads og i orden, hvilke persondata de behandler, hvor deres data kommer fra, hvordan de bliver håndteret, med hvilke formål de behandles, om de måske kræver samtykker fra involverede personer, i hvilket omfang eksterne leverandører eventuelt håndterer data for virksomheden etc..
Fremover skal borgerne nemlig i endnu højere grad end hidtil give deres samtykke til, hvordan firmaer må bruge deres data til bl.a. markedsføring, ligesom de får mulighed for at kræve data om dem slettet samt at blive underrettet, hvis for eksempel et hackerangreb skulle lække dem.
"Den nye lov giver virksomheder pligt til at slette persondata, hvor et samtykke er udløbet. Det kan let blive en ganske tidskrævende opgave for især det lille firma," siger Thomas Ringling, partner & creative technologist hos PrivacyTree. |
"Den ny lov pålægger virksomheder at slette persondata, hvor et samtykke af den ene eller anden grund er udløbet, blevet forældet eller på anden vis uaktuelt. Ikke mindst denne del af de nye lovpligtige krav til persondatabeskyttelse kan let blive en ganske tidskrævende opgave for det lille firma.
En anden nyhed i den kommende lov medfører, at misbrug eller forkert håndtering af kunders persondata ikke kun kan udløse alvorlige strafsanktioner over for den pågældende virksomhed, men bøder og andet kan også sendes videre til firmaets eksterne databehandlere," pointerer Thomas Ringling.
QuickCheck
PrivacyTree har udviklet et QuickCheck skræddersyet til små, mindre og mellemstore virksomheder, som sikrer, at de kan leve op til persondataforordningen på en nem måde.
"Fra 25. maj er det ikke i sig selv nok at leve op til de nye lovkrav - man skal også kunne dokumentere, at man gør det. For mindre virksomheder kan det være det oplagt at få hjælp udefra til at sikre implementeringen af og hermed opnå den nødvendige compliance," siger Thomas Ringling. ●
Læs mere her:
Berlingske Business: Nye regler for persondata
Idag.dk: Nye regler for virksomheders markedsføring
Finans.dk: Nye dataregler rammer snart alle danske virksomheder