Har du glemt GDPR lovgivningen?

Min påstand at GDPR lovgivningen er glemt og mage virksomheder fortrænger at GDPR er noget vi alle skal forholdes os til. Ved du om din virksomhed er underlagt GDPR lovgivningen. Se hvem der er underlagt lovgivningen.

GDPR-regler.dk Rene Nørbjerg GDPR konsulent

Skrevet af
Rene Nørbjerg

GDPR Rådgiver

GDPR løsninger

Den glemte GDPR lovgivning

Min påstand at GDPR lovgivningen og EU Personlovgivningen er total glemt med undtagelse af de gange hvor Datatilsynet er i medierne med indstillinger til politiet om udskrivning af bøder.

Når det sker, deles vandene og debatten typisk i to lejre.

Den gruppe, der mener at bødeforlæggene er for store for de private virksomheder og de der mener at bødeforlæggene er for små til de offentlige institutioner og kommunerne.

Den anden gruppe, der mener at bødeforlæggene skal være lige store uanset hvilket ejerforhold, der er for den pågældende virksomhed eller offentlig institution, kommune, region eller ministerium. 

Hvem er det der skal indføre GDPR?

Der er allerede mange myter om GDPR og om hvilke virksomheder der skal indføre GDPR. Når jeg som GDPR og Proces konsulent kommer ud til forskellige virksomheder, er der forskellige tilgange til GDPR-arbejdet og jeg høre ofte følgende udsagn.

  • Det er kun store selskaber med en omsætning på over 10 mio. kr. der skal indføre GDPR.
  • Det er da kun i finanssektoren, de skal indføre GDPR, som en del af hvidvaskningsloven.
  • Ja, det skal vi også have kigget på, men Datatilsynet kommer nok ikke her i år.
  • Der er mange andre i mit netværk, som slet ikke er startet og vi er da lidt i gang, så har jeg hørt at bøden ikke bliver så stor.
  • Vi har styr på det der GDPR, vi gennemførte det i februar 2018.
  • Vi behøver slet ikke GDPR for mine kunder er ligeglade.

Her må jeg så indskyde at det er alle virksomheder med et CVR-nummer, der skal indføre GDPR, og faktisk skulle have haft det på plads i maj 2018. Rent praktisk blev GDPR besluttet i EU i maj 2016, og med 2 års frist til, at få implementeret regelsættet i de enkelte lande samt virksomheder.

Hvordan kommer jeg i gang med GDPR og hvor lang tid tager det?

Kim Jensen, CEO, Lexoforms har tidligere udtalt sig om de 4 største GDPR faldgruber.

Det er et godt sted at starte og på den måde er du i gang med implementering af GDPR i din virksomhed.

Jeg selv brugte Corona-krisen til at udvikle et samlet GDPR online kursus, og har du spørgsmål vedr. procesoptimering samt GDPR er du meget velkommen til, at sende dem til mig, så skal jeg gerne besvare dem. 

Solstrålehistorien er den virksomhed, som jeg hjalp med at implementere GDPR her i foråret under Corona krisen. Virksomheden var startet i januar 2020, og da Corona krisen indtraf i marts 2020 vurderede ejeren, at der ikke ville komme et bedre tidspunkt til at få GDPR arbejdet gennemført, som sagt så gjort.

Den virksomhed kom på plads i løbet af 2 uger, inkl. en plan for kontrol samt opfølgningen, som også er en del af GDPR-arbejdet.

Kontrol og opfølgningen er en væsentlig proces, der skal gennemføres løbende over året, og ikke bare, når Intern Revision eller Datatilsynet har meldt sin ankomst og gerne vil se den interne fortegnelse.

Der sker løbende ændringer på GDPR-området. F.eks. blev cookieområdet opdateret i februar 2020. Dette gjorde at hjemmesider med cookies skulle ændre de valg, du som læser skal have mulighed for at træffe, når du besøger en hjemmeside, fra en tekst, der måske lød ”Hvis du går videre på denne hjemmeacceptere du vores cookies indstilling”. Til i dag, hvor der skal være en oplysning samt et valg, den besøgende på hjemmesiden skal træffe:

For at opfylde informationskravet skal informationen:

  • Skrives i et klart, præcist og letforståeligt sprog eller tilsvarende i letforståeligt billedsprog, fx piktogrammer,
  • Oplyse om formålet med at lagre eller få adgang til oplysninger i brugerens pc, tablet eller smartphone,
  • Identificere hvem, der står bag cookies – oftest hjemmesidens ejer, men det kan også være en 3. part, og
  • Oplyse om, hvordan brugeren samtykker eller afslår brug af cookies.

Brugen af cookies er meget udbredt og kan have en lang række formål, som fx:

  •  Optimere brugerens oplevelse af sitet,
  •  Optimere design på en hjemmeside,
  •  Generere webstatistik eller
  •  Målrette markedsføring til brugere.

Det næste skridt er at sikre, at brugerne giver samtykke til lagring af cookies på deres pc, tablet, smartphone eller lignende.

Et reelt samtykke kan alene gives på baggrund at fyldestgørende information.

Krav til samtykke:

  • Brugeren skal kunne give samtykke eller afslå at give samtykke til lagring af data (Det er ikke et krav, at hjemmesider kan fungere uden brug af cookies eller lignende teknologier).
  • Brugeren skal kunne tilbagekalde et tidligere givet samtykke.
  • Brugeren skal let kunne finde yderligere information om cookies.
  • Samtykket skal være knyttet til det formål, som lagringen af data skal anvendes til at opfylde.

Men det er ikke alle hjemmesider, der er opdateret siden februar 2020 og nogle der er blevet opdateret, er nu ved, at ændre deres cookies indstilling igen.

Hvorfor nu denne ændring?

Jo, marketingsafdelingen kan se, at der ikke kommer så mange leads ud af de besøgende på hjemmesiden, da cookies ikke samles sammen på samme måde, idet de besøgende på hjemmesiderne undlader at give deres accept til, at data må indsamles.

Implementering af GDPR loven og EU Persondataloven i Danmark

Min holdning er at hvis vi i Danmark vil have indført GDPR lov og EU Persondataloven på en optimal måde skal Datatilsynet have hjælp til kontrolopgaven.

Mit forslag er, at der udover de nuværende kontrolbesøg etableres en form for selvangivelse på GDPR-området, dvs. samtlige virksomheder får mulighed for årligt at uploade deres Intern fortegnelse på en lukket side, i samme stil som ved indsendelse af årsregnskaber, her skal data dog ikke kunne læses af andre end Datatilsynet samt den pågældende virksomhed.

På den måde kan der gennemføres en screening på en langt hurtigere samt billigere måde og Datatilsynet kan efterfølgende koncentrere sine fysiske besøg hos de virksomheder, som ikke har uploade dokumentet eller som er kommet ud af screeningen med mangler.

Jeg tror dette vil give implementering af GDPR det nødvendige løft.

For at vende tilbage til udgangspunktet på denne artikel med bødeforlæggene.

Min tilgang til bødeforlæggene er at den samme forseelse bør give det samme bødeforlæg, uanset om det er en privat virksomhed eller en offentlig institution eller kommune. Det bør kun være forseelsen, der definerer bødeforlægget og ikke hvilken type ejerskab, der er af virksomheden, der har lavet forseelsen.

Hvad mener du om størrelsen på bødeforlæggene? Skal de være afhængig af ejerskabet af virksomheden?