Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Hvad betyder persondatareglerne for dig?

De fleste har hørt om de nye databeskyttelsesregler, om Facebook-skandalen, om de store bøder og om virksomhedernes stress og jag for at nå at bliver klar – men hvad betyder det i virkeligheden?

Foto: istock
Artiklen er leveret af

Der var en, der var to, der var tre – ding, ding, ding. Så var der 20. Og 50. Lige pludselig bugnede indbakken af dem, så den var ved at eksplodere.

Mød Ri på Folkemøde
Du kan i øvrigt møde Ri Statsaut. Revisorer på årets Folkemøde på Bornholm og spørge meget mere ind til konsekvenserne af GDPR – eller for den sags skyld spørgsmål om skat, revision eller datasikkerhed. Tidligere statsminister, CEO i Red Barnet International Helle Thorning-Schmidt er blandt gæstetalerne ved Ri Statsaut. Revisorers arrangement, som du kan læse mere om her
De fleste har oplevet det. Alle disse mails fra virksomheder af alle mulige slags, som man oven i købet i mange tilfælde helt har svedt ud, man nogensinde har haft kontakt med. Men nu insisterer de altså på, at man skal interessere sig for dem igen – og for noget så kønsløst som deres privatlivsbetingelser. Og mange beder ovenikøbet om aktivt samtykke til, at de fortsat må forstyrre os med henvendelser.

Men hvorfor nu det? Hvorfor skal vi belemres med alle disse orienteringsskrivelser og samtykkeerklæringer? Og hvad sker der, hvis vi vælger at ignorere dem?

Hvad nu?

Der var voldsomt stort mediefokus på persondata i ugerne lige op til EU’s GDPR (General Data Protection Regulation), også kaldet persondataforordningen, fik virkning den 25. maj – godt hjulpet på vej af den store Analytica-skandale, hvor 87 mio. Facebook-brugeres personlige data viste sig at være lækket og misbrugt i bl.a. den amerikanske valgkamp.

Men interessen har hidtil primært samlet sig om virksomhedernes udfordringer med at forstå kompleksiteten i lovgivningen, om de havde styr på deres data, om de kunne nå at blive klar til tiden - og om de enorme bøder, der vanker, hvis de ikke er klar.

Hvad de nye regler helt konkret betyder for den helt almindelige borger, har der imidlertid været knap så stort fokus på.

Betyder det, at du nu skal gentegne alle dine medlemskaber i forskellige foreninger? At du ryger ud af ventelisten i boligselskabet? Eller at du nu kan slette dine oplysninger i strafferegistret eller hos kreditvurderingsselskabet?

Nye rettigheder

Først og fremmest handler GDPR om dine rettigheder. Retten til at bestemme over dine egne personlige oplysninger, som vi alle sammen har det med at dele ud til højre og venstre på digitale platforme – uden at have den fjerneste ide om, hvor de ender, og hvad de bliver brugt til.

Ret beset har det hidtil svaret til, at vi – i den fysiske verden – udfærdiger en liste over alt, hvad vi interesserer os for, såsom musik, mad, politik, religion og seksuel orientering, tilføjer en liste over alle vi har kommunikeret med de seneste 10 år, samler det i en pose med alle vores fotoalbums, går ned på den nærmeste avisredaktion og siger: ’Hvis jeg får et abonnement hos dig, må I sælge en kopi af alle disse oplysninger til hvem I vil. Jeg behøver ikke at vide, hvem de er.’

Det gør GDPR nu op med.

Eller rettere: Lovgivningen bliver justeret og gjort tidssvarende. Reglerne har nemlig langt henad vejen eksisteret hele tiden, men de var udformet i en anden digital virkelighed, og rigtig mange virksomheder har ikke efterlevet dem. De store bødestørrelser, der tales om, er derfor indført for – en gang for alle – at få virksomhederne til at tage beskyttelsen af persondata alvorligt. GDPR er indrettet med den viden, man i dag har om dataenes færden rundt i cyberspace og hvilken milliardforretning, udveksling og videresalg af persondata har udviklet sig til. Et scenarie, man slet ikke havde evne til at forestille sig, da de hidtidige regler blev udformet i begyndelsen af 1990’erne. Man kan med en vis ret kalde GDPR for den første ’digitaliseringens grundlov’.

