Er du freelancer eller selvstændig med en mindre virksomhed, skal du regne med, at du skal arbejde ekstra hårdt for at komme helskindet ud på den anden side af regler og paragraffer i EU's nye persondataregler.
”Det er et omfattende system og bare det at få håndteret reglerne kræver tid, hvilket gør det meget svært for små virksomheder,” siger Nils Mulvad, direktør i Kaas & Mulvad.
Kaas & Mulvads virksomhed står på to ben: Det ene ben handler om indsamling, strukturering og analyse af forskellige former for data, mens det andet ben er kursusvirksomhed. Persondataforordningen, GDPR, spiller derfor ind på Kaas & Mulvad på to forskellige måder.
”Kursusvirksomheden kræver for eksempel, at vi skal lave aftaler med blandt andet vores revisor, vores mailingliste-leverandør og vores bogføringssystem. Vi skal også have rutiner for, hvordan vi behandler personoplysninger. Vi må for eksempel ikke længere sende mails til kursisterne, hvor de kan se hinandens email-adresser,” siger Nils Mulvad.
Han kalder systemet skørt.
”Man vil kontrollere de store spillere som Google og Facebook, og så laver man et samlet system, som alle skal høre under. Reglerne rammer de små og hjælper de store,” siger Nils Mulvad.
Journalisten har gennem de seneste måneder vist, hvordan de store mediehuse har haft deres hyr med persondataforordningen. For eksempel har Anders Blauenfeldt, digital direktør hos TV 2, fortalt, at TV 2 har lagt en "omfattende" mængde arbejde i at implementere de nye regler:
”Jeg kan ikke fortælle dig antal årsværk, men jeg kan sige, at vi – på linje med de fleste større virksomheder – har arbejdet med det her i et års tid. Vi startede op i starten af ’17,” har han sagt til Journalisten.
En tidsrøver
En af de små selvstændige, der arbejder med at indføre de nye regler, er Anne Falck. Hun driver sit eget kommunikationsfirma i Jammerbugt Kommune med fokus på blandt andet forretningsstrategi og større synlighed for kunderne. Det er, hvad hun med egne ord kalder ”god gammeldags pr”.
”Jeg har higet efter guidelines, der har kunnet fortælle mig, hvordan jeg i min lille virksomhed skal forholde mig til de nye regler,” fortæller Anne Falck.
Hun har oplevet, hvordan GDPR er en tidsrøver.
Ud over almindelig journalistisk research har Anne Falck derfor deltaget i to arrangementer, hvor GDPR er blevet forklaret til mindre virksomheder. Specielt det sidste arrangement viste, hvordan GDPR rammer bredt hos de mindre virksomheder.
”Vi sad 120 mennesker – alle lige fra den lokale murermester til mig – og hørte en advokat fortælle, hvad GDPR egentlig handler om.”
I sidste ende faldt hun over en guide på LinkedIn:
”Den formulerede reglerne, som jeg også tænkte, de skulle ses.”
Panderynker i Farum
I den anden ende af landet – nærmere bestemt i Farum – sidder Katja Moikjær. Hun er blogger og driver sammen med en kollega Pudderdåserne.dk – en skønhedsblog ”med masser af gode råd, makeup guides, røde læber og ærlige anmeldelser – 100 % fri for bullshit,” som de selv formulerer det.
Også her har GDPR givet anledning til panderynker.
”På blogsiden har vi intet gjort, da vi går ud fra, at vores udbyder af hjemmesiden har styr på reglerne,” siger Katja Moikjær.
Men ud over at skrive en blog har Moikjær og hendes partner også deres egen make-up-serie. Her bliver GDPR mere konkret.
”I forbindelse med vores serie har jeg en lille sort bog med navne og oplysninger på 30-40 journalister, bloggere og youtubere med make-up og skønhed som deres stofområde. Jeg bruger listen, når jeg skal lave pr,” siger Katja Moikjær.
”Jeg kunne skrive mail til journalisterne om Pudderdåserne og GDPR, men det vil virke helt overdrevet. Hvis jeg sendte mailen, er jeg sikker på, at de ville falde ned af stolene af grin,” fortsætter hun.
Så når alt kommer til alt:
”Reglerne er så avancerede og omfattende, at jeg har opgivet at læse op på dem,” siger Katja Moikjær.
Tilbage i Jammerbugt Kommune:
”Jeg er slet ikke i bund, og jeg arbejder stadig på at indføre procedurer omkring min håndtering af data. Det er et stort arbejde,” siger Anne Falck.
Spiller med musklerne
Kaas & Mulvad håndterer meget større mængder data end den almindelige freelancejournalist eller kommunikatør. Mængden er dog ikke afgørende.
