Den enkeltes rettigheder – og dine forpligtelser – når den nye persondataforordning træder i kraft

Den nye persondataforordning stiller helt nye krav til, hvordan vi håndterer persondata. Det handler om, at alle personoplysninger, der behandles af virksomheder, skal behandles med stor integritet, hvilket betyder en stor ændring for alle virksomheder – uanset størrelse. Så hvilke rettigheder håndterer den person, hvis personoplysninger du og din virksomhed håndterer – og hvilke forpligtelser er dine forpligtelser? Her ser vi nærmere på, hvad forordningen siger, og giver også konkrete eksempler på, hvad der skal til, for at den kan overholdes.

Den nye generelle forordning om databeskyttelse fokuserer på enkeltpersoners rettigheder

Personer, hvis personoplysninger registreres og behandles, får udvidede, styrkede og specificerede rettigheder i den nye persondataforordning, GDPR, i forhold til den gamle persondatalov, PUL. Behandling af personoplysninger betyder enhver form for brug af disse data. Den enkeltes rettigheder er som følger:

  1. Ret til oplysninger – Den person, hvis personoplysninger er registreret, har ret til at modtage uddrag af dette og oplysninger om, hvornår vedkommendes personoplysninger behandles, hvis det ønskes.
  2. Ret til berigtigelse – Retten til at få forkerte oplysninger rettet og/eller suppleret.
  3. Retten til sletning ("retten til at blive glemt") – oplysningerne slettes efter anmodning fra den person, hvis data er registreret.
  4. Ret til begrænsning af behandlingen – Muligheden (i nogle tilfælde) for at kræve, at behandlingen af personoplysninger begrænses, dvs. at de kun kan behandles til bestemte definerede formål.
  5. Dataportabilitet – At (i nogle tilfælde) har mulighed for at videregive personoplysninger, for eksempel fra en anden social medietjeneste til en anden.
  6. Ret til at gøre indsigelse - Retten (i nogle tilfælde) til at gøre indsigelse mod behandlingen af ens personoplysninger.
  7. Automatiseret beslutningstagning – Retten til ikke at være underlagt en beslutning, der udelukkende er baseret på en eller anden form for automatiseret beslutningstagning, hvis afgørelsen kan have juridiske konsekvenser (eller tilsvarende).
  8. Klage – Enhver, hvis personoplysninger behandles, kan indgive en klage til den svenske databeskyttelsesmyndighed, som derefter vurderer, om tilsynet skal iværksættes.
  9. Skader – En person, der har lidt skade som følge af behandling af sine personoplysninger i strid med databeskyttelsesdirektivet, kan være berettiget til erstatning.

Overholdelse af den nye persondataforordning kræver en klar kortlægning af personoplysninger

En forudsætning for, at du og din virksomhed kan leve op til alle disse forpligtelser, er i første omgang, at du har indsigt i, hvordan behandlingen af personoplysninger ser ud i øjeblikket. Hvis du ikke ved, hvor eller hvilke personoplysninger der behandles, kan du f.eks. ikke slette eller ændre dem efter anmodning.

En kortlægning af dataene bør omfatte de foreliggende data, de systemer, hvori de indtastes, og hvilke mulige tredjeparter dataene deles med. Derudover skal alle processer vedrørende håndteringen også kortlægges – hele vejen fra indsamlingen af data til det punkt, hvor kunden ikke længere er din kunde.

Sådan kan dine personoplysninger søges

Det største (og ofte første) problem, som mange mennesker støder på på nuværende tidspunkt, er, at det er svært at opsøge og identificere de registrerede personoplysninger. Dette kan skyldes, at de dokumenter og filer, der indeholder personlige data, er gemt på en sådan måde, at de ikke kan søges - på USB-sticks, lokalt på skrivebordet af en persons computer, eksterne harddiske og så videre. Eller at de systemer, hvor dataene opbevares, ikke giver tilstrækkelige søgefunktioner. Systemerne skal struktureres på en sådan måde, at de opfylder kravene i GDPR - det, der kaldes privatliv ved design.

