Warning: "continue" targeting switch is equivalent to "break". Did you mean to use "continue 2"? in /var/www/eqs.dk/gdpr/wp-content/themes/Divi/includes/builder/functions.php on line 5753
Ny databeskyttelseslov - EQS GDPR

Kan du nikke genkendende til denne sætning? Så er du ikke den eneste. Rigtig mange virksomhedsejere er af den overbevisning, at de nye GDPR regler ikke gælder for dem.

GDPR, EU’s databeskyttelsesforordning, persondataloven, ja, kært barn har mange navne, men hvad der er fælles er, at den kommer til Danmark d. 25. maj 2018 og den erstatter den nuværende persondatalov.

Som konsulent og rådgiver i netop denne nye lov, oplever jeg tit at virksomhedsejere siger “ja, jeg har hørt om de nye regler, men de gælder ikke for mig”, derfor vil jeg med denne artikel forsøge at komme lidt ind på, hvorfor og hvordan den finder anvendelse i lige præcis din virksomhed.

Først og fremmest er det store overordnede spørgsmål: Indsamler, registrerer og behandler din virksomhed oplysninger om fysiske personer? Her er der tale om alle typer af oplysninger, både almindelige og følsomme. Personoplysninger er alle typer af oplysninger der kan henføre til en fysisk person, det betyder altså, at behandler du oplysninger omkring dine medarbejdere eller kunder – hvilket alle virksomheder gør – ja, så er du også omfattet af de nye regler. De oplysninger du indhenter i virksomheden gør, at du har ansvaret for, at behandlingen af disse persondata overholden loven.

Dit ansvar som dataansvarlig

Som dataansvarlig skal du sørge for, at gennemføre de rette tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre, og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Noget af det nye, at du som virksomhedsejer skal være obs på, er det skærpede krav til dokumentation. Nogle virksomheder kan frasige sig kravet til dokumentation om fortegnelse, men det er langt fra alle. Du skal føre fortegnelse over dine behandlingsaktiviteter i virksomheden, hvis du kan sige ja til ét eller flere af følgende:

  • Virksomheden beskæftiger mere end 250 medarbejdere
  • Behandlingen du foretager, vil sandsynligvis medføre en risiko for de registreredes rettigheder eller frihedsrettigheder
  • Behandlingen er ikke lejlighedsvis
  • Behandlingen omfatter særlige kategorier af oplysninger (følsomme oplysninger)
  • Behandlingen omfatter personoplysninger vedrørende straffedomme og lovovertrædelser

Hvad betyder behandling egentlig?

Kort sagt ALT! Under begrebet “behandling”, indgår følgende aktiviteter: Indsamling, opbevaring, søgning, begrænsning, registrering, tilpasning, brug, tilintetgørelse, organisering, ændring, videregivelse, samkøring/sammenstilling, systematisering, genfinding og sletning. Med det foregående i betragtning, kan jeg ikke forestille mig en virksomhed, som ikke vil være omfattet af GDPR. Men lad mig endelig høre fra dig, hvis lige præcis du har en virksomhed som ikke er omfattet.

Lisa Gervin, chefkonsulent i GDPR