”Den almindelige freelancer håndterer jo også data i form af artikler, der ofte handler om personer,” siger Nils Mulvad.
Han forklarer, at Kaas & Mulvad trods datamængderne har det nemmere end mange freelancere.
”Vi er registreret som et massemedie, så vi har anmeldt informationsdatabaser til Pressenævnet og Datatilsynet. Databaserne er interne redaktionelle, hvilket gør, at vi har særlige vilkår for vores håndtering af personlige oplysninger,” forklarer Nils Mulvad, der henviser til, at databaserne er reguleret efter loven om massemediernes informationsdatabaser.
I databaserne gemmer Kaas & Mulvad oplysninger, der på senere tidspunkter kan bruges til research af personer. Personer, der med GDPR i hånden vil kunne gemme sig i en almindelig research. Helt efter reglerne deler Kaas & Mulvad i øvrigt databaserne med blandt andet Børsen, JP/Politikens Hus, TV 2 og Jysk Fynske Medier.
”Jeg arbejder sammen med Oluf Jørgensen (mediejurist, red.), og vi har været spændte på, hvordan reglerne blive implementeret på redaktionerne. Da udspillet kom, var det ret tydeligt, at her var få ændringer. Kursusdelen derimod har taget tid.”
Og så er vi tilbage ved, at reglerne rammer de små virksomheder.
”De store virksomheder har en stor stab, der kan sættes til at overveje, hvordan reglerne bedst muligt bliver implementeret. De kan spille med musklerne, så tingene bliver efter deres hoveder,” siger Nils Mulvad.
GDPR bliver derfor set gennem Nils Mulvads øjne en større udfordring for de små virksomheder.
”Man kan aldrig være 100 procent sikker på, at man har gjort det helt rigtigt, og myndighederne vil sikkert fastlægge praksis gennem retssager. For de mindre virksomheder er specielt tidsforbruget og omdømmet på spil. Jeg er sikker på, at mange gruer at blive mål for sådan en sag,” siger Nils Mulvad.
4 Kommentarer
Du skal være logget ind med dit DJ-login for at kunne kommentere på artiklen.
Kære Anne Falck (og andre DJ-medlemmer, der læser med).
Vi er udmærket klar over, at det for vores freelancere og selvstændige kan virke som en meget uoverskuelig forhindring at skulle forcere de nye persondataregler. Det har heller ikke været en enkel opgave at formidle så meget og tungt lovstof på en fuldstændig klar og overskuelig måde – så derfor har vi fuld forståelse for, at nogle stadig kan føle sig usikre. Vi kommer løbende til at revidere og forbedre vores guides på hjemmesiden. Vi har i dag lagt en mini-guide med et meget konkret fokus på vores hjemmeside - https://journalistforbundet.dk/nyhed/sadan-skal-du-forholde-dig-til-gdpr-i-praksis
Angående dine konkrete spørgsmål har vi samlet svarene her. Som du kan se, er det ikke helt enkle svar, så derfor bliver følgende noget langt. Du er også meget velkommen til at ringe til forbundet og få en mere konkret samtale med Individuel Rådgivning.
Spørgsmål 1:
a) Hvordan forholder jeg mig til opbevaring og behandling af (ikke-følsomme) personoplysninger på indtil flere personer, der er ansat ved de medier, jeg som pr-rådgiver løbende sender pressemeddelelser til?
b) Skal jeg eksempelvis indhente samtykke fra alle i de to ovennævnte eksempler? Og løbende indhente samtykke ved nye kontaktpersoner hos eksisterende virksomhedskunder?
c) Er det i givet fald tilstrækkeligt at sende en mail med info om, at jeg opbevarer deres data mhbp fremtidig kontakt eller skal de svare bekræftende for at give samtykke?
Svar til spørgsmål 1 a-c:
Reglerne på dette område er ikke ændret i forhold til, hvad der fulgte af de tidligere regler.
Hvis der er tale om oplysninger som navn, telefonnummer og e-mailadresse på en kontaktperson hos en kunde, vil du som databehandler have ret til at gemme oplysningerne og bruge dem til at kontakte personen efter en interesseafvejningsregel (berettiget interesse). Reglen betyder, at din brug er nødvendig for, at du kan komme i kontakt med kunden. Du har altså en berettiget interesse i at have kontaktoplysningerne, og personens interesser overstiger ikke din interesse. Du behøver derfor ikke at have et samtykke for at kunne opbevare de nævnte personoplysninger. Du kan læse mere om behandling af oplysninger på kontaktpersonener på vores hjemmeside https://journalistforbundet.dk/nyhed/sadan-skal-du-forholde-dig-til-gdpr-i-praksis, hvor der er konkrete eksempler på forskellige behandlinger.
