Nummer: 10

UDVIKLING AF SMV-KONCEPT FOR EFTERLEVELSE AF REGLERNE

Mange små og mellemstore virksomheder (SMV’er) oplever, at det er svært at håndtere databeskyttelsesreglerne. Regelforum anbefaler, at regeringen udvikler et koncept for SMV’ers efterlevelse af databeskyttelsesreglerne med en samlet vejledning og skabeloner rettet mod SMV’er, der alene behandler almindelige personoplysninger i deres forretning, så disse i højere grad efterlever databeskyttelsesreglerne. 

Dato:
22. juni 2020
Type af anbefaling:
National lovgivning
Tema:
GDPR
Ansvarlig ministerium:
Justitsministeriet
Status på anbefaling:
Følges

Mange SMV’er oplever, at det er svært at håndtere databeskyttelsesreglerne. Der er meget information om, hvad reglerne kræver – og ikke mindst myter om samme. Selvom Datatilsynet har udsendt en række brugbare vejledninger på området, er det svært for virksomhederne at gennemskue, hvad der reelt skal til for at overholde reglerne, særligt i de mindre virksomheder, hvor en person står både for it, HR og al generel compliance. Konsekvensen bliver nemt, at virksomhederne ikke lever op til databeskyttelsesreglerne, fordi de ikke kommer i gang med arbejdet – eller at reglerne overimplementeres i virksomhederne (baseret på myter) med deraf følgende negative konsekvenser for virksomhedernes fleksibilitet ved tilrettelæggelse af interne procedurer og lignende.

Anbefaling

Regelforum anbefaler, at regeringen udvikler et koncept for SMV virksomheders efterlevelse af databeskyttelsesreglerne, så virksomhederne får nemmere ved at overholde databeskyttelsesreglerne.
 
Dette kan eksempelvis være en samlet vejledning, der i letforståeligt sprog trin for trin gennemgår, hvad en SMV virksomhed, der alene behandler almindelige persondata som led i deres forretning, skal gøre. Vejledningen bør kombineres med skabeloner til de dokumenter, der bør udleveres. Skabelonerne skal være så anvendelige som muligt, fx via mulighed for afkrydsning af hvilke oplysninger, der behandles, og foruddefineret forslag til hjemmelsgrundlag for behandlingerne. 
 
Regelforum anbefaler, at konceptet udvikles i samarbejde med erhvervsorganisationerne for at sikre, at resultatet bliver så brugbart og relevant som muligt for virksomhederne i forhold til såvel materielt indhold som sprog.

Potentiale

SMV-segmentet udgør langt størstedelen af danske virksomheder. Der er omtrent 300.000 SMV’er i Danmark (defineret som virksomheder med under 100 ansatte, herunder enkeltmandsvirksomheder). 
 
Ofte vil SMV virksomheder, der – udover medarbejderoplysninger - alene behandler almindelige oplysninger som eksempelvis oplysninger om leverandører og kunder være sammenlignelige, selvom de arbejder inden for forskellige brancher, idet det i vidt omfang vil være de samme vurderinger, der skal foretages. Det kan for eksempel være en mindre håndværksvirksomhed, der alene behandler kundens kontaktoplysninger og oplysninger om det arbejde, som de har udført for den pågældende kunde, eller en mindre produktionsvirksomhed, der alene behandler kontaktoplysninger i forhold til kunder og leverandører samt disses ordrehistorik. 
 
Derfor bør det være muligt at udarbejde et samlet koncept, hvor det skitseres, hvilke spørgsmål virksomheden skal overveje, herunder oplysninger der typisk behandles, det typiske hjemmelsgrundlag, generelt acceptable slettefrister, behandlingssikkerhed, oplysningstekster med videre. 
 
Konceptet bør udvikles med bistand fra erhvervslivets organisationer, så det afspejler virksomhedernes virkelighed, og sammensættes så det er letforståeligt for virksomhederne. Den kreds af repræsentanter fra erhvervslivet, der deltager i Erhvervslivets EU- og Regelforums GDPR-arbejdsgruppe, står til rådighed for uddybning og videreudvikling af ideen og bistår gerne Datatilsynet i arbejdet med en samlet vejledning til SMV-virksomheder med tilknyttede skabeloner. 
 
Konceptet bør ideelt være ”plug’n’play” for de mindre virksomheder, så de får lettere adgang til at komme i mål med databeskyttelsesreglerne. I den forbindelse bør andre kommunikationsformer end traditionelle vejledninger også tages i brug, eksempelvis podcast, online guides, mv. for at målrette kommunikationen til SMV-virksomheder. 
 
Det er Regelforums vurdering, at et sådant tiltag vil have en betydeligt positiv effekt på SMV virksomhedernes efterlevelse af databeskyttelsesreglerne.  
 
I tillæg hertil vil tiltaget også kunne hjælpe større virksomheder, der alene behandler almindelige oplysninger som led i deres forretning, og som sideeffekt også medvirke til bedre efterlevelse af databeskyttelsesreglerne i disse virksomheder. 

Relevant regulering

Databeskyttelsesforordningen og databeskyttelsesloven 

Svar til Regelforum

Datatilsynet vil påbegynde udarbejdelse af et koncept for SMV virksomheders efterlevelse af
databeskyttelsesreglerne.

Det er tilsynets hensigt at inddrage erhvervslivet i dette arbejde. Endvidere vil Datatilsynet fortsætte med at udarbejde bl.a. episoder i tilsynets podcast om databeskyttelsesreglerne, som særligt er rettet mod SMV virksomhederne.