Kommer Persondataforordningen dig ved?

Er Persondataforordningen et grønt monster, der skal forpeste dit liv?

Nej, den er til for at beskytte forbrugerne og i sidste ende borgerne. Men den kan føles som en omstændelig plage at skulle igennem som udbyder af en hjemmeside. Er det overhovedet nødvendigt?

Hvis du håndtere persondata, og det vil sige enhver liste elektronisk eller ej i din klub, forening, eller firma, der indeholder data, der henfører til en person, så er du omfattet.
At ignorere det kan blive meget, meget, meget dyrt.

Vil Datatilsynet virkelig behandle sager omkring foreninger og små firmaer også? kunne du spørge. De vil nok gå efter de store fisk, hvor mange personer har deres data liggende. Men har du en utilfreds kunde eller et medlem, en vred tidligere ansat, eller bare en almindelig kværulant, der føler de skal anmelde dig - ja så kører maskinen uanset din størrelse.

Hvad skal der til?

Dette er ikke en komplet vejledning, men bare en oversigt, der forhåbentlig kan være nyttig til at forstå det hele med.

Der er to afdelinger set fra websideejerens side, der skal ses på, indsamling af data og opbevaring af data. Det første har du mødt, på din vej gennem nettet allerede, men mange overser desværre, det arbejde, der ligger i sikkerhed og procedurer omkring opbevaringen af data. Oveni det  kommer procedurer til håndtering af indsigelser og klager.

Indsamling af data

Det er oplagt, at driver du webhandel, så skal du have kundens samtykke til at indhente data, så du kan fakturere, og måske også drive en rabatordning mv. ved genbesøg. Typisk skal kunden godkende dine forretningsbetingelser. Har du et sådant websted, har din advokat eller webbureauet nok det på plads allerede.

Udgiver du et nyhedsbrev? Folks navne og mailadresser er faktisk persondata. Du skal indhente tilladelse til at bruge og opbevare disse data. Har du allerede en masse brugere på dit nyhedsbrev, der er kommet til før GDPR trådte i kraft, så må du udsende besked om, at de skal bekræfte eller gentilmelde sig til dit nyhedsbrev hurtigst muligt. Og så slette dem, der ikke svarer, selvfølgelig. Der skal gives et eksplicit svar og ikke kun formodet accept.

Et du webmaster for en sportsforening er du så heldig at hovedorganisationerne har udsendt en detaljeret vejledning. Styrer en du en anden form for klub, så kan du ikke regne med, at du kan vise holdlister og resultater uden at få medlemmernes accept til dette i tråd med GDPR. De vil sikkert gerne give den, da andet ikke giver mening - men du skal hente tilladelse fra medlemmer før GDPR og huske at få den fra nye medlemmer ved indmeldelsen.

Du kan heller ikke vise billeder af kunder/medlemmer på hjemmesiden eller blot navne uden aktuel accept. Den slags data vises ofte på Facebook, og det er et stort probem for dig i sig selv (se sidebar).

Viser du et oversigtsbillede over en reception for eksempel. kan du måske slippe afsted med det. Viser du en gruppe er det tvivlsomt, og går du helt tæt på, så det bliver 'portrætlignende', så skal du have en accept til at vise billedet. Hvis nogen på billedet senere kræver det taget ned, så må du rette ind.

 

Opbevaring af data

Nu bliver det træls, for du skal på papirarbejde. Du skal i detaljer skrive ned og opbevare dokumenter, der forklarer hvad og  hvor og hvordan du opbevarer data og hvem i personalet eller brugerkredsen, der har adgang til dem,  hvornår de har, og hvad de må bruges til. Informationen skal kunne udleveres til dine brugere og til Datatilsynet, hvis de tropper op en dag.

Du skal være meget konkret. List datafelt for datafelt, personer med adgang ved navn og funktion i forhold til data, hvor længe data gemmes og hvor henne. Om det så er et Excelark på formandens computer, så få det med på listen.

Det er faktisk en rigtig god øvelse, der giver overblik over, hvad du har af systemer, og hvad de bruges til. Flere rissikoelementer og dårlig praksis kan dukke op. Hele baduljen fra kunden udfylder en formular, til hvordan den behandles og af hvem, og informationen gemmes på et system.

Husk at beskrive, hvordan data flyttes mellem systemerne (kundebase->regnskab f. eks). Hvis du udveksler data med andre organisationer skal det beskrives, hvordan, af hvem og hvordan modtageren behandler data. Husk accept fra brugerne omkring dette.

De færreste har deres webserver stående i virksomheden. Derfor skal man kontakte sin udbyder og få en databehandleraftale med dem. De fleste udbydere har en sådan klar til dig - ellers kontakt dem. I den forklarer de, hvordan de gemmer, sikkerhedskopier og beskytter dine brugeres data.

Husk at vedligeholde din dokumentation løbende.

Bemærk, der er ikke noget fordækt i at bruge persondata, så længe du har fået lov og brugerens data er bekyttede

 

Brugerrettigheder

Det er helt centralt at dit system eller administration kan imødekomme de rettigheder brugerne har genne GDPR. De skal selvfølgelig også dokumenteres.

  • Ret til information om behandling af data
  • Ret til at få oplyst, hvad I ved om vedkommede
  • Ret til at får rettet forkerte informationer
  • Ret til at få slettet information, der ikke længere bruges eller er ulovligt indsamlede
  • Ret til at gøre indsigelse mod den måde data bruges på
  • Ret til data ikke bruges i bestemte situationer
  • Ret til at få data udleveret i maskineformat så de kan bruge i et andet system (er ikke 'opfundet' endnu)
  • Ret til at protestere mod en afgørelse, hvis data bruges af fysiske personer til afgørelser i sagsbehandling.

Tekst: Ole Klintebæk
Foto: Ole Klintebæk