11 antagelser om GDPR, som er (delvist) forkerte

GDPR-ekspert opklarer misforståelser vedrørende de nye regler for persondata.

Jan Sandtrø partner DLA Piper, GDPR-ekspert

Sludder og vrøvl om GDPR: Advokat Jan Sandtrø fra DLA Piper gør op med misforståelser om EU's nye persondataforordning, GDPR. Foto: DLA Piper

GDPR-ekspert og advokat Jan Sandtrø fra DLA Piper retter misforståelser og delvist forkerte antagelser om EU's nye persondataforordning, GDPR.

Forkortelsen GDPR er ved at blive den mest kendte i det danske sprog, og det er ikke uden grund, for fristen for, at alle virksomheder skal overholde EU's nye persondataforordning (General Data Protection Regulation, deraf forkortelsen), nærmer sig med hastige skridt. Men det er ikke alt, som bliver sagt og hævdet om den nye lovgivning, der er helt i overensstemmelse med sandheden. Her er nogle antagelser, som bør give anledning til revurdering:

1. GDPR og de nye regler gælder ikke for os

Det er helt forkert. Nogle virksomheder mener, at de ikke behandler personoplysninger, men alle firmaer behandler persondata på den ene eller den anden måde, hvad enten det er i form af personaleregistre, kunderegistre eller i anden form. De nye regler gælder for alle virksomheder, og alle virksomheder bliver nødt til at gennemgå, hvilke personoplysninger de behandler, vurdere, om behandlingen er i overensstemmelse med de nye regler, rette op på regelbrud, udarbejde dokumentation, der viser, at reglerne bliver fulgt osv. Hvor meget arbejde der vil være forbundet med at tage stilling til og gennemføre tiltag for at være i overensstemmelse med reglerne, afhænger af omfanget af behandling af personoplysninger, hvilke typer af oplysninger der behandles med videre.

2. Vi bliver alligevel aldrig klar til den 25. maj 2018, så vi kan lige så godt vente

Reglerne gælder fra den 25. maj 2018, og der bliver ikke gjort nogen undtagelser efter denne dato. Herefter kan virksomheder blive pålagt at rette op på mangler og/eller få bøder for ikke at følge reglerne. Selvom man ikke kan nå at blive klar til tiden, bør arbejdet med at få gjort virksomheden klar til de nye regler påbegyndes så hurtigt som muligt. Er man ikke helt klar til den 25. maj, vil der alligevel være mindre at skulle rette op på, hvis det skulle blive afsløret af tilsynsmyndighederne, at man ikke lever op til lovgivningen. Det vil også kunne få betydning for eventuelle bøder, at man end ikke har forsøgt at leve op til reglerne. Det ser en del bedre ud, at man har gjort et ærligt forsøg og bare ikke er kommet helt i mål. Ikke for at stresse jer, men der er ikke så mange arbejdsdage tilbage ...

3. Vi kommer aldrig helt til at leve op til reglerne, så vi kan lige så godt lade være med at foretage os noget

Som nævnt under punkt 2 vil der altid være en risiko for, at man ikke lever hundrede procent op til reglerne, men at have foretaget sig ingenting i modsætning til i det mindste at have forsøgt at overholde loven vil få stor betydning for de bøder, man vil blive pålagt, hvis Datatilsynet opdager, at man ikke følger reglerne. I givet fald kan en virksomhed få pålæg om at få bragt orden i sagerne, og så er det bedre at skulle nøjes med at udbedre et begrænset antal overtrædelser end at skulle gennemføre det komplette projekt inden for den frist, man vil blive givet.

4. GDPR har med it-systemerne at gøre, og derfor bør det være it-chefens ansvar

Den nye persondataforordning påvirker hele virksomheden, ikke bare it-systemerne. It-systemerne er godt nok det sted, hvor persondata behandles, men beslutningerne om, hvilke personoplysninger der skal behandles, og hvordan det skal ske, træffes typisk af andre mennesker andetsteds i organisationen. Kravene i den nye lovgivning omfatter hele virksomheden, og det er den daglige leder/administrerende direktør/koncernchefen, som har ansvaret for behandlingen af personoplysninger. Ansvaret for at gennemføre et projekt i relation til GDPR bør derfor ligge hos virksomhedens ledelse, mens andre kan have ansvaret for den praktiske gennemførelse.

