Den nye persondataforordning er lige på trapperne og får mange til at stille spørgsmålstegn ved deres eget virke. Per 25. maj 2018 skal alle virksomheder være i stand til at leve op til de nye regler, og gør man ikke, kan man stå til at modtage enorme bødesummer sammenlignet med tidligere brud på persondata reglerne. I dette indlæg vil vi gennemgå nogle af de hyppigste spørgsmål omkring Persondataforordningen, som vi er blevet mødt af.

Lad mig starte ud med en lille disclaimer. Undertegnede har ikke nogen juridisk baggrund, og oplysningerne listet nedenfor er hvad jeg som marketingmand har samlet sammen fra diverse kilder, samt ved juridisk rådgivning fra Kreativitet og Kommunikation. Jeg vil dog alligevel råde jer læsere til at konsultere en jurist, hvis I har helt konkrete juridiske spørgsmål vedrørende Persondataforordningen. Nedenstående er derfor en marketingpersons vejledning til at navigere i de nye regler, så du bedre kan forberede dig til maj måned 2018.

Hvem gælder forordningen for?

Med det sagt, så lad os starte med det mest basale, men også det vigtigste først. Forordningen gælder for alle virksomheder i EU, der arbejder med persondata. Definitionen af persondata i den sammenhæng er enhver form for data, der vedrører en person og som direkte eller indirekte kan bruges til at identificere en person. Det kan f.eks. være fotos, IP adresser, indlæg på sociale medier eller blot et navn.  I Danmark vil det altså gælde mere eller mindre alle virksomheder, måske med undtagelse af nogle få.

Skulle du sidde i en virksomhed i et ikke-EU land og læse dette indlæg, så er det stadig muligt, at forordningen også gælder for dig. Det er nemlig ikke virksomhedens virkested, der afgør om forordningen gælder for virksomheden. Den afgørende faktor er, om man behandler eller besidder persondata om EU borgere. Så snart man gør det, gælder Persondataforordningen også for din virksomhed.

Slut med kompliceret samtykke

En af de store hovedfokusområder i den nye Persondataforordning er kravet om utvetydigt samtykke. Det er som sådan ikke noget nyt, at samtykkeerklæringer ikke må udfærdiges på en kompleks og tvetydig måde. Derimod giver det nu flere ressourcer til at håndhæve reglerne og gå efter de virksomheder, der udnytter samtykkeerklæringer til at snyde forbrugerne.

Forordningen kræver som sagt, at samtykkeerklæringer ikke må være tvetydige, men skal være skrevet på en tilgængelig og letforståelig måde, så man ikke er i tvivl om, hvad man accepterer, når man siger ja til at dele sine oplysninger. Det er dermed slut med svært læselige juridiske dokumenter, hvor det er svært at gennemskue hvad man reelt siger ja til. Når en forbruger accepterer at dele sine oplysninger med en virksomhed, skal det derfor være tydeligt, hvad man siger ja til, at ens personlige oplysninger vil blive brugt til.

Derudover, så er kravet om aktivt tilvalg også endnu klarere i den nye forordning. Når det gælder indsamling af oplysninger på EU borgere, skal det altid være et aktivt tilvalg forbrugeren gør sig. Det betyder altså, at det fortsat ikke går, at have boksen med ”ja tak” til nyhedsbreve eller lignende forhåndsafkrydset, dog med en undtagelse hvis det er i forbindelse med salg i fx en e-shop. Forbrugeren skal selv afkrydse boksen, ellers er det også i strid med forordningen. Det er vigtigt at bemærke, da det også betyder, at et aktivt fravalg altså ikke er gældende. I dag ses det fortsat nogle steder, at afkrydsningsboksen allerede er krydset af for forbrugeren, eller at forbrugeren aktivt skal lave et omvendt negativt fravalg – fx afkrydse en boks med ”nej tak” til nyhedsbrev. 

