Den 25. maj 2018 blev nye og mere restriktive krav til persondatabeskyttelse indført – som en direkte effekt af ny EU-forordning.

Formålet med de nye bestemmelser er, at sikre at man som forbruger i en stadig mere digital og global verden har den uforbeholdne ret og adgang til egne data, som kan klassificeres som personfølsomme. Personfølsomme data er ikke nødvendigvis håndgribelige data som positivt kan oplistes, men kan i lige så høj grad være indsamlede data omkring indkøbsvaner, søgemønstre på nettet osv. Disse data kan anvendes af leverandører, således at markedsføring målrettes de interesser du har udvist via din færden på nettet. En sådan kommerciel anvendelse kan synes harmløs, men kan også blive til et voldsomt irritationsmoment afledt af uønskede mails eller et bombardement af tilbud på varer og ydelser – som er et resultat af en digitalt indsamlet personificering af hvem du er – ifølge statistikken. Det betyder, at uheldig netadfærd kan resulterer i efterfølgende ubehageligheder. De indsamlede data kan også være af personlig krænkende karakter – som senere kan anvendes som misbrug eller direkte bestikkelse. Uanset ny (ændret) lov er sidstnævnte naturligvis i den ulovlige ende af skalaen.

Som virksomhedsejer er du omfattet af bestemmelserne om persondatabeskyttelse. Dette gælder også, selvom du ikke aktivt anvender egen hjemmeside eller på anden måde i udvidet forstand driver virksomheden digitalt. Du skal som virksomhed fortsat sikre, at evt. besøg på din hjemmeside ikke medføre ulovlig digital registrering af den besøgende (eller at denne som minimum varsles herom på hjemmesiden), du skal sikre at de data du opbevarer om dine kunder (navn, adresse, telefonnummer, mail, type/omfang af varer/ydelser) kun er tilgængelig for de personer i virksomheden, der skal anvende dataene for at opfylde det leveringskrav der er mellem dig og din kunde. Herudover skal du sikre, at datene slettes når de ikke længere skal anvendes – enten fordi bogføringslovens almindelige opbevaringskrav er ophørt og/eller kunderelationen er ophørt.

Har du ansatte opbevarer du som virksomhed også personfølsomme data, som skal behandles derefter. Data på tidligere ansatte skal slettes efter max. 5 år.

Alle de politikker som din virksomhed fastsætter omkring persondatabeskyttelse skal være skriftlige. Disse data skal også omfatte evt. udveksling med tredje mand, f.eks. myndigheder, samt om data anvendes til andre formål end blot levering af varer/ydelse.

Datatilsynet har nu igennem ca. 1 år lavet kontroller af persondatareglerne (GDPR) og der er i flere tilfælde varslet store bøder for manglende overholdelse. Er du i risikogruppen? 2+ Revision tilbyder at lave et indledende GDPR-tjek ude i din virksomhed. I tilknytning til dette tjek kan vi bidrage med at sammensætte en plan for Jeres fremtidige GDPR-politikker.

Kontakt statsaut. revisor Per Kristensen (per@2plus-revision.dk) hvis du vil høre nærmere om vores GDPR-tjek.