Har I styr på persondata?

En bøde på op til 20 mio. Euro eller fire procent af den årlige omsætning, afhængigt af hvad der er højest. Det kan være prisen, hvis en dansk virksomhed ikke inden for et år får styr på de personoplysninger, der med stor sandsynlighed findes i den pågældende virksomhed.

Om mindre end et år – helt præcist d. 25. maj 2018 – træder en ny EU-persondataforordning i kraft i Danmark. Der er tale om en særdeles skrap forordning, som detaljeret foreskriver, hvordan alle virksomheder i EU fremover skal behandle personoplysninger.

Stort set alle virksomheder behandler personoplysninger i et eller andet omfang. Al information om fysiske identificerbare personer som fx billeder og oplysninger om køn, navne og adresser på medarbejdere eller kunder er personoplysninger.

”Den type oplysninger ligger langt de fleste virksomheder inde med. Og der er faktisk tale om et meget omfattende regelsæt, som vil kræve lang tid at implementere i virksomhedernes administrative systemer. Derfor er det en god idé at gå i gang allerede nu,” siger partner og advokat Mikkel Kleis fra Patrade.

Formålet med den nye persondataforordning er bl.a. at styrke de registreredes rettigheder ved at give dem større kontrol over egne data. Og forordningen omfatter både indsamling, opbevaring, brug og videregivelse af personoplysninger.

”En af de store udfordringer er ikke blot at få styr på de persondata, der behandles i virksomhederne. Forordningen kræver også, at den enkelte virksomhed er i stand til at dokumentere, at dens behandling af personoplysninger er lovlig. Og rammen for bødestraf er absolut ikke ubetydelig, da en virksomhed kan få bøder på op til 20 mio. Euro eller fire procent af den årlige koncernomsætning - afhængigt af hvad der er højest,” fortæller Mikkel Kleis, der dog vurderer, at bøder i den størrelsesorden kun vil forekomme i sjældne tilfælde, og at bødeniveauet først vil blive endeligt fastlagt af domstolene, når forordningen er trådt i kraft.

Han anbefaler, at alle virksomheder udarbejder en skriftlig politik, der beskriver, hvordan personoplysninger behandles – herunder hvilke data, der indsamles og behandles, hvordan oplysningerne opbevares, og hvem de deles med. Desuden bør man tage stilling til, om de registrerede personer har givet samtykke, og om de registrerede personer har fået oplysninger om, hvordan deres data behandles.

Men ovenstående er blot nogle af de mest oplagte punkter, og der er mange flere spørgsmål at forholde sig til. Derfor vil det være en god idé at foretage en vurdering af, hvilken del af den nye persondataforordning, der allerede opfyldes, og hvilke dele, der mangler.

”Det er mit råd, at man ret hurtigt skaber sig et overblik over hvilke tiltag, der er nødvendige for at sikre en fremadrettet overholdelse af persondataforordningen. Den forsvinder jo ikke af sig selv, bare fordi man lader stå til, så man kan lige så godt gøre det nu, som senere, hvor det kan være forbundet med en ubehagelig bøde,” fastslår Mikkel Kleis.