Når du får navnet på en kontaktperson, det kan være fra personen selv, eller du får det fra anden side, fx en hjemmeside, er du som dataansvarlig forpligtet til at oplyse personen om, at du har fået oplysningen, og hvad du gør med oplysningen. Du kan lære mere om oplysningsforpligtelsen på vores hjemmeside https://journalistforbundet.dk/nyhed/sadan-skal-du-forholde-dig-til-gdpr-i-praksis.
I forhold til din opbevaring af personoplysningerne skal du som dataansvarlig sørge for, at din datasikkerhed er tilstrækkelig. Du skal i øvrigt kun gemme nødvendige og relevante oplysninger, da oplysninger skal slettes, hvis de er ukorrekte, eller ikke længere er nødvendige for dig at have, fx hvis kontaktpersonen ikke længere arbejder hos kunden.
Spørgsmål 2:
a) Må jeg udveksle mine pressekontaktlister med mine virksomhedskunder?
b) Hvem er i den situation hhv. databehandler og dataansvarlig?
Svar til spørgsmål 2 a-b:
Hvis du udveksler pressekontaktlister med dine virksomhedskunder, skal du typisk have et samtykke fra personen på listen.
Du skal endvidere informere personerne på listen om, at oplysningerne bliver videregivet til andre og hvorfor.
Du er dataansvarlig i forhold til din brug af pressekontaktlisterne. Kunden vil formentlig også blive dataansvarlig i forhold til de oplysninger, som modtages fra dig, men det afhænger af de konkrete omstændigheder.
Spørgsmål 3:
Når personer af egen drift giver mig deres visitkort, må jeg så opbevare det i mere end f.eks. to år? Jeg har indtil flere eksempler på, at et kundeforhold er kommet i stand meget lang tid efter et møde, hvor vi har udvekslet kontaktoplysninger.
Svar til spørgsmål 3:
Du må opbevare visitkortet, så længe du har et formål med opbevaringen, og det er relevant for dig at opbevare visitkortet.
Jeg håber, det hjælper dig godt videre.
Mvh
Bo Therkildsen
Kommunikationskonsulent
Fin artikel, der meget godt illustrerer, hvorfor det for nogle er tillokkende at give op. DJ er ærlig talt heller ikke til megen hjælp. Det er mig ubegribeligt, at DJ's guide endnu ikke har kunnet komme op med svar på bl.a. flg. konkrete spørgsmål, der er ret specifikt branchebestemte for flere af DJ's medlemmer:
Hvordan forholder jeg mig til opbevaring og behandling af af (ikke-følsomme) personoplysninger på indtil flere personer, der er ansat i de virksomheder, der er mine kunder?
Hvordan forholder jeg mig til opbevaring og behandling af (ikke-følsomme) personoplysninger på indtil flere personer, der er ansat ved de medier, jeg som pr-rådgiver løbende sender pressemeddelelser til?
Skal jeg eksempelvis indhente samtykke fra alle i de to ovennævnte eksempler? Og løbende indhente samtykke ved nye kontaktpersoner hos eksisterende virksomhedskunder? Er det i givet fald tilstrækkeligt at sende en mail med info om, at jeg opbevarer deres data mhbp fremtidig kontakt eller skal de svare bekræftende for at give samtykke?
Må jeg udveksle mine pressekontaktlister med mine virksomhedskunder?
Hvem er i den situation hhv. databehandler og dataansvarlig?
Når personer af egen drift giver mig deres visitkort, må jeg så opbevare det i mere end f.eks. to år? Jeg har indtil flere eksempler på, at et kundeforhold er kommet i stand meget lang tid efter et møde, hvor vi har udvekslet kontaktoplysninger.
Jeg har nu to gange skrevet med ovenstående spørgsmål i formularen til guiden, der ligger bag medlemsmuren på nettet.
Jeg venter stadig spændt på at få svar.
Lotte - jeg er enig i, at man helt generelt ikke skal synliggøre mails i masseudsendelser. Men i dette konkrete tilfælde, som Nils taler om, informerer vi deltagerne på et specifikt kursus om, hvem de kort tid efter skal på kursus med. Så vi lader dem se hinandens navne og arbejdspladser. E-mail-adresser må de herefter selv udveksle - hvad de naturligvis ofte gør.
Sorry, men det har altså været dårlig stil i mindst 20 år at sende mails ud, hvor alle modtageres e-mails kan ses af alle.
Giv ikke GDPR skylden for alting:-)
GDPR er som oversvømmelse i pulterkammeret. Røvsygt, men egentlig også meget godt at få ryddet op i al det, man havde glemt, man havde og slet ikke havde brug for mere...
God dag.