GDPR, eller General Data Protection Regulation, er en omfattende lovgivning fra EU, der blev indført i maj 2018. GDPR er skabt for at beskytte borgernes persondata og sikre, at virksomheder overholder strenge regler for, hvordan de indsamler, opbevarer og behandler personoplysninger. Men hvad betyder det egentlig for din virksomhed? Og hvordan sikrer du, at du overholder GDPR-reglerne?
GDPR er EU's lovgivning, der beskytter borgernes persondata. Det betyder, at alle virksomheder, der håndterer persondata – uanset om det er en webshop, en blog eller et fysisk kontor – skal følge disse regler. Dette gælder både store og små virksomheder samt organisationer, der opererer uden for EU, men som håndterer data fra EU-borgere.
GDPR er vigtigt, fordi det giver forbrugerne kontrol over deres egne data. Det betyder, at dine kunder har ret til at vide, hvilke oplysninger du indsamler om dem, hvordan du bruger disse oplysninger, og om de kan få slettet deres data, hvis de ønsker det. Manglende overholdelse af GDPR kan medføre store bøder – helt op til 20 millioner euro eller 4% af din årlige omsætning, afhængigt af hvad der er højest.
For din virksomhed betyder GDPR, at du skal være gennemsigtig med, hvordan du håndterer persondata. Du skal have klare procedurer for at indsamle samtykke fra dine kunder og informere dem om, hvordan deres data bliver brugt. Her er nogle vigtige punkter, du skal være opmærksom på:
Samtykke fra brugerne:
Når du indsamler data, skal du sikre dig, at dine kunder aktivt giver deres samtykke. Det kan være, når de tilmelder sig et nyhedsbrev, eller når de opretter en konto på din hjemmeside. Samtykket skal være klart og entydigt medmindre der er hjemmel til andet i lovgivningen.
Retten til at blive glemt:
Kunder har ret til at få deres data slettet, hvis der ikke længere er en grund til, at du opbevarer dem. Dette betyder, at du skal have systemer på plads, der gør det let at slette kundedata, hvis en kunde anmoder om det.
Gennemsigtighed:
Du skal være åben omkring, hvordan du bruger persondata. Dette inkluderer at have en letforståelig privatlivspolitik på din hjemmeside, som forklarer, hvordan du indsamler, behandler og opbevarer data.
Datasikkerhed:
Du skal sikre dig, at dine kunders data er beskyttet mod uautoriseret adgang, hacking eller lækager. Dette betyder, at du skal implementere de nødvendige sikkerhedsforanstaltninger som kryptering og sikre databaser.
Persondata opdeles i tre kategorier, fordi der gælder forskellige betingelser og procedurer for behandlingen af de tre grupper af personoplysninger, afhængigt af niveauet af følsomhed.
Personoplysninger
(ikke-følsomme)
Eksempler:
Særlig kategori af personoplysninger (følsomme)
Udtrykkeligt afgrænset til:
Oplysninger om strafbare forhold
Oplysninger om strafbare forhold er reguleret særskilt i databeskyttelseslovens § 8 og artikel 10 i databeskyttelsesforordningen.
De registreredes rettigheder i databeskyttelsesforordningen er:
Det betyder, at du i din virksomhed til enhver tid skal kunne identificere, de oplysninger, der omfatter en given person og oplyse vedkommende herom.
Du skal på den registreredes foranledning give indsigt, berigtige, slette og begrænse brugen af data, samt underrette om ændringer på baggrund af berigtigelse.
Herudover skal du give den registrerede muligheden for at tage sine data med til fx en ny leverandør, samt sørge for, at den registrerede kan gøre indsigelse mod indsamlingen af data, såfremt der ikke er lovhjemmel og så må afgørelser på baggrund af indsamlede data ikke være automatiserede.
Der foreligger en række krav til et samtykke i GDPR øjemed. Her er det blandt andet vigtigt at have for øje, om der er tale om børn, personer under værgemål eller almene voksne. Samtidig er der formkrav og krav til frivillighed.
Et samtykke skal kunne tilbagekaldes, hvilket stiller yderligere krav til den, der ønsker at indhente et samtykke.
Om du er dataansvarlig eller databehandler afgøres af, om du sætter rammerne for, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af perondata. Sætter du rammerne er, du dataansvarlig og er du udførende og dermed behandler persondata på instruks fra en dataansvarlig, så er du databehandler. I særlige tilfælde kan der dog opstå delt dataansvar.
For at sikre sig mod uforudsete uoverensstemmelser, er der krav om, at der foreligger en databehandleraftaler.
Databehandleraftaler kan til tider være tunge og uoverskuelige, hvilket bevirker, at man kan blive omfattet af elementer, der er ressourcekrævende eller økonomisk tunge, uden at dette var hensigten.
Vi anbefaler, at I får andre til at læse dem igennem, hvis I ikke selv har det nødvendige kenskab.
Skal I selv udfærdige en databehandleraftale, kan det være en rigtig god idé at læne sig op ad Datatilsynets databehandler aftaler.
Der er intet krav om, at man skal have en persondatapolitik fra GDPR, men det er en god og overskuelig måde at oplyse de registrerede om deres rettigheder, hvilket er et krav.
Vi anbefaler derfor, at man altid har en opdateret persondatapolitik.
Det kan virke kompliceret at skulle følge alle GDPR-reglerne, men med de rette tiltag kan du beskytte både din virksomhed og dine kunder. Start med at gennemgå dine eksisterende processer for håndtering af persondata. Sørg for at have en opdateret privatlivspolitik, få samtykke fra dine kunder, og implementer tekniske foranstaltninger for at beskytte data.
Er du i tvivl om, hvordan GDPR påvirker din virksomhed, eller har du brug for hjælp til at sikre, at du overholder reglerne? Kontakt os i dag, og lad os hjælpe dig med at sikre, at din virksomhed er GDPR-compliant.
Copyright © Alle rettigheder forbeholdes Kildahl Consult.
