GDPR et år efter – hvad har vi lært?
I dag, 25. maj 2019, fejrer vi persondataforordningens 1-års fødselsdag, og vi kan også i år fejre 40-årsdagen for den danske registerlovgivnings ikrafttrædelse. Det er vigtigt at huske på, at selvom det måske har tæret på ressourcerne samt givet enkelte grå hår i hovedet, så må vi ikke glemme formålet med forordningen, samt hvor vigtigt det er at fejre en grundlæggende rettighed i en digital tidsalder.
GDPR er nu på alles læber, men det er ingen hemmelighed, at der længe før GDPR har eksisteret lovgivning, som havde til formål at beskytte individets ret til privatliv, herunder persondata. Dog var der med persondataforordningen lagt an til en opbrydningstid, idet det for manges vedkommende var et helt nyt regelsæt, som skulle efterleves, og der var nye og skærpede regler i persondataforordningen, men et helt nyt regelsæt var der ikke tale om. Det gav alligevel de fleste virksomheder og organisationer lidt sved på panden, og der er, lige siden forordningen fik virkning i 2018 - og for manges vedkommende langt før dette tidspunkt - arbejdet hårdt på at efterleve reglerne. Et af de punkter, som der i høj grad er kommet fokus på, er, hvorvidt organisationer og virksomheder får slettet persondata korrekt og rettidigt.
Første bødeindstilling fra Datatilsynet vedrører manglende sletning
Datatilsynet har også haft travlt og har udarbejdet vejledninger, som bidrager til forståelse af reglerne, ligesom de også har offentliggjort afgørelser. I marts måned gjorde tilsynet sig bemærket ved at offentliggøre den første indstilling til bøde efter reglerne i persondataforordningen. Indstillingen til bøden var et resultat af et tilsyn hos taxaselskabet Taxa 4x35 i efteråret 2018. Datatilsynet vurderede, at næsten ni millioner personhenførbare taxature var opbevaret uden et sagligt formål. Taxaselskabet havde overtrådt artikel 5 og blev indstillet til en bøde på 1,2 millioner kroner. Overtrædelse af artikel 5 kan udløse bøder på op til 20 millioner euro eller fire procent af den samlede globale årlige omsætning. Artikel 5 - også betegnet som behandlingsprincipperne i forordningen - bør anses som en form for grundlov. Det er vigtigt, at man altid forholder sig til artikel 5, når man behandler persondata. Derfor kan det være en god investering for virksomheder og organisationer at GDPR-træne medarbejdere ved hjælp af en workshop eller e-læring, så alle får et godt indblik i reglerne.
Sletning af persondata er vigtigt - når de ikke længere tjener et sagligt formål
Det er altid en god ide at opfylde god praksis og have fokus på at opfylde dokumentationskrav, herunder at have udarbejdet en udførlig slettepolitik og andre procedurer og politikker, men det er lige så vigtigt, at processerne og politikkerne bliver ordentligt implementeret, således at man lever op til kravet om ansvarlighed i forordningen. Der findes ikke en magisk løsning, men det handler om at få sat gode processer i gang og automatisere.
Har man som organisation eller virksomhed lyst til at vide mere om, hvad der spørges ind til under et tilsyn vedrørende sletning, kan man på Datatilsynets hjemmeside www.datatilsynet.dk finde eksempler på tilsynsskemaer. Man kan tage udgangspunkt i disse skemaer i forhold til at tjekke, om man har styr på sletning, men man skal være opmærksom på, at det ikke er en endelig tjekliste, da spørgsmålene kan variere, og skemaerne vil blive tilpasset den enkelte.
Inden man går i gang med at slette persondata, er det nødvendigt at skabe et overblik og finde ud af, om man efterlever de gældende regler. Det er vigtigt, at man ikke ukritisk sletter alt, fordi man går i panik og tænker, at så er dét problem overstået, da man i værste fald kan komme til at slette vigtige persondata - og måske persondata, som man har pligt til at gemme.
Er praksis for bødestørrelser nu klar?
Nej - vi må vente med tålmodighed, før vi hører nærmere om ovenstående sag og bødestørrelser generelt, da det nu er op til politiet, om de vil rejse sigtelse, og derefter skal sagen for domstolene, fordi det danske Datatilsyn ikke selv kan udstede administrative bøder.
Hvad har vi lært?
Vi har oplevet - og kan se hos de kunder, som vi i de forløbende år har hjulpet - at arbejdet med at efterleve GDPR ikke kun handler om at overholde regler og være klar til at få besøg af tilsynet, men i særdeleshed også handler om at skabe tillid hos medlemmer og samarbejdspartnere, som oftest er forretningsgrundlaget. Tilsvarende har arbejdet med GDPR i tillæg givet et godt overblik i organisationen, som har medført gode åbninger for at effektivisere organisationen yderligere.
Det kan derfor på mange måder, til stadighed, være godt givet ud at sætte GDPR-compliance højt på agendaen.