GDPR kræver ikke en privatlivspolitik

Prøv at søge efter ”privatlivspolitik” i GDPR. Resultatet? Nul hits. Det er lidt tankevækkende, når nu alle virksomheder og offentlige myndigheder har en ”privatlivspolitik” på deres hjemmeside. Hvad er så en privatlivspolitik? Det er faktisk et godt spørgsmål, men en ting er sikkert: Der er ikke tale om politik!

Privatlivspolitik er noget, som er kommet snigende og nu findes på stort set alle hjemmesider hos det offentlige, virksomheder og organisationer. Der er almindelig enighed om, at privatlivspolitikken på hjemmesiden sådan ca. indeholder de oplysningsforpligtelser, man som virksomhed har ifølge GDPR overfor eksterne parter, herunder kunder og dem som måtte skrive sig op til virksomhedens nyhedsmail (artikel 12 og 13).

Omfanget kan være fra en halv A4-side til 21 honorar-venlige sider, som jeg stødte på forleden. Sidstnævnte er uden tvivl skrevet af højt betalte GDPR-rådgivere og 100% sikkert i strid med GDPR om at oplysninger til den registrerede person skal være skrevet i ”kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog” (artikel 12, pkt. 1).

Der er bare ikke noget af det, som kan kaldes privatlivspolitik.

Lidt teori: en ”politik” for en virksomhed beskriver fx mål, retning og værdier. Lidt som et fyrtårn virksomheden pejler efter. Den indeholder ikke specifikke oplysninger om, hvordan virksomheden vil opnå målet. Fx kan en virksomhed have et mål om, at inden år 2025 vil den udlede 50 % mindre CO2 end i dag. Hvordan det så nærmere skal udmønte sig, fremgår ikke af politikken bortset fra måske noget med brug af strøm fra vindmøller, elbiler og færre rejser ud i verden, men ikke de nærmere specifikke tiltag ved omstillingen.

Forskel på regler og politik
GDPR indledes med 32 siders ”betragtninger” (præambel), som indeholder baggrund og formål. Disse er ikke som sådan en del af forordningen, men kan blive brugt ved fortolkning af artiklerne hos ikke mindst EU-domstolen. En af betragtningerne lyder: ”Denne forordning har til formål at bidrage til skabelsen af et område med frihed, sikkerhed og retfærdighed samt en økonomisk union og til økonomiske og sociale fremskridt, styrkelse af og konvergens mellem økonomierne inden for det indre marked og fysiske personers velfærd.” Det er politik.

De enkelte artikler beskriver, hvordan de overordnede betragtninger udmøntes i praksis. Og der er ikke tale om politik, men regler.

Det fremgår f.eks. af artikel 13, at når der indsamles oplysninger om en person, skal denne have oplyst, hvem der er den dataansvarlige, og hvor lang tid oplysningerne gemmes. Det er udmøntningen af de overordnede hensyn, som ligger bagved GDPR. Oplysningerne om dataansvarlig og slettefrist fremgår altid af de privatlivspolitikker, som ligger rundt omkring på hjemmesider sammen med en række meget specifikke oplysninger, som skal gives.

Ud over en semantisk øvelse, så mener jeg, at der kan være en risiko for, at man tror, at indholdet af en privatlivspolitik rent faktisk er en politik. Hvis direktøren spørger: ”Har vi en privatlivspolitik?” så får han svaret ”ja” og går så i den tro, at der rent faktisk er nogen, som har overvejet mål, retning og værdier – jf. ovenfor – hvilket typisk ikke vil være tilfældet. Dem, der bliver spurgt, aner ofte ikke uråd, men ved bare ikke bedre. Og det gør deres GDPR-rådgiver heller ikke, for hvad er forskellen på politik og regler? Det er vigtigt, at virksomhederne har en klar politik for behandling af personoplysninger, og de kan nemt være i den vildfarelse, at de rent faktisk har en.

Det mener jeg, er et stort problem. Løsningen kunne være, at den dataansvarlige giver de oplysninger, som skal gives i ”kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog”, som nævnt ovenfor. Hvis den dataansvarlige føler for det, kan denne herudover udarbejde en politik for behandling af personoplysninger.

Og så lige en bekendelse: hos vores mange kunder, så kalder vi også den oplysningspligt, som vi lægger på hjemmesiden for ”privatlivspolitik”. Hvor forkert betegnelsen end er, så er det svært at gå op imod strømmen på kundeniveau. Dette er meget bedre i en blog som denne.

 

 

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle