GDPR: At få styr på fakta

Der har været masser af diskussion om EU databeskyttelsesforordningen (GDPR) over det sidste år og – selvfølgelig – har nogle kommentarer været misvisende eller simplethen forkerte.

Nogle af disse misforståelser er blevet samlet i en blogserie offentliggjort af informationskommissærens kontor (ICO). Det afklarer hvad GDPR ikke vil føre til:

Kæmpe bøder

GDPR giver overvågende myndigheder magten til at udstede bøder på op til 20 millioner € eller 4% af den årlige globale omsætning – hvad end der er større.

Denne kendsgerning er blevet brugt til at fremhæve, hvor vigtigt det er at overholde GDPR. For eksempel påstod The Register, at hvis GDPR havde været i kraft sidste år, så ville bøder udskrevet til små og mellemstore virksomheder have haft en katastrofal virkning og potentielt lukket mange af dem.

Dog siger Elizabeth Denham, som leder ICO, at finansielle straffe kun gives i de yderste nødstilfælde. Det vil næsten med sikkerhed være tilfældet for størstedelen af de overvågende myndigheder, for selvom GDPR stiler efter at gøre organisationer mere ansvarlige for at håndtere personoplysninger, kan et budskab i de fleste tilfælde formidles lige så godt med advarsler, korrigerende påbud og skade på omdømmet.

Det betyder ikke, at organisationer ikke behøver at bekymre sig om at få bøder. Der er ingen tvivl om, at alle overvågende myndigheder vil være villig til at udskrive store bøder til grove brud på GDPR.

Et hovedeftersyn af databeskyttelsespraktikker

Nogle af de mere overdrevne kommentarer om GDPR antyder, at organisationer vil være væsentligt indskrænkede i, hvad de kan gøre. Se for eksempel the Suns artikel om, at nogle ”[b]yggearbejdere, rengøringsfolk og gartnere kan stå overfor kæmpe bøder bare for at sende en E-MAIL”.

I virkeligheden er størstedelen af GDPRs krav lig med nuværende databeskyttelseslove. Den eneste ting, der har forandret sig, er at organisationer er nødt til at lægge mere vægt på databeskyttelse og give individer større kontrol med deres oplysninger. Organisationer vil helt klart have lov til at sende e-mails (og næsten alt andet, som p.t. er tilladt), men de får brug for et retsgyldig grund til at sende e-mailen og beskytte hvilken som helst information, som de opbevarer om modtagerne og tillade de berørte parter at få adgang til den information.

Obligatorisk samtykke

Mange mennesker vi snakker med er bekymrede om at opnå samtykke, så vi forklarer, at organisationer ikke behøver at være afhængige af samtykke for at bearbejde data.

Samtykke er en af seks retsgyldige grunde for at samle persondata, men er mindst at foretrække som option. Hvis du har brugt samtykke til at indhente data og så ønsker at genbruge denne information til et andet formal, så er du nødt til at spørge alle om samtykke igen. Alle som nægter at give samtykke eller ikke svarer, skal fjernes fra dine optegnelser.

På lignende vis står det individer frit for at tilbagetrække deres samtykke til enhver tid. Det betyder at du skal fjerne dem fra dine optegnelser, og hvis du ikke gør det, så risikerer din organisation disciplinære tiltag fra den relevante overvågende myndighed.

Dog er der tidspunkter, hvor samtykke er det mest passende grundlag, så du har behov for at være klar over dine pligter.

Urealistiske krav om underretning af brud på datasikker­heden

Der har været masser af forvirring om reglerne for at melde brud på datasikkerheden. Som ICO bemærker, har rigeligt mange kommentatorer ukorrekt påstået, at alle brud skal meldes og at meldingerne skal give dybdegående detaljer om bruddet.

Det vil kun være obligatorisk at melde brud på persondatasikkerheden, hvis det sandsynligvis vil resultere i en risiko for menneskers rettigheder og friheder. Det dækker over signifikante økonomiske eller sociale ulemper, såsom discrimination, skade på omdømmet eller finansielt tab.

Organisationer skal huske på, at hvis der er en høj risiko for menneskers rettigheder og friheder, så skal de også melde bruddet til de berørte individer.

Ethvert brud, som falder ind under disse bestemmelser, skal meldes indenfor 72 timer efter opdagelse. Det er derfor at meldingen ikke behøver at inkludere dybdegående detaljer – i det mindste ikke til at begynde med. GDPR forstår, at organisationer ikke har alle fakta inden den deadline, men at få afklaret de grundliggende fakta hurtigt fremskynder processen til komme sig.

Indenfor deadlinen bør organisationer som det mindste være i stand til at benævne den potentielle målsætning og årsag til bruddet og de tiltag, den planlægger for at reagere på og mindske problemet.

Lær mere om GDPR

For at finde ud af mere om, hvordan du kan forberede dig på forordningen, bør du indskrive dig på et af vores GDPR kurser. Afhængigt af dit faglige niveau kan du være interesseret i ét af disse to:

Certificeret EU databeskyttelsesforordning grundlag (GDPR) kursus

Certificeret EU databeskyttelsesforordning udøver (GDPR) kursus

Disse kurser kan fåes både i klasselokale- og fjernundervisningsformat.

Book disse kurser sammen i vores kombinationskursus og spar 15%.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.