Retten til at blive glemt

Med de nye regler følger også retten til at blive glemt. I bund og grund er dette koncept meget simpelt. En forbruger skal være i stand til at kunne forespørge på hvilke data, der bliver gemt på ham/hende. Den data der i så fald er gemt på personen, skal de kunne vælge at få slettet, så de dermed er blevet glemt. Forbrugeren skal derfor altid være i stand til at kunne kontakte indehaveren af de personlige data og få at vide hvilke data, der er blevet gemt på ham/hende. Herefter skal forbrugeren så yderligere også være i stand til at kunne rette og/eller slette sine data fuldstændig hos indehaveren af dataene.

Skal du have en Data Protection Officer?

Et af de helt store spørgsmål som mange nok også vil sidde med er, om man nu skal have ansat en Data Protection Officer (DPO). Det er desværre ikke et spørgsmål, der er ligetil at svare på. For at du ifølge forordningen skal have en ansat DPO, skal der nemlig være nogle kriterier opfyldt.

Der kan overordnet set være tre situationer, der gør, at du skal have en DPO ansat i din virksomhed: a) hvis du er en offentlig myndighed, så skal du altid have en DPO ansat, b) hvis din kernevirksomhed består i at bearbejde personlig data systematisk og regelmæssigt, eller c) hvis din virksomheds kerneaktivitet består i at behandle særligt følsomme personoplysninger (her forstås som oplysninger om race, etnicitet, politiske holdninger, religion eller filosofiske trosretninger) i stor skala eller hvis det er oplysninger om kriminelle forhold.

Det betyder altså, at det i rigtig mange virksomheders tilfælde slet ikke vil være nødvendigt at have en Data Protection Officer ansat, hvis man ikke kan nikke genkendende til ovenstående vilkår.

Brud på sikkerheden, hvad skal du gøre?

Skulle din virksomhed komme ud for, at jeres godt sikrede data om forbrugerne slipper ud eller på anden måde og ryger i hænderne på nogle uønskede parter, så skal dette brud meldes til de korrekte myndigheder. Denne anmeldelse skal faktisk allerede foregå indenfor 72 timer efter bruddet på dataene opdages.

Udover de korrekte myndigheder, skal anmeldelsen også ske til de berørte personer, hvis bruddet betyder en særlig høj risiko for de fysiske personers rettigheder. Samtidig skal dette også ske uden såkaldt unødig forsinkelse. Begge disse regler vil nok være vurderingssager, men groft sagt betyder det, at særligt følsomme oplysninger går under høj risiko, hvis disse falder i forkerte hænder og dermed skal forbrugerne have besked umiddelbart når omfanget af lækagen står klar.

Det kan blive rigtig dyrt, hvis du ikke er klar

Fra den 25. maj 2018 er forordningen som sagt trådt i kraft. Skulle du som virksomhed herefter ikke være i stand til at følge reglerne under Persondataforordningen, så kan du stå over for nogle meget store bøder. For at være helt præcis, så kan disse være på op til 4% af virksomhedens årlige globale omsætning eller op til 150 millioner kr., hvad end der må være størst. Det er her, hvor de nye regler slår ekstra hårdt sammenlignet med tidligere. Det kan derfor potentielt set komme til at koste virksomhederne rigtig dyrt, hvis man ikke formår at leve op til de nye regler, hvorfor det er vigtigt at få sat sig ind i sagerne så tidligt som muligt, da der muligvis skal foretages nogle strukturelle ændringer for at leve op til dem.

Der er meget at holde styr på

Vi vil derfor også gerne i Mindshare være med til at hjælpe og guide jer igennem de nye regler så godt som muligt. Skulle du derfor have uddybende spørgsmål, er du mere end velkommen til at kontakte din personlige Mindshare kontakt eller tag fat i Digital Director, Steffen Petersen.

Hvis du gerne selv vil dykke ned i reglerne, så kan du finde det vedtagede dokument på dansk her.