Anvendelsen af GDPR: Lad os rense luften

Myte 1: GDPR finder ikke anvendelse, fordi vi ikke behandler personoplysninger

Er du sikker? Overvej det lige igen! Mange virksomheder tror, at de ikke behandler personoplysninger, men sandheden er ofte en anden.

Personoplysninger omfatter langt mere end åbenlyse identificerbare oplysninger så som navn, foto eller cpr. nr. Personoplysninger bør forstås som: ”enhver form for information om en identificeret eller identificerbar fysisk person”. Forskellige oplysninger, som samlet set kan føre til identifikation af en bestemt person, betragtes som personoplysninger. Tag f.eks. informationer om fødselsdag, højde, stilling og firmanavn. Disse informationer kan samlet set føre til identifikationen af en bestemt person.

Derudover bør termen ”behandling” fortolkes bredt. Blot det at modtage eller gemme personoplysninger uden yderligere handlig gør, at GDPR er gældende for virksomheden. Det betyder, at GDPR har betydning for jer, allerede fra det øjeblik, hvor du modtager personoplysninger.

Myte 2: Overholdelse af GDPR er det samme som at have en politik om beskyttelse af personoplysninger på virksomhedens hjemmeside

En databeskyttelseserklæring er bestemt ikke nok. Man er juridisk forpligtet til gennemsigtighed, både internt og eksternt, i forhold til brugen af personoplysninger. Med en databeskyttelseserklæring kan man informere alle berørte personer om, hvordan man indsamler, bruger, videregiver og håndterer personoplysninger. De berørte personer kan f.eks. være kunder, medarbejdere og besøgende på jeres hjemmeside. At fremsætte løfter i en databeskyttelseserklæring er en ting, men den reelle udfordring består i at ændre jeres politik og virksomhedsdrift, således at I kan holder disse løfter. Andre forpligtelser omfatter at føre et register over behandlingsaktiviteter og et register over brud på persondatasik­kerheden. Hvis I bruger cookies på jeres hjemmeside, skal I have en separat cookie-erklæring. Husk på, at overholdelse af GDPR ikke er en engangsforeteelse.

Myte 3: I henhold til GDPR er det ikke tilladt at sende direkte markedsførings­meddelelser til eksisterende kunder

Hvis I havde lov til at sende e-mails til jeres kunder før, så har I højst sandsynligt stadig lov til at sende e-mails til dem i henhold til GDPR. I kan bruge legitim interesse som retsgrundlag, hvis I består en test i tre dele. I skal forfølge et legitimt formål, behandlingen skal være nødvendig for dette formål, og jeres interesser skal være så overbevisende, at fællesskabsinteressen vejer tungere end den enkeltes interesser.

I mange tilfælde er forudgående udtrykkelig godkendelse nødvendig, hvilket betyder, at forudafkrydsede felter ikke er tilstrækkelige. Der er en begrænset undtagelse - også kendt som ”soft opt-in” - for eksisterende kunder, hvilket betyder, at man kan fortsætte med at sende marketingmeddelelser om salg af egne tilsvarende produkter eller ydelser, så længe alle marketing e-mails indeholder en klar fravalgsmulighed.

I henhold til den seneste udgave af e-privacy forordningen vil omfanget og varigheden af undtagelsen vedrørende soft opt-in ændre sig. Man kan kun forlade sig på soft opt-in for selve salget og ikke længere for indsamlingen af personoplysninger i forbindelse med forhandlingen om et salg. Derudover kan medlemslandene begrænse den periode, inden for hvilken soft opt-in kan anvendes.

Myte 4: Hvis jeg udfører konsekvensanalyser, er databeskyttelse indbygget

Når man planlægger nye tiltag, der involverer behandlingen af personoplysninger, skal man tage retten til privatlivets fred i betragtning. Hvis man gør det, fra det øjeblik man begynder at designe løsningen kaldes det ”Privacy by Design” (PbD). Hvis man først adresserer privacy efter afslutningen af design- og udviklingsfaserne kan det blive omkostningsfuldt i forhold til både tid og penge, da der potentielt vil være behov for at udbedre eksisterende processer. Derudover er PbD obligatorisk i henhold til GDPR.

Det er en udbredt misforståelse at udførelsen af konsekvensanalyser (Privacy Impact Assessments) for nye produkter er det samme som Privacy by Design. En konsekvensanalyse er en registrering af et nyt tiltags privacy-niveau på et bestemt tidspunkt. At anvende Privacy by Design indebærer handling igennem hele tiltagets design- og udviklingsproces.

Sammenlignet med udførelsen af en konsekvensanalyse, så er en veldesignet Privacy by Design-proces mere effektiv. Da den stiller relevante privacy-relaterede spørgsmål igennem hele processen, kan den rettidigt give det rigtige feedback om, hvad man skal gøre. På den måde løber man ikke den risiko, at privacy først skal ”boltes fast”, når løsningen (næsten) er færdig, hvilket kan resultere i en bekostelig efterbearbejdning.

Myte 5: Man skal altid indhente samtykke fra personer, som bliver fotograferet eller filmet ved arrangementer

GDPR finder ikke anvendelse på behandling i forbindelse med rent personlige eller familiemæssige aktiviteter eller på situationer, hvor identifikation vil kræve en uforholdsmæssig stor indsats. Hvis materialet ikke opfylder (en af) disse undtagelser, kan man overveje legitim interesse som retsgrundlag for behandlingen. Formålet med at tage billedet eller at optage filmen er af særlig betydning, da det kræver en interesseafvejning.

Et billede eller en film af en begivenhed ledsaget af en beretning om denne begivenhed kan potentielt være undtaget fra talrige bestemmelser i GDPR. Det vil være tilfældet, hvis behandlingen finder sted i journalistisk øjemed. En begivenhed med social relevans kan f.eks. henhøre under journalistisk øjemed. Det er dog ikke altid tilladt at bruge det samme billede til at annoncere den næste begivenhed, da den kan have et helt andet formål.

Samtykke er påkrævet til nærbilleder, som anvendes til kommercielle formål. At lægge billeder ud på sociale medier er et tricky område. Hvis du har en privat konto eller gruppe med en lille gruppe venner, og billeder ikke deles offentligt, kan det falde ind under undtagelsen for private husholdningers aktiviteter.

Ved at aflive disse myter håber vi, at I nu har en bedre forståelse for, hvordan GDPR og Privacy bedst kan indarbejdes og adresseres i jeres organisation.