EU’s Persondataforordning træder i kraft 25. maj 2018, men allerede nu bør mange iværksættere forberede sig. Regelsættet stiller nye krav til håndteringen af kundernes personlige oplysninger.
Det er ikke så ligetil at bygge en velfungerende webshop, og nu er det vigtigere end nogensinde at bede om professionel hjælp. For hvis en webshop ikke er opbygget i overensstemmelse med hensigterne i EU’s Persondataforordning, kan det få uoverskuelige konsekvenser for ejeren.
Datatilsynet kan fra slutningen af maj 2018 udstede bøder eller teoretisk begære en webshop lukket, hvis kundernes oplysninger ikke håndteres efter det nye regelsæt.
– Det er utrolig væsentligt, hvordan webshoppen er bygget op, fordi man kan risikere at skulle ændre designet fuldstændig, når man skal efterkomme de nye krav, siger Gagendran Srisurendran. Han er tech-iværksætter, cand.it. har netop gennemgået et kursus som DPO (Data Protection Officer), hvor netop EU’s regelsæt danner basis.
Argumentér for valgene
Det kan f.eks. handle om, hvordan man registrerer kundernes oplysninger, hvor længe man arkiverer dem, og hvordan man kan dokumentere en sletning af disse oplysninger overfor kunden. Ligger kreditoplysninger, navn, personnummer og adresse f.eks. i samme database, eller er oplysningerne placeret i flere databaser med nogle nøgler, der kan parre oplysningerne, når de skal bruges? Hvor længe beholder man kreditkortoplysningerne fra en transaktion? Hvilke procedurer har man, hvis en kunde ringer og beder om at få slettet sine oplysninger? Hvor mange medarbejdere i virksomheden har adgang til kundernes personlige oplysninger?
- Man skal kunne argumentere for de valg, man foretager sig, hvis Datatilsynet henvender sig. Men jeg mener f.eks. ikke, at det er let at argumentere for at fastholde kundernes kreditkortoplysninger i mere end seks måneder, siger Gagendran Srisurendran.
Persondata kan deles op i personhenførbare og personfølsomme oplysninger. De personhenførbare er f.eks navn, adresse, køn, alder, job, kontonummer og cpr.nr, mens de personfølsomme kan være emner som etnisk oprindelse, politiske tilhørsforhold, religion, genetisk data, helbredsmæssige og seksuelle forhold.
Hvor står serveren?
EU’s Dataforordning er til for at sikre personfølsomme og personhenførbare oplysninger både i virksomheder og offentlige institutioner. Men den vedrører kun datahåndtering i EU, så hvis hjemmesidens server står i USA eller Asien, er der ikke så meget at gøre. USA og EU har dog lavet en såkaldt Privacy Shield-aftale i forhold til persondata.
Derfor vil forordningen ikke kunne ændre en tøddel ved den databehandling, vi ser bag mastodonter som Google og Facebook. De kan fortsat arkivere personlige oplysninger i al evighed. Det er dog også værd at huske på, at webudbyderen sagtens kan have kontor i USA – hvis serveren står i Europa, er det EU’s regler, der gælder.
Forordningen berører mange aspekter ved dannelse, opbevaring og sletning af persondata, men det vigtigste for iværksættere er kravet om en øget transparens i håndteringen.
Virksomheden skal til enhver tid kunne forsvare og forklare de persondata, de ligger inde med. Hvis de ikke er nødvendige at ligge inde med, må de som udgangspunkt ikke ligge inde med dem. Det skal være nemt for kunden at se, hvilke oplysninger, firmaet opbevarer. Det skal være nemt for kunden at få disse oplysninger slettet eller ændret på betryggende vis, og sletningen skal kunne dokumenteres. Det springende punkt er naturligvis, hvordan man dokumenterer noget, der ikke eksisterer.
Databehandleraftale
For at det er muligt, skal man indgå en såkaldt databehandleraftale med sin webudbyder. Det er et dokument, hvor databehandlerens (webudbyderen) behandling af personoplysninger på vegne af den dataansvarlige (iværksætteren) beskrives. Det er også en aftale, hvor udbyderen kan garantere, at oplysninger ikke sælges til tredjepart. Men selvom den kommende EU-lovgivning omtaler databehandleraftaler, er det ikke nødvendigvis så ligetil.
- Jeg kontaktede min egen webudbyder, som er en af de store på markedet med millioner af kunder. De anede ikke, hvad en databehandleraftale er. Jeg måtte forklare dem det, siger Gagendran Srisurendran.
Han peger på, at alle med planer om at etablere noget, hvor kunders oplysninger gemmes i databaser, skal tænke sig rigtig godt om, før de går i gang. For hvis designet ikke lever op til kravene i forordningen, kan de risikere at skulle lave det hele om efter maj 2018. Det kan teoretisk ruinere en god forretning, hvis Datatilsynet vælger at gå i aktion.
Det kan også være en rigtig god idé at formulere en databehandlingspolitik samt en beredskabsplan i virksomheden, hvor man nøje argumenterer for håndteringen af og adgangen til data. Hvem har ansvaret for sletninger, hvordan udføres de i praksis og hvilken dokumentation udstedes til kunden?
Samme basale krav i alle virksomheder
Det er klart, at det kan være mere omstændeligt i en virksomhed med 200 ansatte og tusindvis af kunder end en lille enkeltmandsvirksomhed med få hundrede navne og adresser i kartoteket. Men i princippet er de samme basale krav, der gør sig gældende: Persondata skal behandles med diskretion, og de skal slettes, når de ikke er nødvendige mere.
Hvis systemet har været udsat for et hackerangreb eller andre brud på datasikkerheden, skal dette angreb rapporteres til Datatilsynet, inden der er gået 72 timer – ellers vanker en bøde. Egentlig er der mange lighedspunkter med egenkontrollen i fødevarevirksomheder og ansvaret overfor Fødevarestyrelsens kontrollanter. Her er det blot privatlivets fred og ikke folkesundheden, der er i spil.
Gagendran Srisurendran vil gerne hjælpe iværksættere samt etablerede virksomheder med at besvare spørgsmål.
I øjeblikket er han tilknyttet Bering StartUp i VBI Park. Du kan også finde ham på LinkedIn.
Gagendran er opvokset i Danmark og taler flydende dansk.
Vigtige begreber i persondataforordningen:
”Den registrerede”: personen / datasubjektet om hvem der behandles data.
”Dataansvarlig”: en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der alene eller sammen med andre afgør, til
hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
- F.eks. udbyder af vare eller tjenesteydelser , og/eller arbejdsgiver.
- Der kan være flere dataansvarlige.
”Databehandler”: en fysisk eller juridisk person, en offentlig myndighed, eller ethvert andet organ, der behandler personoplysninger på en dataansvarligs vegne.
- F.eks. market research bureau, service provider, outsourcing, hosting, Cloud, inkassobureau mv.
Vigtigt princip for persondatabehandling: Husk løbende at tjekke, om data er korrekt og nødvendigt samt om den fastlagte tidsperiode er udløbet. Indfør skriftligt nedfældede procedurer, som sikrer det. Dokumentationspligten ligger hos den dataansvarlige, dvs. virksomheden, som har informationerne liggende.
(fra Dubex og Delacours undervisningsmateriale til DPO-uddannelsen)