22.10.2018

GDPR: Kundeklubber og datingsider skal være på vagt

Af Mie Liljeberg

Knap fire måneder efter den nye persondataforordning er trådt i kraft, er der fortsat usikkerhed blandt virksomhederne. Det er især kundeklubber og datingsider, der skal have styr på dataen, når der bliver gennemført en række tilsyn i 2019.

Da den nye persondatalov trådte i kraft den 25. maj, blev kravene til virksomhedernes håndtering af persondata skærpet. Men det kan være svært for virksomhederne at vide, om de lever op til kravene.

”En af de store udfordringer, vi oplever, er usikkerhed om detaljegraden. Datatilsynet forventer en detaljeret gennemgang, hvor alt skrives ned. Men da der er tale om et nyt retsområde, er der stor usikkerhed i forhold til, hvor fokus skal lægges, og hvordan niveauet skal sættes,” fortæller Lisbeth Lindorff Riis, der er cand.jur og Head of HR Legal hos Azets.

For at være på den sikre side har særligt datingsider samt kunde- og loyalitetsklubber brugt mange kræfter på at udsende mails for at få modtagerens samtykke jf. de nye regler og dermed bibeholde det eksisterende kunde- og brugerkartotek.

”Datatilsynet vil i første omgang komme til at have fokus på kundeklubber og datingsider. De har en utrolig stor database med informationer, der ikke nødvendigvis er hentet korrekt ind i første omgang. Datatilsynet vil derfor være interesseret i, hvordan kundeklubberne og datingsiderne håndterer deres data efter den nye lov er trådt i kraft,” fortæller Lisbeth Lindorff Riis.

Flere planlagte tilsyn i 2018

I hele 2017 udførte Datatilsynet blot 38 tilsyn. Det er knap 45 pct. færre tilsyn end i 2015. Forberedelser og planlægning i forbindelse med den nye persondatalov er nu overstået, og Datatilsynet har derfor varslet en lang række planlagte tilsyn.

”Datatilsynet planlægger hvert år en række tilsyn, og man kan på deres hjemmeside følge med i, hvad de helt konkret vil undersøge,” fortæller Lisbeth Lindorff Riis.

Hun fremhæver især to punkter, som private virksomheder skal være særligt opmærksomme på: Behandlingsgrundlag og persondatasikkerheden hos private virksomheder samt sletning af personoplysninger hos private virksomheder.

Databeskyttelse og efterlevelse af de nye regler kan nemlig hurtigt blive en tung proces – særligt for små virksomheder, der ikke har ressourcer til at afsætte en fast stilling til at håndtere de mange processer.

”Selvom man ikke umiddelbart har ressourcerne til det, er det vigtigt, at man som virksomhed har fokus på, hvorfor man modtager data, til hvilket formål, og hvornår de slettes. Har man ikke det, kan det blive en dyr affære,” lyder vurderingen fra Lisbeth Lindorff Riis.

Fokus på den gode sletterutine

Et andet omdiskuteret emne er sletning af data. Persondataforordningen forskriver nemlig, at oplysninger kun må gemmes, så længe det er nødvendigt. Men den definition kan for mange blive svær, f.eks. når det gælder hotelgæster, kundekartoteker og rekruttering.

”Jeg oplever rigtig mange virksomheder, der er i tvivl om, hvordan de skal forholde sig til data under en rekrutteringsproces. I princippet skal CV og data slettes efter første ansættelsesrunde, og det er derfor ikke muligt at gemme ansøgere til senere rekruttering,” siger Lisbeth Lindorff Riis.

Netop sletning af data er et af de områder, der har fået særlig meget opmærksomhed i perioden op til den 25. maj 2018. Datatilsynet vil derfor have ekstra fokus på, om private virksomheder har fået indarbejdet sletterutiner, der lever op til de nye krav.