For nogle uger siden rullede den store GDPR-lavine ind over landet, men hvad ligger der egentligt bag al den snak om persondata?

GDPR står for 'General Data Protection Regulation' og er en EU-forordning, som har direkte retsvirkning i Danmark. Forordningen har kunnet håndhæves siden den 25. maj 2018, og det er netop forklaringen på de mange mails, der er havnet i folks indbakker landet over.

Det er sjældent, at EU-forordninger får så megen opmærksomhed, som GDPR har fået. Grunden til, at lige netop GDPR er havnet i rampelyset, er, at den berører rigtig mange mennesker og bliver håndhævet ved hjælp af bøder på helt op til 4 pct. af virksomhedens omsætning eller op til 150 mio. kr. Det kan altså have store økonomiske konsekvenser for en virksomhed, hvis de nye regler ikke overholdes, og det er derfor vigtigt at være opmærksom på, hvad man må og ikke må.

Ifølge en undersøgelse foretaget blandt Dansk Erhvervs medlemsvirksomheder har det indtil videre kostet danske virksomheder næsten 8 mia. kr. at få implementeret den nye persondataforordning.

For nogle virksomheder har det krævet meget tid og mange ressourcer at kunne leve op til de nye regler, og i dagene op til deadline svarede hele 200 ud af 400 medlemsvirksomheder, at de stadig ikke havde styr på reglerne. Det kan føles som et stort arbejde at skulle sætte sig ind i de nye regler, men hvis man som virksomhed har baggrunden for de nye regler in mente, bliver det måske mere forståeligt og håndterbart i praksis.

Med privatpersonen i fokus

Når vi som privatpersoner handler, bruger offentlig transport, læser nyheder eller i det hele taget bevæger os i samfundet, sætter vi en lang række digitale spor. Sporene kan bruges til at lære os, vores vaner og præferencer bedre at kende. Disse informationer kan derfor være af stor værdi for eksempelvis dagligvarebutikker, der gerne vil vide mere om deres kunder, adressere markedsføring og fremsende information om nye varer og services.

I mange tilfælde vil vi jo gerne som private forbrugere modtage tilbud, rabatkoder og lignende fordele på mail fra vores foretrukne dagligvarekæde, fordi de kan være brugbare for os, men vi kan omvendt heller ikke lide, at virksomhederne har et alt for detaljeret kendskab til alle vores vaner og forbrugsmønstre. Det gælder ikke mindst oplysninger af mere privat karakter, som vi helst vil holde for os selv. Kunsten bliver således at skabe en balance mellem for meget og for lidt indsigt i kunden.

Vores persondata er kun til låns

Hovedidéen i EU-reglerne er at sikre, at vores persondata håndteres forsvarligt. Virksomheder, der indsamler data, skal kunne redegøre for, hvorfor de gør det og hvem, der har adgang til disse data. Det er f.eks. langt fra sikkert, at alle i en virksomhed har brug for hele paletten af oplysninger om en person, for at de kan udføre deres arbejde. Har de ikke det, skal der ikke være adgang til disse persondata.

Dertil kommer at det ikke er tilladt at opbevare oplysninger, som ikke længere er nødvendige i forhold til formålet. Privatpersoner kan rent faktisk bede om indsigt i, hvilke oplysninger en virksomhed har liggende om den, få korrigeret disse og selv bede om at få disse slettet. Det er derfor vigtigt, at virksomheden har overblik over og styr på disse oplysninger, da det i sidste ende er virksomhedernes opgave at sikre, at forholdene omkring persondata er i orden og overholdes.

Den nye EU-forordning styrker altså i høj grad den private forbrugers rettighed til at blive informeret om brugen af deres egne persondata, og ændrer dermed også kravene til at få samtykke. Som virksomhed skal man være ekstra opmærksom på, hvilken indsamling af data der er afhængig af et samtykke og i givet fald sørge for at indhente det nødvendige samtykke.