GDPR-regler, som alle bør kende
GDPR-regler kan være svære at forstå for små og mellemstore virksomheder, som ikke har en egen jurist. Derfor har vi lavet en simpel oversigt, som efter vores mening dækker de vigtigste regler i GDPR.
1. Hav overblik over, hvilke personoplysninger du behandler.
Artikel 30 i GDPR kræver, at alle som behandler personoplysninger, skal dokumentere behandlingen i en protokol, ofte kaldet behandlingsprotokol. Der er en undtagelse fra kravet om at føre protokol for visse typer behandlinger for virksomheder med mindre end 250 ansatte. Men denne undtagelse er snæver, og vi vil alligevel anbefale alle at holde overblikket over, hvilke personoplysninger man til enhver tid behandler.
2. Vær sikker på at du behandler dataene lovlig.
For at kunne behandle personoplysninger skal du have en hjemmel, eller et retsgrundlag. Artikel 6 i GDPR definerer seks gyldige behandlingsgrundlag, og mindst en af dem skal være opfyldt for at behandlingen kan være lovlig. Nogle almindelige behandlingsgrundlag er "nødvendigt for at opfylde en kontrakt", samtykke og legitim interesse.
3. Sørg for at dataene er tilstrækkeligt sikret.
Systemerne, der lagrer og behandler personoplysninger, skal have gode sikkerhedsforanstaltninger. Vores erfaring er, at den tekniske sikkerhed normalt er god, og at dette ikke er et stort problem. I praksis er de fleste problemer med sikring af personoplysninger relateret til adgangskontrollen, dvs. at for mange har for mange adgange. Derfor: sørg for, at medarbejderne kun har adgang til det, de har brug for for at udføre deres arbejde. Giv aldrig adgang til noget, som nogen måske får brug for i fremtiden. En af de mest almindelige årsager til bøder fra Datatilsynet er virksomheder, der foretager kreditvurdering af personer uden gyldig grund. I mange af disse tilfælde har det vist sig, at kreditvurderingen er blevet foretaget af en medarbejder, som selv har brugt virksomhedens systemer for at tilfredsstille sin egen nysgerrighed.
4. Informér brugerne om de behandlinger, du foretager
Alle registrerede har ret til at få oplysninger om, hvordan deres personoplysninger behandles. Dette oplyser du om i en privatlivspolitik. En privatlivspolitik skal indeholde alle oplysninger om, hvilke personoplysninger du behandler, hvilke behandlinger du foretager samt formålet med dem. Du bør også oplyse, hvilke behandlingsgrundlag du benytter dig af. Brug gerne vores skabelon til privatlivspolitik som udgangspunkt for at skrive din egen.
5. Sørg for, at du har kontrol over underleverandørerne
Som behandlingsansvarlig er du ansvarlig for, at personoplysninger behandles i overensstemmelse med persondataforordningen. De fleste virksomheder bruger mange underleverandører til at gemme og behandle personoplysninger. Dette kan være infrastrukturleverandører, som leverer servere eller anden infrastruktur, eller betalingsløsninger, e-mailsystemer, analyseværktøjer osv. For at have kontrol over, hvordan dine underleverandører behandler personoplysningerne på dine vegne, har du brug for en databehandleraftale. Det er vigtigt, at du læser disse aftaler og forstår, hvad der står i dem, for i sidste ende er det din virksomhed, der har ansvaret for, at behandlingen af personoplysninger er lovlig.
6. Slet data, som du ikke bruger
Vores erfaring er, at mange virksomheder er sløsede med opbevaringstid og sletningsprocedurer. Det er farligt af mange grunde. For det første er det ulovligt, men for det andet udsætter det også virksomheden for en stor økonomisk risiko. Hvis virksomheden får en datalækage, hvor personoplysninger kommer på afveje, vil overtrædelsesgebyret i sig selv sandsynligvis blive meget større, hvis dataene, som er kommet på afveje, skulle have været slettet. De berørte af en datalækage kan også kræve erstatning, og denne risiko vil selvfølgelig blive større, hvis en virksomhed ikke har slettet data på gamle kunder.