det kommer persondataforordningen til at betyde for dig med en mindre eller mellemstor virksomhed

Måske tror du ikke, at persondataforordningen vil betyde noget for din virksomhed, men så kan du tro om igen. Den nye lov, der indføres til næste år, vil nemlig påvirke langt de fleste virksomheder. Også selv om du ikke er en stor international koncern

Hidtil har der ikke alle steder været særlig meget fokus på beskyttelse af persondata, men det er ved at ændre sig nu, hvor loven bliver strammet næste år.

Først og fremmest afskaffer den nye forordning anmeldelsessystemet – og i stedet bliver ansvaret for at opbevare persondata i henhold til loven lagt hos virksomhederne selv under trussel om et anseeligt bødebeløb på op til fire pct. af årsomsætningen.

Visse virksomheder skal desuden have en særlig databeskyttelsesansvarlig person tilknyttet, som skal overvåge dette.

Det er en udbredt misforståelse, at persondataforordningen kun gælder for virksomheder, der har med en stor kundeportefølje at gøre. Det er forkert, fortæller Ulla Jarulf, fra virksomheden Persondatakonsulenten, der har til formål at guide små og mellemstore virksomheder trygt ind i de nye lovrammer.

"Der er en udbredt opfattelse af, at arbejdet med persondatabeskyttelse kun skal ske i virksomheder, som har private kunder og som derfor behandler et stort antal persondata (altså B2C).  Det er ikke korrekt. Langt de fleste virksomheder har HR-afdelinger med aktiviteter, som falder inden for persondatalovens område. Så også B2B-virksomheder skal altså have fokus på overholdelse af reglerne - og derfor starte med at implementere reglerne – ikke kun i HR-sammenhæng, men også vedrørende tildeling af for eksempel prokura og forskellige ’permitter’," fortæller hun.

"Der har hidtil hersket en opfattelse af, at persondata vedrørende privatpersoner ”tilhører” virksomheden, som inden for visse rammer kunne skalte og valte med oplysningerne. Den nye forordning gør klart op med den opfattelse og slår fast med syvtommer søm, at personoplysninger – uanset om det er almindelige eller følsomme – tilhører den registrerede person, og at virksomheden populært sagt kun har oplysningerne ”til låns" og skal "levere dem tilbage", når formålet med at have oplysningerne registreret ikke mere er til stede," understreger Ulla Jarulf.

Hun mener, at det er udtryk for manglende respekt over for både kunder og medarbejdere, når der ikke tages ordentlig vare på personoplysninger, og at god persondatahåndtering kan blive et væsentligt konkurrenceparameter i fremtiden.

"For eksempel kan hacking eller anden misbrug af de registrerede persondata give meget negative konsekvenser for virksomheden i form af brud på tilliden, skade på omdømme og erstatningskrav - bare tænk på fx Nets/Se&Hør, Statens Seruminstitut eller mobilselskabet 3. Så jeg tror absolut på, at god persondatabeskyttelse kan blive et væsentligt konkurrenceparameter," siger hun.

Ulla Jarulf giver 10 gode råd til implementering af Persondataforordningens regler

1. Sæt dig ind i, hvad forordningen betyder for jer eller kontakt en rådgiver 
2. Få overblik over alle persondata ved at lave en datastrømanalyse 
3. Undersøg om de persondata, I har registreret, er nødvendige og ajourførte
4. Vurder om det kun er de medarbejdere, som har et sagligt behov, der behandler personoplysninger 
5. Vær sikker på at I altid sletter persondata, når der ikke mere er et formål med at have dem 
6. Overvej om I kan overholde alle de rettigheder, de registrerede personer har, fx information og indsigt
7. Tjek om I har skriftlige databehandleraftaler med alle eksterne firmaer, der behandler persondata for jer (fx outsourcing af rekruttering, personlighedstests, lønkørsel etc.)
8. Få styr på både den fysiske og elektroniske sikkerhed, også private elektroniske enheder og usb-sticks
9. Skriv en persondatapolitik og indarbejd nødvendige procedurer i organisationen 
10. Tænk ’dokumentation’ i alle aktiviteter for at kunne bevise, at I lever op til forordningen