Indsigt om egne data

Kort fortalt får du nu retten til at få indsigt i de oplysninger, en virksomhed har registreret om dig. Du får ret til at få udleveret oplysninger i kopi – og du har nu også retten til at få slettet oplysningerne, hvis de vel at mærke ikke længere opfylder et sagligt formål.

Hos revisionsvirksomheden Ri Statsaut. Revisorer rådgiver man en lang række virksomheder, fonde og foreninger om implementeringen af de nye regler. Her vurderer IT-revisor og director Tem Vester Schnell Christiansen, at borgerne i praksis først og fremmest vil opleve, at virksomhederne lever langt bedre op til persondatareglerne – ikke mindst som følge af, at de hele tiden har truslen om enorme bøder og et ikke ubetydeligt imagetab hængende over hovedet.

”Det kommer blandt andet til at betyde, at virksomhederne i højere grad kun indsamler og behandler oplysninger om de registrerede, der har et sagligt formål. Desuden vil virksomhederne pr. automatik slette oplysninger, når disse ikke længere opfylder et sagligt formål. Derfor vil der i fremtiden blive registreret langt færre oplysninger end tidligere, og gamle oplysninger vil automatisk blive slettet,” siger Tem Vester Schnell Christiansen.

Samtykke kræver opmærksomhed

Han fortæller, at mange af de mails, man modtager, alene er ren orientering, hvor man som udgangspunkt ikke skal foretage sig noget. Men når det gælder ’samtykke’-erklæringerne, skal man være opmærksom.

”Hvis ikke du giver virksomhederne en positiv tilbagemelding på samtykket, må virksomheden ikke fortsætte sin behandling af de af dine data, der er omfattet af samtykket. I den forbindelse skal man være opmærksom på, at et samtykke kun er gældende, hvis du har udført en aktiv handling. Et stiltiende samtykke er ikke gyldigt, og virksomheden skal derfor slette dine data, hvis de er indhentet på den måde,” påpeger Tem Vester Schnell Christiansen, og fortsætter:

”Det er vigtigt, at du læser et samtykke godt igennem, inden du afgiver det. Et samtykke skal udformes i et klart og tydeligt sprog, og det skal være konkret. Det vil sige, at det ikke må være et bredt samtykke til at behandle dine data. Din arbejdsgiver skal for eksempel indhente et samtykke til at vise dit billede på firmaets hjemmeside. Når du har givet samtykke til det, betyder det ikke, at dit billede må bruges til andre formål i virksomheden. Sådanne andre formål vil kræve et nyt konkret samtykke,” understreger Tem Vester Schnell Christiansen.
Han oplyser, at virksomheder som oftest ikke skal have dit samtykke i forbindelse med den almindelige personaleadministration. Samtykket bliver først aktuelt, når der ikke findes en lov eller anden hjemmel, der giver virksomheden ret til at behandle dine oplysninger. Og så skal man især være opmærksom på én ting:
”Det særlige ved et samtykke er, at det altid kan trækkes tilbage, og at denne tilbagetrækning skal være lige så let, som det var at afgive samtykket,” siger Tem Vester Schnell Christiansen.

20 tryk på dødemandsknap

En af de virksomheder, der har sendt orienteringsskrivelser og opfordring til samtykke, er den digitale tjeneste Holdsport.dk, der er et redskab, som mange foreninger og sportsklubber benytter til bl.a. at holde styr på kalendere, holdudtagelse, kampprogrammer, kamptilmelding og stillinger.

Hos Holdsport.dk administrerer man mange af klubbernes persondata og hjælper samtidig klubberne med tekniske løsninger til at efterleve persondatareglerne. Her har det store arbejde – udadtil – primært været i forhold til tilmelding af fremtidige brugere, hvor der er kommet nye godkendelsesprocedurer, som flugter med de nye regler. Samtidig har de eksisterende brugere skullet give deres samtykke til nye brugerbetingelser hos Holdsport.dk.

Direktør Frank Bjergø siger, at Holdsport.dk ikke har mærket en voldsom effekt af de nye regler fra brugerne.

