Økonomi & Personale Academy har haft mere end 1.000 deltagere på kursus i GDPR (persondataforordningen). Vi har spurgt et bredt udsnit af deltagerne, hvor de ser de største udfordringer i forhold til den ny forordning.
Der er tre udfordringer, som går igen:
- At få klarhed over hvilke opgaver virksomheden bør prioritere frem til den 25. maj 2018, hvor reglerne træder ikraft
- At få klarhed over de organisatoriske udfordringer, der ligger i at få ændret virksomhedens kultur omkring behandlingen af persondata
- Generelt at få nedbragt risikoen for fejlhåndtering af persondata
Vi har talt med vores persondataspecialist advokat Jon Lauritzen, DELACOUR, omkring ovenstående, som giver følgende svar.
Prioritering af opgaver frem til den 25. maj 2018:
Ingen virksomheder er ens. Det betyder, at virksomhederne, i forhold til persondata, først og fremmest bør afklare deres ”risiko”. Behandler virksomheden f.eks. følsomme persondata, er det vigtigt, at man er opmærksom på de skærpede behandlingsregler, der her gælder. Jeg vil dog driste mig til at fremhæve følgende liste over opgaver, som bør indgå i en ”prioriteret 25. maj 2018 liste” og som bl.a. baseres på datatilsynets forventede kontroller i virksomheder:
- Få udpeget en ansvarlig for implementering af persondataforordningen
- Få styr på virksomhedens databehandlere og få behandleraftalerne på plads. Der er foretaget store ændringer af reglerne og det er nødvendigt at opdatere alle databehandleraftaler inden 25. maj.
- Få styr på hvor i organisationen/virksomheden, der behandles personoplysninger, således at de skærpede regler om oplysningspligt kan overholdes.
- Få styr på den fysiske, organisatoriske og IT–mæssige sikkerhed og beskriv den
- Få styr på det lovlige grundlag for at behandle personoplysninger. Virksomheden skal kunne redegøre for lovhjemlem for enhver behandling af personoplysninger
- Få styr på behandlingsaktiviteterne af HR-oplysninger/personaleoplysninger og beskriv dem (og husk oplysningspligten også gælder for medarbejdere)
- Få tilrettelagt en uddannelsesplan for efteruddannelse af virksomhedens medarbejdere, som er i berøring med persondata – fra receptionist til topledelsen
De organisatoriske udfordringer og kulturen omkring behandlingen af persondata:
I 50´erne og 60´erne, var det normal praksis, at giftstoffer blev hældt direkte i åer og vandløb. Vi kan i dag se, at det nok ikke var nogen god idé. På samme måde, tror jeg, den opvoksende generation, om få år, vil tænke omkring den måde om den måde, som vi i dag omgås persondata. Også med tanke på de skader, der allerede kan konstateres i forhold til brugen og misbrugen af persondata i ”facebook-gate”. Jeg har en tro på, at virksomhederne – store som små, private og offentlige – vil ændre adfærd i forhold til håndtering af persondata. Man skal tænke på, at personoplysninger, er noget som virksomheden har fået stillet til rådighed, og derfor også har en pligt til at værne om. Når der ikke længere, er et sagligt grundlag for at behandle disse data, skal de slettes eller leveres tilbage til den registrede. Det kan synes enkelt, men i praksis en opgave, som er svær at løfte. Enhver virksomhed kunne starte med at lære de ansatte de 6 grundprincipper, som forordningen bygger på (jf. artikel 5 om gennemsigtighed, dataminimering, lovgrundlag for behandling mv.). Der er tale om grundprincipper – som selvfølgelig ikke kan stå alene – men som giver en god fornemmelse af hvordan ansatte bør tænke i forhold til behandlingen af persondata.
Om at få nedbragt risikoen for fejlhåndtering af persondata:
Uddannelse, uddannelse, uddannelse. Det handler om at forankre viden om behandling af persondata i virksomheden og ikke forledes til at tro, at opgaven alene kan klares af eksterne konsulenter. Konsulenter kan komme på banen i den proces, der skal igangsættes i arbejdet med at blive ”compliante”, men overholdelse af persondatareglerne skal indarbejdes i måden af drive virksomhed på.
Relaterede kurser: