5 år med GDPR – Hvad har vi lært?

Tiden før GDPR

Før GDPR trådte i kraft i 2018, var området primært reguleret af det dagældende EU-direktivs regler om beskyttelse af personoplysninger, som blev vedtaget i 1995 og trådte i kraft i 2000 med vedtagelsen af den danske persondatalov. Vedtagelsen af GDPR udgjorde således en skærpelse af de dagældende regler.

Hvad har vi lært?

Der er nu gået 5 år med GDPR. Siden 2018 er vi blevet klogere på en række områder:

• Mange virksomheder har ikke, eller kun i mindre grad, haft styr på deres interne processer mv. for behandling af persondata. Implementeringen af GDPR har således medført et større fokus på området og dermed en anledning til at implementere processer og procedurer for compliance. Mange virksomheder er således startet stort set fra nul, hvilket omvendt har givet lejlighed til at oparbejde et godt grundlag for compliance.
• Der har – og hersker stadig – misforståelser om GDPR og hvordan man må behandle persondata. Det er fx ikke i strid med GDPR at have en kageliste på kontoret. Retten til at behandle personoplysninger kommer an på en konkret vurdering, herunder hvad hjemlen er for behandlingen. Derudover kan man i nogle sammenhænge bede en virksomhed om at stoppe med at behandle ens personoplysninger, fx til direkte markedsføring.
• GDPR-compliance er en løbende opgave i enhver virksomhed. Hvis en virksomhed således ikke har foretaget ændringer fx i sine artikel 30 fortegnelser siden 2018, vil nu være en passende anledning til at få efterset sine compliance aktiviteter, herunder at iværksætte løbende processer for at sikre compliance.

I anledning af GDPR’s 5-års fødselsdag, præsenteres en top-5-liste over grundlæggende GDPR-opgaver:

1. Artikel 30 fortegnelser: Virksomheder skal overholde deres dokumentationskrav, hvorefter alle aktiviteter med personoplysninger, skal være beskrevet ud fra bestemte kriterier. Det er vigtigt at sørge for at vedligeholde ens fortegnelser, dvs. at opdatere ved ændringer eller nye aktiviteter.
2. Persondatapolitik: En virksomhed skal informere om, hvordan virksomheden behandler personoplysninger om fx medarbejdere, kunder og leverandører. Denne oplysningspligt opfyldes typisk ved at udarbejde en eller flere persondatapolitikker til de respektive persongrupper.
3. Have styr på behandlingsgrundlag: Når en virksomhed indsamler og behandler personoplysninger, skal der være et behandlingsgrundlag, som også skal fremgå af politikken i pkt. 2. Man kan ikke selv formulere et behandlingsgrundlag, da mulighederne fremgår direkte af GDPR. Man skal derfor konkret vurdere hver aktivitet for sig og vælge det eller de bedst egnede behandlingsgrundlag. Mange vælger samtykke, men det er langt fra altid det bedste behandlingsgrundlag.
4. Retningslinjer og løbende træning til medarbejdere: En virksomhed skal sikre sig, at alle medarbejdere, der behandler personoplysninger, har modtaget information om, hvordan oplysninger skal håndteres, herunder også procedurer ved databrud.
5. Databehandlere: En virksomhed skal sikre sig, at de har deres databehandleraftaler på plads med de virksomheder, som der er uddelegeret databehandling til, samt at man har foretaget en risikovurdering og løbende fører tilsyn.

Afslutningsvist er det væsentligt at bemærke, at der naturligvis skal være overensstemmelse mellem det man siger man gør, og dét man gør i praksis. Derfor er GDPR-compliance en løbende opgave, hvor ændringer i procedurer eller databehandler kan betyde, at retningslinjer og fortegnelser ligeledes skal opdateres. Og så er det vigtigt, at man kan dokumentere, at man gør det, man siger.

Hvad ser vi frem imod?

Ifølge advokat Emilie Andrea Busk fra Advodan Glostrup København og advokatfuldmægtig Marina Faurschou fra Advodan Holbæk København, er det vanskeligt at spå om fremtiden og hvad vi kan forvente de næste 5, 10 og 20 år. Ikke desto mindre vil et oplagt bud være større fokus på brugen af kunstig intelligens (artificial intelligence/AI). AI har løbende været et emne for stor diskussion og debat, hvilket implementeringen af ChatGPT i slutningen af 2022 har bidraget endnu mere til. Brugen af AI stiller naturligvis spørgsmålstegn ved hvordan persondata behandles ved teknologi, som gør brug af kunstig intelligens, og hvordan rettigheder sikres i denne forbindelse. Senest har det europæiske databeskyttelsestilsyn (EDPB) nedsat en taskforce til samarbejde og informationsudveksling vedrørende ChatGPT, og EU er også på vej med regulering af kunstig intelligens med The AI Act.