5. Det er et kæmpearbejde og et alt for overvældende projekt at blive klar til GDPR

For enkelte virksomheder, som behandler personoplysninger i meget stort omfang – eller specielt følsomme oplysninger – kræves der et omfangsrigt stykke arbejde for at leve op til de nye regler, men for langt de fleste virksomheder er det en overskuelig opgave, der kan gennemføres på relativt kort tid (forudsat at man har de rette ressourcer til rådighed og har en metodisk tilgang til projektet). Det handler om at kortlægge, hvilke persondata der behandles, vurdere, om behandlingen er i overensstemmelse med reglerne, rette op på afvigelser fra retningslinjerne og udarbejde dokumentation, der beskriver behandlingen og andre tiltag og krav, som følger af lovgivningen. Et projekt kan gennemføres på en til tre måneder, afhængigt af hvor meget af stoffet virksomheden allerede har styr på, de interne og eksterne ressourcer, hvor mange og hvordan personoplysninger behandles i virksomheden osv.

6. Vi har ikke brug for juridisk rådgivning for at blive klar til GDPR

Dette kan være rigtigt, hvis man kun behandler persondata i et meget begrænset omfang og samtidig har en tilstrækkeligt god ekspertise internt i virksomheden. Men for de fleste virksomheder vil der som regel opstå spørgsmål i relation til, om behandlingen af persondata er i overensstemmelse med persondataforordningen eller ej. I den forbindelse er der brug for juridiske vurderinger og dokumentation, og så er det en fordel, hvis vurderingerne er foretaget af fagfolk. Det kan senere blive afgørende for en vurdering af, om virksomheden har gjort tilstrækkeligt for at leve op til reglerne. Som regel vil folk med viden og erfaring inden for GDPR også have værktøj, skabeloner og viden, der gør, at projektet skrider hurtigere og mere effektivt frem (og når frem til de rigtige resultater).

7. Vi kan blive klar til GDPR og de nye regler udelukkende ved hjælp af vores interne ressourcer

Som nævnt ovenfor kan man godt klare sig uden ekstern juridisk bistand, men det gælder kun for et fåtal af virksomheder, som selv har den nødvendige interne kompetence. Med eksperter, der har erfaring med gennemførelse af GDPR-projekter og kender til de rigtige værktøjer og procedurer, vil projektet gå hurtigere, og man risikerer ikke, at der er områder, som er blevet overset og derfor fører til overtrædelse af reglerne.

8. Vi har ikke tid eller ressourcer til at gennemføre et sådant projekt, så vi benytter os udelukkende af eksterne konsulenter for at få styr på tingene

De tiltag, som skal gennemføres for at følge de nye regler, må til en vis grad varetages af folk, som kender virksomheden. Det kan under normale omstændigheder ikke lade sig gøre at gennemføre et GDPR-projekt udelukkende ved hjælp af eksterne konsulenter. For at nå i mål vil et normalt GDPR-projekt kræve en arbejdsindsats fra interne ressourcer på 70-80 % med 20-30 % bistand fra eksterne rådgivere.

9. Der findes it-systemer, som kan gøre os klar til GDPR

For at blive klar til den nye persondataforordning er det nødvendigt at gennemgå, hvilke personoplysninger der behandles i virksomheden, vurdere, om denne behandling er i overensstemmelse med reglerne, rette op på afvigelser fra retningslinjerne og udarbejde dokumentation, der beskriver behandlingen osv. Software og it-systemer kan fungere som værktøj, der kan understøtte visse af disse opgaver – specielt i virksomheder, der behandler personoplysninger i stort omfang, men software og it-systemer i sig selv er ikke tilstrækkeligt, hvis virksomheden skal blive klar til GDPR.

10. Brud på reglerne vil give kæmpebøder

Den nye lovgivning åbner op for endog meget høje maksimalbeløb på bøder (eller administrative gebyrer, som de kaldes). Helt op til 20 millioner euro eller 4 procent af virksomhedens globale årlige omsætning kan det komme til at koste at bryde reglerne. Det er imidlertid meget usandsynligt, at bøder i Danmark vil komme op på dette niveau. Dette bør dog ikke være en sovepude i forhold til at få gennemført de nødvendige tiltag for at blive klar til GDPR, inden lovgivningen træder i kraft.

11. Vi kan glemme GDPR, når vi er færdige med projektet

At overholde reglerne er ikke en engangsforestilling, men en vedvarende opgave, der aldrig hører op. Hvis virksomheden ændrer den måde, hvorpå man håndterer persondata, eller begynder at behandle nye typer af oplysninger – eller hvis man opdager brud på reglerne – skal dokumentionen og procedurer ændres tilsvarende. Derfor er man nødt til at have en arbejdsgang, der sikrer, at virksomheden kontinuerligt overholder reglerne. Dette gælder også efter den 25. maj 2018.

Jan Sandtrø er advokat og partner i DLA Piper. De 11 gode råd blev først publiceret på hans LinkedIn-profil. Her kan du finde flere gode artikler vedrørende lovgivning og behandling af persondata.