”Der er omkring 20 brugere, der har været inde og trykke på ’Dødemandsknappen’ – det vil sige den slettefunktion, vi har oprettet til de brugere, der ønsker deres data slettet. I virkeligheden er der tale om to ’knapper’ eller funktioner, om du vil, fordi vi i mange tilfælde går ind og ’soft-sletter’ manuelt. Der er nemlig relativt mange data, som klubberne faktisk har pligt til at beholde i op til fem år. Det er for eksempel i forhold til medlemmer i restance og i forhold til såkaldt CFR-registrering (Central ForeningsRegister), hvor klubberne får tildelt kommunal støtte blandt andet beregnet på medlemstal,” fortæller Frank Bjergø.

Samtykke fra hver fjerde

Han oplyser, at omkring en fjerdedel af brugerne indtil nu har givet samtykke til de nye brugerbetingelser, som Holdsport.dk har skrevet ud til brugerne om. Han har ikke et bud på, om det er få eller mange, for Holdsport.dk har ikke på forhånd estimeret, hvor hurtigt det ville komme til at gå.

”Men inden for en overskuelig fremtid skal alle brugere jo have accepteret betingelserne. Indtil videre er vi ikke så hårde, at vi logger brugerne af. I øjeblikket nøjes vi med at give dem en opfordring til at give samtykke, når de logger på. Men på et tidpunkt bliver vi jo nødt til at slette dem, hvis de ikke vil give samtykke, så vi kan efterleve reglerne,” siger Frank Bjergø, der dog ikke vurderer, det bliver et stort problem.

”Det vil formentlig primært dreje sig om brugere, der alligevel ikke er eller ikke længere ønsker at være aktive,” antager han.

Frank Bjergø er tvedelt i sit syn på GDPR, alt efter om man spørger ham som privatperson eller virksomhedsleder.

”Altså, for os som virksomhed, er det jo noget bøvl. Både i forhold til de truende bøder og alt det arbejde, der har ligget i at blive klar,” siger han og oplyser, at Holdsport.dk har haft en mand på fuld tid i fire måneder, der ikke har bestilt andet end at implementere de nye krav.

”Men spørger du mig som privatperson, synes jeg overordnet, det er rart med de nye regler – der er noget sympatisk over, at man nu i højere grad selv kan styre, hvad ens persondata bliver brugt til,” siger han.

Der er grænser

Selv om GDPR nu giver borgerne mange flere rettigheder, og i videre udstrækning giver os mulighed for at få slettet data, er det dog ikke ensbetydende med, at vi kan få slettet alt, der er registreret om os. Mange samfundsvæsentlige funktioner er afhængige af vores data og er på en lang række områder undtaget af persondataforordningen.

For eksempel kan du – måske ikke overraskende – ikke få slettet oplysninger fra politiets DNA-register eller få slettet din straffeattest, ligesom SKAT stadig vil insistere på at beholde data om dig – det samme er tilfældet, hvis du står opført som dårlig betaler i et kreditoplysningsregister som Experian.

Men betyder det så, at du skal til at gentegne alle dine medlemsskaber hos sportsklubben, i lystfiskerforeningen eller i musikskolen? Og ryger du ud af ventelisten i boligselskabet?

”Nej,” slår Tem Vester Schnell Christiansen fra Ri Statsaut. Revisorer fast.
”Fornyelse af medlemskab har grundlæggende set ikke noget med persondatareglerne at gøre. Det er selvfølgelig en forudsætning, at den forening, du er medlem af, behandler dine personoplysninger i overensstemmelse med gældende persondatalovgivning, men der er altså ikke et krav om, at man skal tilmelde sig på ny, indtræde i nye aftaleforhold eller lignende,” siger Tem Vester Schnell Christiansen.

I rigtig mange tilfælde går livet altså videre i sin vante gænge – med den væsentlige undtagelse, at GDPR giver dig betydelig større råderet over, hvad dine data bliver brugt til.

Denne artikel er sponsoreret af Ri

Ri Statsaut. Revisorer er førende i fonde, foreninger og fagforbund. Vores medarbejdere har en helt unik indsigt i revision, skat, moms/afgifter, GDPR og datasikkerhed. Det er det, der gør, at Ri også kan blive den foretrukne rådgiver og samarbejdspartner for dig og din organisation. Læs mere om Ri på https://www.ri.dk