Fisker IT - GDPR

Persondataforordningen (GDPR)
Som du nok har læst eller hørt, trådte EU’s Persondataforordning i kraft d. 25. maj 2018. Det betyder, at alle virksomheder i Danmark skal leve op til den nye forordnings formuleringer, ellers kan man risikere markante bøder fra Datatilsynet, helt op til 4% af koncern omsætning pr overtrædelse. Persondataforordningen erstattede den gamle Persondatalov, som derved bortfaldt helt ved ikrafttrædelsens dato.

De væsentligste konsekvenser af Persondataforordningen i forhold til Persondataloven er, at de virksomheder, der behandler personoplysninger, har større forpligtelser, der blev indført udvidede rettigheder for de registrerede, og de nationale tilsynsmyndigheder har fået skærpede håndhævelsesmuligheder.

En meget simpel sammenfatning af Persondataforordningen kunne lyde således:
‍Den registrerede accepterer at ”låne” sine persondata ud til den dataansvarlige på baggrund af et til alle tider korrekt oplyst formål, og den dataansvarlige skal kvittere for tilliden ved at passe godt på dataene og ved at kunne dokumentere, at der passes godt på dataene. Den registrerede skal altid kunne trække sit ”lån” af persondata tilbage, og den dataansvarlige skal kunne dokumentere, at dette er sket. Hvis et eller flere af disse punkter ikke overholdes, så vil Datatilsynet kunne udstede markante bøder til den dataansvarlige.

Fundamentet for Persondataforordningen er baseret på nogle grundlæggende principper, der kan opsummeres således:
- Behandlingen af persondata skal være lovlig, retfærdig og gennemsigtig.
- Det skal udtrykkeligt være angivet, hvad behandlingens formål er, formålet skal være legitimt, og behandlingen må aldrig være uforenelig med det angivet formål.
- Personoplysninger skal være både tilstrækkelige og begrænset til det nødvendige i forhold til formålet.
- Personoplysninger skal være korrekte og om nødvendigt up to date.
- Den tid personoplysninger opbevares skal begrænses til det nødvendige.
- Den dataansvarlige er ansvarlig for behandlingen.

Fisker IT den ansvarlige databehandler
Hos Fisker IT er vi vores opgave som IT-leverandør voksen og har gennem længere tid gået i dybden med Persondataforordnings elementer, og hvilke konkrete tiltag der skal til for at være afdækket. Vi har derfor løbende implementeret foranstaltninger i vores services, så de lever op til gældende standarder.
‍
Når I vælger Fisker IT som samarbejdspartner i forbindelse med jeres IT, vil vi helt naturligt udføre forskellige services, hvor vi, ud fra en instruks fra jer, behandler personoplysninger på jeres vegne. Hvilket betyder, at vi sammen indgår i en relation, hvor Fisker IT er databehandler, og I er dataansvarlig. I Persondataforordningen er det et krav at der indgås en databehandleraftale i mellem databehandler og dataansvarlig, og det er ydermere den dataansvarliges (jeres) ansvar at en sådan aftale indgås.
‍
Men en ting er, hvad Fisker IT har implementeret for fortsat at være en seriøs IT-leverandør efter d. 25. maj. Noget andet er, hvad I som virksomhed, skal have på plads for generelt at overholde Persondataforordningen, og hvilken proces I skal igennem for at nå der til. Som den ansvarlige databehandler vil Fisker IT gerne hjælpe jer på vej. Nedenstående er udarbejdet for at motivere denne proces og for at give jer en fornemmelse af omfanget samt et overordnet overblik over, hvor langt I er nået.

At blive compliant afhænger af art og omfang af de personoplysninger som en virksomhed eller offentlig myndighed behandler, samt formål hermed, kan det være en ganske stor opgave at sikre, at reglerne i Forordningen overholdes. Sanktionerne ved manglende overholdelse vil, som sagt, være langt skrappere, end vi har været vant til i Danmark. Hertil kommer den negative offentlige omtale en sådan sag risikerer at føre med sig, samt den mulige påvirkning af den daglige drift, f.eks. fordi det viser sig nødvendigt at ophøre med at behandle bestemte oplysninger, at ophøre med at bruge bestemte databehandlere, da de eksempelvis ikke har en ISAE 3402-erklæringen, eller at foretage ændringer i allerede etablerede sikkerhedsforanstaltninger.

Opgaven med at sikre overholdelse af Persondataforordningen er dermed ikke bare omfattende og vanskelig, den er for mange virksomheder forretningskritisk. Derfor er det Fisker IT's anbefaling, at virksomheder bør gøre følgende:
- Starte compliance processen op så hurtig som muligt.
- Afsætte de fornødne ressourcer til opgaven.
- Sørge for at projektet har ledelsens bevågenhed og opbakning.