Annonce
Annonce

Persondatabeskyttelse på tværs af lande: Unilever udarbejder 65 privacy-nøgleprincipper

Læs mere
Fold sammen

Globale virksomheder som Unilever skal ikke kun forholde sig til EU-forordninger, men til lovgivning fra hele verden.

EU-persondataforordningen er blot én af mange forordninger og love, en multinational koncern som Unilever skal forholde sig til. Koncernen, der har brands som Lipton, Knorr og Axe i sin portefølje, opererer i mere end 180 lande. Det giver selvsagt en række udfordringer, hvis man ønsker at strømline persondatabeskyttelse og samtidig skal overholde lokal og regional lovgivning.

Modstridende privacy-politikker
I slutningen af 2012 begyndte Unilevers Chief Privacy Officer at se nærmere på koncernens håndtering af data i et privacy-perspektiv.
”Da jeg gik igang med det, havde vi 32 modstridende privacy politikker, der var forankret i forskellige lande og regioners lovgivning,” forklarer Steve Wright, daværende Chief Privacy Officer i Unilever.
Sammen med sine kollegaer begyndte han at undersøge, hvordan de mange forskelligartede privacy-politikker kunne simplificeres.
”Vi kiggede på privacylove i hele verden og opstillede en liste med over 800 privacy-principper. Vi gennemgik listen, fandt fællestrækkene og endte så med en liste med 65 privacy-nøgleprincipper,” fortæller Steve Wright.
De 65 privacy-nøgleprincipper blev gennemgået sammen med advokater fra verden over, så det blev sikret, at de fundne principper ikke var i modstrid med lokal lovgivning.

Monitorering og måling af principper
En ting er at have principper, noget andet er selvfølgelig at overholde principperne. Derfor formulerede Unilever 35 privacy-kontroller, der beskriver, hvordan Unilever rent praktisk skal håndtere data i overensstemmelse med nøgleprincipperne. Eksempelvis er der retningslinjer for, hvordan dataoverførsel skal foregå, så risikoen for, at data i transit bliver lækket eller opsnappet, minimeres. Blandt andet har man angivet hvilken kryptering, der skal anvendes ved dataover­førsel.

Regionale krypteringsforskelle
Lige netop med kryptering blev privacy-kontrollen dog med Steve Wrights ord nødt til at ”være lidt generisk”. Eksempelvis er der specielle regler for anvendelse af krypteringsteknologi i Kina og Rusland, hvor myndighederne ofte skal godkende brugen af kryptering.
”Her gælder det om at sikre et tilstrækkeligt krypteringsniveau, der med rimelighed kan modstå et angreb, men som ikke overtræder lokale love,” som Steve Wright formulerer det.

Lokalt databeskyttelsesansvar
For at sikre en forankring i de enkelte lande og regioner udnævnte Unilever 42 Data Protection Officers (DPO) verden over, som fik ansvaret for, at data håndteres i overensstemmelse med Unilevers privacy-principper. DPO’erne fik stillet en række frameworks og værktøjer til rådighed for deres arbejde. Som eksempel nævner Steve Wright et cloud-baseret system, der blev anvendt til at vurdere, hvorvidt planlagte marketingkampagner overholder Unilevers privacy-principper.
”Enhver marketingkampagne skal gennemgå en Privacy Impact Assessment-evaluering i systemet,” forklarer Steve Wright.
Systemet tjekker, hvorvidt der indsamles personlige data, hvor mange det drejer sig om, og hvilken betydning det kan have. Hvis konstellationen af potentielt indsamlede personlige data vurderes at være over et vist kritisk niveau, rejses et rødt flag, og der sendes automatisk en e-mail til den lokale DPO. DPO’en vurderer så, om de nødvendige kontroller er på plads for at beskytte de personlige oplysninger. Først derefter får marketingkampagnen grønt lys.