Hvordan adskiller efterlevelse af GDPR sig for store og små virksomheder?
Datatilsynet har netop lanceret et ”GDPR-univers for små virksomheder” – men hvad er egentlig forskellen på, om du er en stor eller lille virksomhed, når det kommer til efterlevelse af reglerne i GDPR.
Guiden består overordnet af 7 punkter: GDPR-univers for små virksomheder (datatilsynet.dk)
- Trin 1: Skab overblik
- Trin 2: Spørg dig selv “hvorfor?”
- Trin 3: Husk at slette
- Trin 4: Oplys om, at du behandler personoplysninger
- Trin 5: Sørg for at have gode procedurer
- Trin 6: Husk sikkerheden
- Trin 7: Du er også ansvarlig, når du deler
Har du styr på de 7 punkter, er du klar til f.eks. et tilsyn eller en kundehenvendelse omhandlende GDPR. Denne konklusion gælder, uanset om du er en stor eller en lille virksomhed.
Der kan fremhæves to centrale elementer, der gør, at efterlevelse af GDPR adskiller sig for store og små virksomheder, og som gør det ”lettere” for små virksomheder, at efterleve GDPR:
- Kompleksitet/fragmentering i arbejdsprocesser,
- Forståelse for og accept af ”forkerte” vurderinger.
Kompleksitet/fragmentering i arbejdsprocesser
Jo større skala, jo mere komplekst. Sådan har tingene det ofte med at blive – eller i hvert fald ”se ud”. Derfor kræver det forholdsmæssigt flere ressourcer at kortlægge og drifte et complianceprogram i en stor virksomhed, fordi den nødvendige viden om dataflowet i virksomhedens mange IT-løsninger og forretningsprocesser er spredt ud på mange forskellige medarbejdere.
I en mindre virksomhed er processerne ofte mere overskuelige, og der vil typisk være én person, der kan beskrive alle relevante dataflows og processer. Dette element gør efterlevelsen af GDPR lettere for de mindre virksomheder.
Forståelse for og accept af ”forkerte” vurderinger
Det er Datatilsynets eksplicitte holdning, at hvis der er gjort en ærlig indsats for at efterleve de databeskyttelsesretlige regler, tæller det positivt med i deres vurdering. Heri ligger, at en stor virksomhed med jurister ansat i højere grad forventes at lave korrekte vurderinger.
Kan du som lille virksomhed vise, at du har ydet en ærlig indsats for at følge reglerne, vil en evt. forkert vurdering med altovervejende sandsynlighed ikke blive sanktioneret med bøde. Det modsatte kan imidlertid være tilfældet, hvis du bevidst ikke har forholdt til dig til reglerne. Derfor er anbefalingen fra os, at man som minimum gør en ærlig indsats.
Sådan efterlever små virksomheder GDPR
Vigtigst af alt: Det er en overskuelig opgave!
Anskaf en IT-løsning, der er indrettet til at styre og holde overblik over ovenstående 7 trin (compliancesystem). Sådan en løsning kan fås for mellem 500 – og 1.000 kr. om måneden. Udpeg herefter en medarbejder – evt. dig selv – som ansvarlig for at udføre GDPR-relaterede opgaver.
Compliancesystemet er indrettet til at hjælpe dig med at kortlægge og dokumentere relevante oplysninger omkring behandling af personoplysninger. Som lille virksomhed bør det ikke tage lang tid at skabe et overblik over behandlingsaktiviteterne.
I forbindelse med kortlægningen skal der foretages forskellige vurderinger om f.eks. behandlingsgrundlag, risici forbundet med behandlingsaktiviteten samt sletteregler. I den sammenhæng laver du din bedste vurdering og skriver dine overvejelser ned – og så ikke mere. Du skal ikke hænge dig i detaljerne, men derimod bruge din sunde fornuft.
Når det indledende arbejde er gjort, vil der løbende være en opgave med at holde beskrivelser og vurderinger opdaterede samt faktisk at efterleve de “regler” om f.eks. sletning, der defineres i forbindelse med kortlægningen. Til dette formål kan der med fordel udarbejdes interne procedurer og kontroller, der sikrer efterlevelsen løbende samt at der ved større ændringer i dataflow – f.eks. i forbindelse med indkøb af et nyt HR- eller CRM-system, indkøring af nyt markedsføringsmedie e.l., sker en opdatering af oplysningerne i compliancesystemet.
Afrunding
Ovenstående indlæg forsøger at afdramatisere efterlevelse af GDPR for små virksomheder som en kæmpestor og uoverskuelig opgave. Har du gjort en ærlig indsats for at efterleve de 7 punkter ovenfor, behøver du ikke at ikke at ”frygte” henvendelser fra Datatilsynet, kunder eller samarbejdspartnere om GDPR.
Jakob Spliid, Morten Schaumann