Persondataloven (GDPR) for små virksomheder

Persondataloven er en lov, der blev vedtaget af EU den 16. april 2016, og som trådte i kraft 25. maj 2018. Persondataloven er også kendt som persondataforordringen. Anedre kender til loven under navnet GDPR, der står for 'General Data Protection Regulation'. Oversat til dansk betyder det 'generel beskyttelse af personlige data'.

Loven har til formål at beskytte personlig data, og sikre sig at disse oplysninger ikke bliver misbrugt. Ligeledes indebærer loven, at virksomheder skal have styr på, hvordan de personlige oplysninger bliver bevaret og behandlet.

Persondataloven gælder for alle europæiske lande og for alle virksomheder, der på den ene eller anden måde håndterer data fra personer, der bor i EU.

Hvad er personlig data?

Den personlige data dækker over data, der kan være med til at identificere en person. I mange virksomheder vil det være kundernes informationer, der skal behandles korrekt, men også data fra leverandører og andre samarbejdspartnere.

Personlig data dækker blandt andet over:

  • Navn

  • Alder

  • Køn

  • CPR-nummer

  • Økonomiske forhold

  • Helbredsmæssige forhold

Det er altså ovenstående data, som virksomheder skal opbevare sikkert. Virksomheder skal kun indsamle personlig data, hvis dataen har en vigtig funktion.

Hvordan skal virksomheder følge disse regler?

Persondataloven kan godt være lidt komplekst, men som virksomhed skal du blandt andet sikre dig, at dine kunder ved, hvorfor de skal opgive deres persondata. Når dataen opkræves, er det vigtigt, at kunden får beskrevet i et tydeligt og klart sprog, hvorfor dataen opkræves, og hvad dataen skal bruges til.

Hvis en kunde beder om at få udleveret sine personlige oplysninger, er virksomheden påkrævet til at udlevere dette uden beregning. Beder en kunde derimod om at få rette nogle personlige oplysninger, skal virksomheden også foretage de ændringer, som kunden ønsker.

Loven indebærer også, at en kunde har ret til at frasige sig markedsføring fra virksomheden efter, at købet har fundet sted.

Virksomheder skal have en databehandleraftale

Alle virksomheder skal have det, der bliver kaldt for en databehandleraftale. Kort sagt skal der indgås en aftale, når en virksomhed vælger en anden virksomhed til at behandle den indsamlede persondata. Aftalen indgås mellem den såkaldte dataansvarlige og en databehandler.

Det grundlæggende i aftalen er, at den skal indeholde, hvordan den databehandleren skal behandle de dataen fra den dataansvarlige.

Den dataansvarlige er oftest en virksomhed, der bestemmer hvordan persondataen må bearbejdes. Databehandleren er den virksomhed, der behandler den dataansvarliges indsamlede persondata på den måde, som den dataansvarlige kræver.

Datatilsynet har lavet en skabelon, der indeholder mindstekravet for, hvad en databehandleraftale skal indeholde.

Har det konsekvenser, hvis GDPR-loven ikke overholdes?

Som nævnt er alle virksomheder underlagt GDPR-loven, og der er også konsekvenser, hvis loven ikke overholdes. Den officielle regel for bøder er, at virksomheder kan få en bøde på 4% af den samlede omsætning for det foregående år. For større virksomheder kan bøden enten være på 4% af omsætningen eller 20 mio. kr. alt efter, hvilket beløb der er højest.

De bøder, der er udskrevet indtil videre, har været til store globale virksomheder, der har solgt personlig data videre. Derfor skal man som lille virksomhed ikke frygte at få en bøde, hvis der er enkelte mangler i opbevaringen og behandlingen af dataen.

Med det sagt, skal GDPR-loven ikke frygtes, men det er samtidig vigtigt at følge de GDPR-regler, EU har vedtaget. I den forbindelse kan det være en god investering at tale med en revisor om, hvad GDPR-loven har af betydning.