Individuelle rettigheder - og dine forpligtelser - når den nye generelle databeskyttelsesforordning træder i kraft

Ny databeskyttelsesforordning fokuserer på individuelle rettigheder

Personer, hvis personoplysninger registreres og behandles, har udvidede, styrkede og specificerede rettigheder under den nye generelle databeskyttelsesforordning (GDPR) sammenlignet med den gamle persondatalov (PUL). Med den nye behandling af personlige data betyder enhver brug af disse data. Den enkeltes rettigheder er som følger:

1. Ret til information - Den person, hvis personlige data er registreret, har ret til at modtage et uddrag af dem og information om, hvornår hans eller hendes personlige data behandles, hvis det ønskes.
2. Ret til berigtigelse - Retten til at få unøjagtige data rettet og/eller suppleret.
3. Ret til sletning ("retten til at blive glemt") - oplysningerne skal slettes efter anmodning fra den registrerede.
4. Ret til begrænsning af behandling - Muligheden for at kræve (i visse tilfælde), at behandlingen af persondata begrænses, dvs. at de kun behandles til visse begrænsede formål.
5. Dataportabilitet - Muligheden for (i nogle tilfælde) at overføre personlige data, f.eks. fra en social medietjeneste til en anden.
6. Ret til ind sigelse - Retten til at gøre indsigelse (i visse tilfælde) mod behandlingen af ens personlige data.
7. Automatiseret beslutningstagning - Retten til ikke at være genstand for en beslutning, der udelukkende er baseret på en eller anden form for automatiseret beslutningstagning, hvis beslutningen sandsynligvis vil få retsvirkninger (eller tilsvarende).
8. Klager - Enhver, hvis personlige data behandles, kan indsende en klage til Datatilsynet, som derefter vurderer, om der skal iværksættes tilsyn.
9. Skadeserstatning - En person, der har lidt skade som følge af behandlingen af deres personoplysninger i strid med databeskyttelsesdirektivet, kan være berettiget til skadeserstatning.

Overholdelse af den nye persondataforordning kræver klar kortlægning af personlige data

En forudsætning for, at du og din virksomhed kan opfylde alle disse forpligtelser, er først og fremmest, at du har indsigt i den aktuelle tilstand af behandlingen af personoplysninger. Hvis du f.eks. ikke ved, hvor eller hvilke personoplysninger der behandles, kan du ikke slette eller ændre dem efter anmodning.

En kortlægning af data bør omfatte, hvilke data der findes, hvilke systemer de indtastes i, og hvilke tredjeparter de deles med. Derudover skal alle de processer, der er involveret i håndteringen af data, også kortlægges - hele vejen fra indsamlingen af data til det punkt, hvor kunden ikke længere er din kunde.

Hvor søgbare er dine personlige data?

Det største (og ofte første) problem, som mange mennesker støder på i denne fase, er vanskeligheden ved at søge efter og identificere de personlige data, der er gemt. Det kan skyldes, at de dokumenter og filer, der indeholder persondata, er gemt på en sådan måde, at de ikke er søgbare - på USB-sticks, lokalt på skrivebordet på en eller andens computer, eksterne harddiske osv. Eller de systemer, hvor dataene er gemt, giver ikke tilstrækkelige søgemuligheder. Systemerne skal være struktureret på en sådan måde, at de opfylder kravene i GDPR - det, der er kendt som Privatliv gennem design.

Ny forordning om databeskyttelse - ikke en Y2K-fejl?

Når personoplysningerne er blevet kortlagt, ligger problemerne ofte i udformningen af procedurer og processer i tilfælde, hvor en registreret gør indsigelse mod brugen af deres personoplysninger, ønsker at blive glemt eller at modtage uddrag osv. Problemet her er således, hvordan man implementerer det i praksis.

At det er en jungle at finde ud af, hvordan processerne skal implementeres, er kun fornavnet. Her ser det meget forskelligt ud fra virksomhed til virksomhed i forhold til, hvor langt de er kommet i arbejdet med at forberede sig på GDPR. Det afhænger igen ofte af, om man tager konsekvenserne af indførelsen af databeskyttelsesforordningen alvorligt eller ej. Nogle tror stadig, at det er en slags "millennium bug" - en dommedagsprofeti, der aldrig vil blive til virkelighed. Men sandheden er, at GDPR vil være en større forandring, end de fleste er klar over. EU har krævet lovændringer i medlemslandene, hvilket betyder, at omkring 100 svenske love skal omskrives til fordel for databeskyttelsesdirektivet.

Brug af hjælp udefra

Kortlægning og implementering er ikke ligetil, og meget få virksomheder har eksperter med indgående kendskab til den nye GDPR i deres stab, som kan sikre, at ingen del af arbejdet bliver overset. Derfor er uddannelse selvfølgelig en god start til at skabe et overblik over, hvad der kræves for at overholde GDPR.

Det næste skridt kunne være at diskutere den nuværende situation i detaljer med en ekstern part for at finde ud af, hvad der skal gøres - for eksempel en workshop. En sådan workshop bør resultere i en rapport eller tjekliste, der tydeligt viser, hvilke dele der i øjeblikket fungerer i overensstemmelse med GDPR, og hvad der mangler at blive gjort for at overholde forordningen fuldt ud. Den bør også angive, i hvilken rækkefølge arbejdet med at få de resterende dele på plads skal udføres, og foreslå, hvilke løsninger der er tilgængelige.

Mange leverandører, der hævder at kunne hjælpe med GDPR, tilbyder ikke konkrete løsninger. I stedet er det ofte et spørgsmål om at få dig og dine kolleger til at forstå omfanget af arbejdet. Hvis du henter hjælp udefra, skal du derfor sørge for, at løsningerne er praktiske og ikke bare rådgivende. Find for eksempel ud af, om din leverandør kan tilbyde nogen form for tekniske løsninger, der kan integreres med den it-platform, du allerede bruger. Sørg for, at løsningerne er klart pakkede og skalerbare - betal ikke for mere, end du rent faktisk har brug for. Sørg også for, at din leverandør tydeligt kan vise, hvad det forventede resultat af et samarbejde vil være.