Baggrund og Problem
Mange SMV’er oplever, at det er svært at håndtere databeskyttelsesreglerne. Der er meget information om, hvad reglerne kræver – og ikke mindst myter om samme. Selvom Datatilsynet har udsendt en række brugbare vejledninger på området, er det svært for virksomhederne at gennemskue, hvad der reelt skal til for at overholde reglerne, særligt i de mindre virksomheder, hvor en person står både for it, HR og al generel compliance. Konsekvensen bliver nemt, at virksomhederne ikke lever op til databeskyttelsesreglerne, fordi de ikke kommer i gang med arbejdet – eller at reglerne overimplementeres i virksomhederne (baseret på myter) med deraf følgende negative konsekvenser for virksomhedernes fleksibilitet ved tilrettelæggelse af interne procedurer og lignende.
Anbefaling
Anbefaling
Regelforum anbefaler, at regeringen udvikler et koncept for SMV virksomheders efterlevelse af databeskyttelsesreglerne, så virksomhederne får nemmere ved at overholde databeskyttelsesreglerne.
Dette kan eksempelvis være en samlet vejledning, der i letforståeligt sprog trin for trin gennemgår, hvad en SMV virksomhed, der alene behandler almindelige persondata som led i deres forretning, skal gøre. Vejledningen bør kombineres med skabeloner til de dokumenter, der bør udleveres. Skabelonerne skal være så anvendelige som muligt, fx via mulighed for afkrydsning af hvilke oplysninger, der behandles, og foruddefineret forslag til hjemmelsgrundlag for behandlingerne.
Regelforum anbefaler, at konceptet udvikles i samarbejde med erhvervsorganisationerne for at sikre, at resultatet bliver så brugbart og relevant som muligt for virksomhederne i forhold til såvel materielt indhold som sprog.
Potentiale
SMV-segmentet udgør langt størstedelen af danske virksomheder. Der er omtrent 300.000 SMV’er i Danmark (defineret som virksomheder med under 100 ansatte, herunder enkeltmandsvirksomheder).
Ofte vil SMV virksomheder, der – udover medarbejderoplysninger - alene behandler almindelige oplysninger som eksempelvis oplysninger om leverandører og kunder være sammenlignelige, selvom de arbejder inden for forskellige brancher, idet det i vidt omfang vil være de samme vurderinger, der skal foretages. Det kan for eksempel være en mindre håndværksvirksomhed, der alene behandler kundens kontaktoplysninger og oplysninger om det arbejde, som de har udført for den pågældende kunde, eller en mindre produktionsvirksomhed, der alene behandler kontaktoplysninger i forhold til kunder og leverandører samt disses ordrehistorik.
Derfor bør det være muligt at udarbejde et samlet koncept, hvor det skitseres, hvilke spørgsmål virksomheden skal overveje, herunder oplysninger der typisk behandles, det typiske hjemmelsgrundlag, generelt acceptable slettefrister, behandlingssikkerhed, oplysningstekster med videre.
Konceptet bør udvikles med bistand fra erhvervslivets organisationer, så det afspejler virksomhedernes virkelighed, og sammensættes så det er letforståeligt for virksomhederne. Den kreds af repræsentanter fra erhvervslivet, der deltager i Erhvervslivets EU- og Regelforums GDPR-arbejdsgruppe, står til rådighed for uddybning og videreudvikling af ideen og bistår gerne Datatilsynet i arbejdet med en samlet vejledning til SMV-virksomheder med tilknyttede skabeloner.
Konceptet bør ideelt være ”plug’n’play” for de mindre virksomheder, så de får lettere adgang til at komme i mål med databeskyttelsesreglerne. I den forbindelse bør andre kommunikationsformer end traditionelle vejledninger også tages i brug, eksempelvis podcast, online guides, mv. for at målrette kommunikationen til SMV-virksomheder.
Det er Regelforums vurdering, at et sådant tiltag vil have en betydeligt positiv effekt på SMV virksomhedernes efterlevelse af databeskyttelsesreglerne.
I tillæg hertil vil tiltaget også kunne hjælpe større virksomheder, der alene behandler almindelige oplysninger som led i deres forretning, og som sideeffekt også medvirke til bedre efterlevelse af databeskyttelsesreglerne i disse virksomheder.
Relevant regulering
Databeskyttelsesforordningen og databeskyttelsesloven
Regeringens svar
Svar til Regelforum
Datatilsynet vil påbegynde udarbejdelse af et koncept for SMV virksomheders efterlevelse af databeskyttelsesreglerne.
Det er tilsynets hensigt at inddrage erhvervslivet i dette arbejde. Endvidere vil Datatilsynet fortsætte med at udarbejde bl.a. episoder i tilsynets podcast om databeskyttelsesreglerne, som særligt er rettet mod SMV virksomhederne.
Regeringens afrapportering på anbefaling
Datatilsynet har gennemført anbefalingen.
I en nyhed på Datatilsynets hjemmeside og under et webinar i regi af Dansk Erhverv (sammen med også Dansk Industri og SMVdanmark) lancerede Datatilsynet således den 4. maj 2023 et nyt vejledningsunivers om GDPR til mindre virksomheder. Vejledningsuniverset er udviklet med fokus på overskuelighed og konkrete eksempler, ligesom det er skrevet på jævnt dansk.
Materialet er udviklet i tæt samarbejde med Dansk Erhverv, Dansk Industri og SMVdanmark som repræsentanter for målgruppen, og det er bygget op omkring 7 trin, som virksomheder kan følge for at få bedre styr på deres GDPR-compliance. Til hvert trin er der lavet konkrete eksempler. Endvidere består materialet af en omfattende FAQ såvel som jordnære beskrivelser af de grundlæggende begreber i GDPR.
Se GDPR universet på Datatilsynets hjemmeside.
Det kan i øvrigt oplyses, at alene GDPR universets indgangsside er pr. 12. oktober 2023 blevet vist mere end 16.000 gange.