ER DETAILBRANCHEN KLAR TIL DATABESKYTTELSESLOVEN?

13. april 2018
Den nye databeskyttelseslov træder i kraft den 25. maj. Med den stigende mængde af dataindsamling i detailhandelen, er det bydende nødvendigt at virksomhederne er velforberedte når det sker.

Når loven er trådt i  kraft, har Datatilsynet mulighed for at bede om en skriftlig fortegnelse over alle de aktiviteter, der indgår i virksomhedens behandling af personoplysninger. Virksomhederne må derfor skabe sig et overblik over, hvilke personoplysninger man indsamler og behandler, hvad formålet er med det, og vigtigst af alt, hvilken hjemmel man har til det.

Persondata og databehandling
Ifølge loven skal persondata forstås som alt der ’direkte eller indirekte kan henføres til en person – også selvom det kun er muligt for særligt indviede at forstå, hvem oplysningen vedrører’, jf. art. 4,1. Det er altså ikke alene de indlysende data som navn, adresse og cpr. nummer, men også krypterede oplysninger og dynamiske IP-adresser. Undtagelsen herfra er anonyme oplysninger, som f.eks. statistik.

Lovens definition af databehandling er lige så bred: ‘enhver håndtering af persondata – hvad enten den er elektronisk eller manuel – anses som behandling af persondata’, jf. art. 4,2. F.eks. når en kunde giver sine kontaktoplysninger, ved brug af cookies, når personoplysninger gives videre eller skal slettes. Det anses alt sammen som databehandling.

Strengere krav til samtykke
Virksomheden skal også kunne dokumentere, hvilket retligt grundlag man har til at indsamle og behandle de forskellige personoplysninger. Hvis hjemlen f.eks. er samtykke, skal man være opmærksom på, at der her er sket en stramning i forhold til de nuværende regler. Tidligere skulle samtykket være ‘frivilligt, specifikt og informeret’. Hertil er nu kommet kravet om at det også skal være ‘utvetydigt’. Det vil sige, at kunden skal foretage en aktiv handling, eksempelvis afkrydse et felt på en formular. Det betyder så også, at det er ulovligt at have forud-afkrydsede felter på virksomhedens formularer og hjemmeside. Desuden kan passiv accept ikke sidestilles med samtykke. Der skal en aktiv handling til.

Udover det, skal virksomhederne udarbejde en ny persondatapolitik , hvor det fremgår hvilken hjemmel man har til at indsamle oplysninger, og hvilke rettigheder den registrerede har efter de nye regler. I web-butikker skal persondatapolitikken fremgå tydeligt på hjemmesiden, mens kravene til de fysiske butikker er mere uklare.  Desuden skal virksomhederne også lave interne procedurer for, hvordan de håndterer det, hvis kunder vil have slettet oplysninger eller tilbagekalder deres samtykke.

Hvem skal have en databeskyttelsesrådgiver?
Databeskyttelsesloven stiller også nye krav til virksomhedernes brug af databehandlere. Som dataansvarlige skal virksomhederne indgå nye skriftlige aftaler med alle databehandlere og  der stilles også specifikke krav, som databehandlerne skal opfylde. Det kan bl.a. betyde, at databehandleren i visse tilfælde har pligt til at udnævne en databeskyttelsesrådgiver. Der er tre krav og de skal alle være opfyldt: 1. Behandlingen af personoplysninger er en ‘kerneaktivitet’ 2. Det sker i stort omfang 3. Behandlingen består i regelmæssig og systematisk overvågning af personer.  Typiske eksempler på sådanne virksomheder er: Forsikringsselskaber, teleselskaber, virksomheder der udfører markedsføringsundersøgelser og privathospitaler.

Sanktioner
Straffen for at overtræde de nye regler er voldsomt forhøjet. Hvor virksomhederne tidligere kunne blive idømt en bøde på højst 25.000 kr., er der nu tale om bøder i millionklassen: Op til 20.000.000 € eller 4% af den globale omsætning. Det betyder at virksomhederne nu og fremover bliver nødt til at sætte ekstra ressourcer af, for at sikre at de opfylder kravene i forordningen. Er din virksomhed klar?

Find mere information om databeskyttelsesloven på:
https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/

Artiklens forfatter:

citat_gul

enhver håndtering af persondata – hvad enten den er elektronisk eller manuel – anses som behandling af persondata
Lovens definition af databehandling  jf. art. 4,2.