Bestyrelsesmedlemmer og GDPR

GDPR kandiderer til at være et af de ord, vi har hørt mest det sidste år. Nu er det ved at være seks måneder siden, at GDPR trådte i kraft efter i en længere periode at have været det helt store samtaleemne i mange virksomheder og endda over middagsbordet. De fleste af os ved, hvad den nye persondataforordning har betydet for virksomheder. Mange af os er måske også blevet mere opmærksomme på, hvilke data vi rent faktisk deler. Men ved du så, hvad GDPR betyder for dig som bestyrelsesmedlem? Hvis ikke, så læs med her, når vi i samarbejde med advokat, Søren Elmann Ingerslev, forsøger at give dig svaret på det.

Bestyrelsesmedlemmers ansvar for hemmeligholdelse af data

I nogle henseender kan man som bestyrelsesmedlem måske føle, at man sidder lidt i et vakuum, fordi man ikke rigtigt er ansat i virksomheden, men stadig er en del af selskabets ledelse. Men når det kommer til GDPR, findes det vakuum, ifølge Søren Elmann Ingerslev, ikke.

”Kort sagt skal bestyrelsesmedlemmer følge selskabslovens rammer, og ifølge selskabsloven er man juridisk en del af virksomhedens ledelse på samme måde som direktøren i virksomheden. Som bestyrelsesmedlem har man altså samme ansvar som resten af ledelsen, også når det gælder GDPR,” fortæller Søren. Men hvad er så det for et ansvar?

”Hovedreglen er, er at følsomme og ikke-følsomme persondata, som virksomheden registrerer, ikke må komme udenfor virksomheden. For eksempel kan der i forbindelse med budgetplanlægning ske det, at bestyrelsen drøfter om medarbejder X, Y og Z skal have lønforhøjelse eller andre ændringer af ansættelsesforholdet. Det kan også være en personalesag om en medarbejders adfærd på de sociale medier, hvor virksomheden er nævnt på en uhensigtsmæssig måde. Dette er eksempler på situationer, hvor bestyrelsen skal sikre, at fortrolige persondata, ikke kommer udenfor virksomheden uden overholdelse af GDPR-reglerne. Og der gælder for bestyrelsesmedlemmer ligesom for almindelige ansatte en pligt til at holde persondata fortrolige,” uddyber Søren.

Der hvor problemerne opstår, er når man laver en behandling af persondata, altså når man leverer persondata ud af virksomheden. Det er dog ikke det, der sker, når man leverer dataene til bestyrelsesmedlemmer, der er en del af virksomhedens ledelse efter selskabsloven. Men som virksomhed er man nødt til at sikre hemmeligholdelse af følsomme persondata, og i den forbindelse kan der alligevel være en udfordring, når data skal deles med bestyrelsesmedlemmer, påpeger Søren:

”Det er ikke hensigtsmæssigt at sende persondata ud af virksomheden til bestyrelsesmedlemmer, hvis de ikke har en virksomhedsmail, så persondata holdes internt i virksomheden. Bestyrelsesmedlemmer er ofte ansat et andet sted og bruger den mail i stedet. I de tilfælde kan man jo ikke garantere, hvad der er blevet af de fortrolige persondata, hvornår de bliver slettet, hvem der ser dem osv. Så her skal man altså være opmærksom. Medarbejderne har en medarbejdermail, som sikrer, at personfølsomme oplysninger bliver inde i virksomheden, men det har bestyrelsesmedlemmer ikke. Derfor skal de på anden vis sikre, at persondata holdes fortrolige og ikke videregives udenfor virksomheden.”

Det særlige omkring GDPR er altså, at man som virksomhed skal sikre, at den information, man giver til sine bestyrelsesmedlemmer, stadig bliver i virksomheden og ikke kommer udenfor. Og her har man et medansvar som bestyrelsesmedlem i at sikre, at virksomheden overholder GDPR.

Sikre portaler kan garantere hemmeligholdelsen

En måde at sikre hemmeligholdelse af følsomme persondata på er for eksempel ved at anvende en sikker portal. Her kan man lægge data op et sikkert sted, som kun virksomheden og de udvalgte relevante personer har adgang til.

Søren Elmann Ingerslev

Søren har sammen med ti partnere advokatpartnerselskabet, Elmann i København, der i alt beskæftiger 35 mand. Sørens speciale som advokat er køb og salg af virksomheder og investeringsaftaler. Herudover bruger han selv en del tid på bestyrelsesarbejde og besidder en række formandsposter i forskellige typer virksomheder. Og så underviser han indenfor sit felt på obligatoriske efteruddannelseskurser.

Har du spørgsmål til, hvordan du som bestyrelsesmedlem skal forholde dig til GDPR, er du velkommen til at kontakte os her.

Læs også artiklen “Det skal du vide om den nye lov om forretningshemmeligheder”.