10 myter om GDPR i nordiske virksomheder

Den nye persondataforordning (GDPR – General Data Protection Regulation) trådte i kraft d. 25. maj 2018 og finder anvendelse på alle virksomheder, som sælger varer og ydelser, og opbevarer personlige data om EU-borgere. Det gælder også virksomheder fra andre kontinenter, herunder også de nordiske lande som fx Island, Norge, Færøerne m.fl.

Der florerer mange myter om persondataforordningen og personoplysninger i de nordiske virksomheder. Her afliver vi 10 af myterne:

Myte #1: Persondataforordningen gælder kun for virksomheder i EU, og ikke for virksomheder udenfor EU

Nej, den nye persondataforordning implementeres i samtlige lokale persondatalove i hele EU- og EØS-området. Persondataforordningen gælder for ALLE private og offentlige virksomheder og organisationer, som sælger varer og ydelser og opbevarer personlige data om EU-borgere. Herunder også virksomheder fra andre kontinenter. Det gælder også de nordiske lande som Island, Norge, Færøerne m.fl.

Myte #2: Persondataforordningen gælder ikke for små virksomheder

Jo, det gør den. Persondataforordningen indeholder ikke ”bagatelgrænser”. Den gælder også for den lille bogholder, tømrermesteren og fiskeproduktionsvirksomheden med få ansatte.

Myte #3: Vi er hverken dataansvarlig eller databehandler

Jo, i langt størstedelen af alle tilfælde vil virksomheden være dataansvarlig (fx fordi man har ansatte) og/eller databehandler (fx fordi man er leverandør). Sandsynligheden for at man hverken er dataansvarlig eller databehandler er ganske lille.

Myte #4: Små virksomheder får ikke besøg af Datatilsynet

I bør ikke basere jeres overholdelse af gældende lovgivning på, om I bliver opdaget. Blot en enkelt klage kan udløse et tilsynsbesøg fra Datatilsynet.

Myte #5: Persondataforordningen gælder kun, hvis vi behandler følsomme oplysninger

Nej. Reglerne gælder alle typer personoplysninger, der kan identificere en fysisk person – også helt almindelige oplysninger som fx navn, billede, e-mailadresse, bankoplysninger, opslag på sociale medier, adresse, telefon, stilling m.fl. Følsomme oplysninger skærper kravene, men er ikke en forudsætning for at være omfattet.

Myte #6: Vi er en B2B virksomhed, og derfor er persondataforordningen ikke gældende for os

Nej. Også i en B2B-situation (business to business) er der tale om personer, som interagerer og deler information om og med hinanden. Der skelnes ikke mellem personlige oplysninger relateret til personens private, offentlige eller arbejdsmæssige rolle.

Myte #7: Persondataforordningen skaber kun yderligere bureaukrati for virksomheder

Nej. Persondataforordningen giver borgere (også benævnt den registrerede) i EU og EØS større kontrol over deres personlige oplysninger og større sikkerhed for, at personoplysningerne behandles forsvarligt og efter gældende regler.

Myte #8: Den nye persondataforordning er kun en udfordring for IT-afdelingen

Nej. Selv om mange har en forventning om, at persondataforordningen (GDPR) kun er en udfordring for IT-afdelingen, så er det langt fra tilfældet. Persondataforordningen har omfattende konsekvenser for hele virksomheden, herunder især for salg, marketing og kundeservice.

Myte #9: Vi kan gøre alt, bare vi har et samtykke fra den registrerede

Nej. For det første er der nogle grundlæggende principper, der skal overholdes, også selv om I har et samtykke. For det andet kan der være et andet retsligt grundlag for behandling af personoplysninger, hvor der ikke er behov for at have et samtykke.

Myte #10: Hvis bare vi var klar den 25. maj 2018, så er vi på den sikre side

Det er meget fint, hvis I var klar, da persondataforordningen fik virkning d. 25. maj 2018. I skal dog huske på, at overholdelse af persondataforordningen kræver, at I kontinuerligt lever op til og sikrer overholdelse.

Vær opmærksom: Denne information kan ikke sidestilles med juridisk rådgivning. Informationen er udtryk for, hvad vi ser som 'best practice".