Kæmpebøder på vej for brud på persondatalov
Om rundt regnet halvandet år, 25. maj 2018, skal danske virksomheder have styr på de nye EU-regler for behandling af personoplysninger.
Persondataloven bliver erstattet af databeskyttelsesforordningen. Ellers vanker der voldsomme bøder fra EU.
Virksomheder risikerer at få en bøde der svarer til 4 procent af virksomhedens omsætning, dog højst 20 mio. euro, eller hvad der svarer til 150 mio. kr.
- Målet med lovgivningen er at modernisere den eksisterende lovgivning, der efterhånden har 20 år på bagen, så virksomheder bliver bedre til at beskytte og registrere persondata, siger Henning Mortensen, chefkonsulent i DI, og manden bag DI’s omfattende vejledning om EU’s nye persondataforordning.
Henning Mortensen fortæller, at mange B2B-virksomheder også vil have personoplysninger flettet ind i de fleste kundedata, ligesom HR eller administrationsafdelingen dagligt vil behandle personoplysninger på medarbejdere.
Tre afgørende skridt
I dag har mange virksomheder slet ikke et overblik over hvilke typer af data, der bevæger sig rundt i virksomheden.
Nogle data er strukturerede, eksempelvis et CRM-system eller lønadministration, mens andre er ustrukturerede og sendes frem og tilbage i mails.
Derfor anbefaler Henning Mortensen en tretrinsraket for at komme i gang med at tilpasse virksomheden til den nye persondataforordning.
- Det er et kompliceret regelværk, som kræver en del rugbrødsarbejde for at efterleve lovgivningen. Først skal I undersøge, hvilke personoplysninger virksomheden har, derefter skal I undersøge, hvordan I behandler data, og hvordan data flyder rundt i virksomheden, og til sidst skal der etableres en dokumentation for, hvordan I behandler persondata, siger Henning Mortensen.
Men den nye lovgivning giver ikke kun besvær og koster penge.
- Mange vil formentlig kunne optimere forretningsgange eller udvikle nye forretningsområder, når de får et bedre overblik over virksomhedens data. Ofte gemmer der sig en masse nyttig og overraskende viden i de data, som flyder på tværs af virksomheden, siger Henning Mortensen.
Samtidig vil virksomheder heller ikke have anmeldelsespligt til Datatilsynet, hvilket også vil lette den administrative byrde for mange virksomheder.
DI vejleder
DI har udarbejdet en omfattende vejledning til den nye forordning, som træder i kraft 25. maj 2018, som blandt også inkluderer en tjekliste, som små og mellemstore virksomheder kan bruge, når de skal kortlægge behovet for ændringer i forhold til den nye persondataforordning.
- Det er meget individuelt, hvad hver enkelt virksomhed har brug for at ændre for at leve op til reglerne. Nogle vil have behov for juridisk rådgivning, mens andre har behov for IT-teknisk rådgivning for at skabe compliance mellem virksomhedens dataflow og forordningen, siger Henning Mortensen.