Ny generel databeskyttelsesforordning – ikke en Y2K-fejl

Når personoplysningerne er kortlagt, ligger problemerne ofte i, hvordan rutiner og processer skal udformes i tilfælde, hvor en registreret person gør indsigelse mod brugen af deres personoplysninger, ønsker at blive glemt eller modtage uddrag osv. Problemet her er, hvordan det skal gennemføres i praksis.

Det faktum, at det er en kratskov at finde ud af, hvordan processerne skal implementeres, er kun fornavnet. Her ser det meget anderledes ud fra virksomhed til virksomhed i forhold til, hvor langt du er kommet i forberedelserne til GDPR. Det afhænger til gengæld ofte af, om konsekvenserne af GDPR's implementering tages alvorligt eller ej. Nogle mener stadig, at dette er en slags "millennium bug" - en profeti om undergang, der aldrig vil spille sin rolle. Sandheden er dog, at GDPR vil betyde en større overgang, end de fleste måske forestiller sig. EU har bebudet krav om lovændringer af medlemsstaterne, hvilket betyder, at omkring 100 svenske love skal omskrives til fordel for databeskyttelsesdirektivet.

Få hjælp udefra

Kortlægning og implementering er ikke ligetil, og meget få virksomheder har eksperter med indgående kendskab til den nye persondataforordning i deres medarbejdere, der kan sikre, at ingen dele af arbejdet overses. Derfor er uddannelse naturligvis en god start på at skabe et generelt billede af, hvad der kræves for at overholde databeskyttelsesforordningen.

Næste skridt kan være at drøfte med en ekstern part udtømmende, hvordan den nuværende situation ser ud, for at finde ud af, hvad konkret der skal gøres - f.eks. en workshop. En sådan workshop bør resultere i en rapport eller tjekliste, der tydeligt viser, hvilke dele der i øjeblikket fungerer i overensstemmelse med GDPR, og hvad der er tilbage for forordningen, der skal overholdes fuldt ud. Den bør også angive, i hvilken rækkefølge arbejdet med at få de resterende dele på plads skal finde sted, og komme med forslag til, hvilke løsninger der er tilgængelige.

Mange leverandører, der hævder at tilbyde hjælp i lyset af GDPR, falder på det faktum, at de ikke tilbyder nogen konkrete løsninger. I stedet bliver det ofte et spørgsmål om at få dig og dine kolleger til at forstå, hvor omfattende arbejdet er. Derfor, hvis du får hjælp udefra, skal du sørge for, at løsningerne er praktiske og ikke kun rådgivende hjælp. Find ud af, om din udbyder for eksempel kan tilbyde en form for tekniske løsninger, der kan integreres med den it-platform, du allerede bruger. Sørg for, at løsningerne er klart pakket og skalerbare – betal ikke for mere, end du rent faktisk har brug for. Sørg også for, at din leverandør tydeligt kan vise, hvad det forventede resultat af et samarbejde bliver.

Robert Veberg
Robert Veberg

Teknisk leder - Microsoft Modern Workplace

040-626 75 81robertveberg@wesafe.se

Inspiration og viden direkte til din indbakke

Tilmeld dig vores månedlige inspirationsbrev, der giver dig tip, indsigt og råd om nye måder at arbejde på, processer og sikkerhed på i forbindelse med Microsoft 365, Azure og forskellige værktøjer i Microsofts cloudplatform.

Gratis sikkerhedsanalyse af dit Microsoft 365-miljø

Gratis sikkerhedsanalyse

Få konkrete og praktiske tips til, hvordan du bedre beskytter din organisation

Læs mere og book

Er du interesseret i andre blog artikler fra WeSafe?

Vil du vide, hvordan vi kan hjælpe din virksomhed med at udvikle sig med Microsofts cloudtjenester? Kontakt os, så fortæller vi dig mere!