GDPR

Hvilke konsekvenser har GDPR for virksomheder?

GDPR - General Data Protection Regulation

GDPR gælder i hele EU og EØS og omfatter alle virksomheder som sælger til og emmer personlig information om europæiske statsborgere, inklusive selskaber på andre kontinenter.

Loven omfatter al information som kan relateres til en person, f.eks. navn, billede, e-mail, bankoplysninger, indlæg på sociale medier, information om nuværende og/eller tidligere placering, sundhedsinformation eller IP-addresse (cookies) til computeren. 

Ifølge GDPR har enkeltpersoner:

1. Krav på at give samtykke

Virksomheder kan ikke behandle personoplysninger om enkeltindivider med mindre hver enkelt frit har givet en spesifik, informeret og klar indikation på samtykke, enten via en erklæring eller via en tydelig «bekræftende handling». Dette gælder både B2B- og B2C-forhold.

2. Ret til adgang

Loven giver enkeltpersoner ret til at kræve adgang til sine personoplysninger og til at vide hvordan informationen bruges af virksomheden efter den er indsamlet. virksomheden skal kunne udlevere en kopi af personoplysningene, uden omkostning og i elektronisk format, hvis enkeltpersonen beder om dette.

3. Ret til at blive glemt

Hvis forbrugere ikke længere er kunder, eller hvis de trækker samtykket tilbage, som de har givet en virksomhed for at bruge vedkommendes personoplysninger, har forbrugeren ret til at få informationen slettet.

4. Ret til at overføre data

Individer har ret til at overføre oplysninger fra en serviceleverandør til en anden. 

5. Ret til at blive informeret

Dette dækker alle typer indsamling af personoplysninger af virksomheder, og enkeltpersoner skal informeres før oplysningene indsamles. Forbrugerne skal godkende at personoplysninger indsamles, og samtykket skal gives aktivt og ikke være underforstået.

6. Ret til at korrigere information

Dette sikrer, at enkeltpersoner kan opdatere informationen hvis den er forældet, ufuldstændig eller fejlagtig.

7. Ret til begrænset behandling

Enkeltpersoner kan bede om, at deres oplysninger ikke bruges i databehandling. Informationen kan fortsat gemmes, men den må ikke bruges.

8. Ret til at modsætte sig behandling

Dette inkluderer retten til at modsætte sig behandling af personoplysninger til brug i direkte markedsføring. Der er ingen undtagelser for denne regel, og al behandling skal stoppes så snart denne forespørgsel er modtaget. Denne rettighed skal kommunikeres tydeligt til enkeltpersoner i starten af enhver kommunikation.

9. Ret til at blive varslet

Hvis der har været dataindbrud som kan få følger for enkeltpersoners oplysninger, har personen ret til at få dette at vide i løbet af 72 timer efter at indbruddet blev opdaget.

GDPR er EUs måde at give individer (uanset om de er prospekter, kunder, leverandører eller ansatte) bedre overblik og kontrol over egne personoplysninger og reducere organisationernes magt, når de indsamler og bruger dataene til egen fortjeneste.

Hvilke konsekvenser har GDPR for virksomhederne?

Den nye persondataforordning giver forbrugeren mere magt, og arbejdet med at overholde forordningen pålægges virksomhederne som indsamler informationen. Kort sagt gælder GDPR for alle virksomheder og organisationer som er etableret i EU. Også organisationer, som ikke er etableret i EU vil blive underlagt GDPR hvis de tilbyder varer eller service til EU-statsborgere.

Strenge straffe for de som ikke overholder GDPR

Der er strenge straffe for virksomheder og organisationer, som ikke overholder GDPR. Bøderne er på op til 4 % af årlig global omsætning eller 20 millioner euro - det af alternativerne som udgør den højeste sum.

Forberedelser til 25. maj 2018

En vigtig komponent i GDPR-forordningen er personbeskyttelse. Det kræver, at alle afdelinger i en virksomhed grundigt gennemgår de lagrede personoplysninger og hvordan de håndterer dem. Der er mange ændringer, som virksomheder må foretage for at opfylde kravene for GDPR. Her er 5 punkter til at komme i gang:

1. Kortlæg virksomhedens personoplysninger

Få oversigt over hvor alle lagrede personoplysninger i hele virksomheden stammer fra, og dokumentér hvad du bruger oplysningene til. Identificér hvor oplysningene findes, hvem der har adgang til dem og om de udsættes for nogen risiko ift. deling, etc.

2. Beslut hvilke personoplysninger du vil beholde

Behold ikke mere information end du behøver, og fjern alle oplysninger som ikke bruges. Hvis virksomheden indsamler en masse data uden noget bestemt formål, vil du ikke kunne fortsætte med dette, når GDPR træder i kraft. GDPR opfordrer til en mere disciplineret behandling af personoplysninger.

I opryddingsprosessen bør du spørge dig selv:

  • Nøjagtig hvorfor lagrer vi disse oplysninger i stedet for at slette dem?
  • Hvorfor lagrer vi alle disse oplysningene?
  • Hvad forsøger vi at opnå ved at indsamle alle disse kategorier af personoplysninger?
  • Er den økonomiske vinding ved at slette denne information større end ved at kryptere den?

3. Få sikkerhedstiltag på plads 

Indfør og iværksæt tiltag for at sikre infrastrukturen og forhindre datainbrud. Dette indebærer at fastlægge rutiner for hurtigt at kunne varsle enkeltpersoner og myndigheder hvis der bliver datainbrud, som f.eks. et HR-system eller CRM-system.

Outsourcer du dette er du dog ikke fritaget, så sørg også for at kontrollere at dine leverandører har de rette sikkerhedsrutiner på plads.

4. Gennemgå din dokumentation

Under GDPR skal enkeltpersoner give aktivt samtykke til køb og behandling af sine personoplysninger. Dette medfører, at et forhåndsafkrydset felt ikke er tilstrækkeligt til at kunne foreligge et gyldigt samtykke. Du må gennemgå alle erklæringer og oplysninger og justere dem, hvor det er nødvendigt.

5. Etablér processer for håndtering af personoplysninger

Som tidligere nævnt har enkeltpersoner flere grundlæggende rettigheder ifølge GDPR. Du må etablere retningslinjer og procedurer for, hvordan du vil håndtere hver af disse situationer.

For eksempel:

  • Hvordan kan enkeltpersoner give et juridisk samtykke?
  • Hvad er processen hvis en enkeltperson ønsker at slette personoplysninger?
  • Hvordan kan du være sikker på, at dette gøres på alle platformer og at informationen virkelig slettes?
  • Hvis en enkeltperson ønsker at overflytte sine personoplysninger, hvordan gennemfører du så dette?
  • Hvordan kan du bekræfte, at personen som bad om at få personoplysningerne overflyttet er den han eller hun udgiver sig for?
  • Hvad er kommunikationsplanen hvis I udsættes for et dataindbrud?