Mange taler efterhånden om EU’s persondataforordning, GDPR, som træder i kraft fra d. 25. maj 2018. Men hvad betyder det og hvad skal man gøre som virksomhed?
“GDPR (General Data Protection Regulation) handler kort og godt om beskyttelse af persondata i EU”
Hensigten med GDPR er at sørge for et fælles regelsæt inden for EU, om hvorledes persondata indsamles, gemmes og anvendes hos virksomheder og organisationer.
Da forordningen blev vedtaget i 2016, gav EU en toårig overgangsperiode til virksomheder og organisationer, således at de fra 25. maj 2018 kunne være compliant med retningslinjerne.
Er man ikke compliant med GDPR, kan organisationer risikere bødesatser på op til 20 mio. euro eller 4% af omsætningen. Bødesatsen afhænger af overtrædelsens karakter.
Reglerne om GDPR gælder for alle organisationer – også dem uden for EU – som behandler persondata fra EU borgere.
Ifølge GDPR defineres persondata, som informationer der kan relateres til en fysisk person. F.eks navn, billede, en emailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.
Om dataen relaterer sig til en persons private, offentlige eller professionelle liv er underordnet ifølge GDPR – en person er en person. Punktum.
Få styr på din virksomheds dataindsamling
Fra d. 25. maj 2018 skal din virksomhed have samtykke fra hver enkelt person, som der indsamles data fra. Det kan løses lidt i samme stil som ”cookie policy”, som dukker op, når du besøger et nyt website, som bruger cookies.
Når GDPR træder i kraft har personer ret til følgende:
- adgang til deres personlige data samt informering om, hvordan virksomheden bruger deres data.
- at tilbagetrække sit samtykke til, at virksomheden må bruge de personlige data.
- at blive udelukket fra anvendelsen af databehandling. Data må fortsat gerne opbevares, men ikke anvendes.
- før indsamling af data sker skal personen informeres og aktivt tilvælge, at deres data må indsamles. Samtykke skal gives frivilligt og må ikke være underforstået.
- personer kan få deres data opdateret, i tilfælde af at de er forældet, utilstrækkelige eller forkerte.
- personer har ret til at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel.
- ved brud på datasikkerhed hos virksomheden, har personen ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.
Hvad skal din virksomhed gøre?
For at blive compliant med GDPR kræver det, at alle afdelinger i virksomheden grundigt gennemgår data og håndteringen af data.
Et godt sted at starte er at få kortlagt og dokumenteret, hvordan virksomheden indsamler og anvender data, samt hvem der har adgang til disse.
Få udviklet og implementeret sikkerhedsforanstaltninger i virksomhedens infrastruktur for at forhindre datasikkerhedsbrud.
Der er mange flere ting at nævne omkring GDPR, men det kan du jo google dig frem til.
Virker det stadig uoverskueligt? Så kontakt Checkmate og lad os tage en snak om, hvordan vi gør din virksomhed compliant med GDPR.