GDPR (persondataforordningen) er EUs måde at give enkeltpersoner, kunder, leverandører og ansatte i virksomheder meget mere kontrol over deres personlige oplysninger, og meget mindre magt til de organisationer m.fl., som indsamler og bruger denne type data kommercielt. Persondataforordningen er ikke et forsøg på hverken at stoppe eller besværliggøre handel, men har til hensigt at gøre det langt mere gennemskueligt, hvordan personlige oplysninger opbevares og anvendes. 

Den danske databeskyttelseslov, der som bekendt har taget sit afsæt i EU's persondataforordning, sætter forbrugeren i centrum, og det er alle EU-virksomheders og organisationers opgave at leve op til databeskyttelseslovens bestemmelser.

Persondataforordningens bestemmelser gælder, uanset om databehandlingen sker i EU eller ej. Virksomheder og organisationer, der ikke er etableret i EU er også underlagt GDPR. Hvis en ikke-EU-virksomhed tilbyder varer/ydelser til EU-borgere, er den altså også underlagt GDPR.

Ikke at overholde databeskyttelsesloven/persondataforordningen er en dadelværdig handling, der udløser Datatilsynets vrede. Sanktionen bliver ’et adfærdsregulerende dask i nakken’, i form af bøder, der i princippet kan blive endda særdeles store.

Der er derfor al mulig grund til med største omhyggelighed at iagttage databeskyttelseslovens/persondataforordningens bestemmelser om opbevaring og behandling (og sletning) af personlige oplysninger.

Rigtig mange går rundt med den opfattelse, at GDPR bare er endnu en IT-udfordring for virksomheden. Det kunne ikke være mere forkert!
GDPR har omfattende konsekvenser for hele virksomheden. Ikke mindst i relation til den måde virksomheden håndterer deres markedsførings- og salgsaktiviteter på.

Konsekvenser af GDPR i forbindelse med markedsføring
Kravet om at indhente samtykke er strengt under GDPR, da den enkelte person/kunde skal have ret til at tilbagetrække sit samtykke når som helst. Et samtykke er ikke gyldigt, med mindre der er indhentet separat samtykke for forskellige håndteringsaktiviteter.

Det betyder, at virksomheden skal kunne bevise, at personen/kunden har accepteret f.eks. at modtage nyhedsbreve fra virksomheden.

Dette ændrer en række forhold for virksomheder, såsom håndtering af markedsføringsaktiviteter. Virksomheden er nødt til at gennemgå deres forretningsgange og formularer for at sikre, at de lever op til reglerne for indhentning af samtykke.

Det betyder, at al data, som virksomheden opbevarer, skal have et revideret spor med tidsstempel og detaljeret information om, hvad personen/kunden har givet samtykke til og hvordan.

Hvis en virksomhed køber ’markedsføringlister’, er den stadig ansvarlig for at skaffe den korrekte information om samtykke til at modtage markedsføringsmateriale fra virksomheder og personer på listen.

I henhold til databeskyttelsesloven/persondataforordningen har en person ret til

… først at give samtykke
Virksomheder må ikke behandle personlige oplysninger om en enkeltperson, medmindre personen frivilligt har givet specifikt, informeret og entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

… adgang
Dette betyder, at personer har ret til at få adgang til deres personlige oplysninger og efterfølgende til at få at vide, hvordan virksomheden bruger deres oplysninger. Virksomheden skal udlevere en kopi af de personlige oplysninger. Det skal være gratis og i elektronisk form, hvis en person beder om det.

… at blive glemt
Hvis en person ikke længere er kunde, eller tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige oplysninger, har personen ret til at få sine oplysninger slettet.

… dataoverførsel
En person har ret til at få overført sine oplysninger fra en serviceudbyder til en anden. Og det skal ske i et almindeligt brugt og maskinlæsbart format.

… at blive informeret
Dette gælder enhver form for indsamling af oplysninger, som foretages af virksomheder. Personerne skal informeres før indsamling af data sker. Personerne skal aktivt tilvælge at deres oplysninger må indsamles, og samtykke skal gives frivilligt og må ikke være underforstået.

… at få oplysninger tilrettet
Dette sikrer, at personer kan få deres oplysninger opdateret, hvis den er forældet, utilstrækkelig eller decideret forkert.

… at begrænse behandling
Personer kan frabede sig, at deres oplysninger anvendes til databehandling. Oplysningerne må fortsat gerne opbevares, men ikke anvendes.

… at gøre indsigelse
Al brug af personens oplysninger til markedsføringsformål skal stoppe, så snart en indsigelse modtages. Der skal informeres tydeligt om denne rettighed, når kommunikationen med en person indledes.

… at blive underrettet
Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige oplysninger, har personen ret til at blive underrettet uden unødig forsinkelse – og helst indenfor 72 timer efter, at bruddet er blevet opdaget.

Afslutning
Personoplysninger er blevet en meget værdifuld ’valuta’ i den moderne forretningsverden.

Selvom GDPR og overholdelse af databeskyttelsesloven/persondataforordningen skaber store udfordringer og sikkert også bekymringer af og til for virksomheder, skaber det også muligheder.

Virksomheder som viser omverden, at de har fokus persondatabeskyttelse, at de værner om oplysningerne og er åbne omkring, hvordan de anvendes, og som udarbejder og indfører nye og forbedrede måder at håndtere kundeoplysninger på, skaber større tillid. Og med tillid til virksomheden følger også trofaste og loyale kunder.


Risiko
Ikke at overholde databeskyttelsesloven/persondataforordningen er en dadelværdig handling, der udløser Datatilsynets vrede. Sanktionen bliver ’et adfærdsregulerende dask i nakken’, i form af bøder, der i princippet kan blive endda særdeles store.

Der er derfor al mulig grund til med største omhyggelighed at iagttage databeskyttelseslovens/persondataforordningens bestemmelser om opbevaring og behandling (og sletning) af personlige oplysninger.


Relevante kurser der berører databeskyttelsesloven/persondataforordningen'
GDPR | I relation til HR
GDPR | Nyheder & Opdatering


Indholdet i ovenstående artikel er ikke - og kan ikke erstatte - juridisk rådgivning.