Er din virksomhed klar til GDPR?

Hvad er GDPR og hvem er omfattet af den?

Den 25. maj 2018 træder EU’s nye forordning om beskyttelse af persondata i kraft. Forordningen hedder GDPR (General Data Protection Regulation) eller Persondataforordningen på dansk, og du har helt sikkert hørt snak om den flere steder.

Alle virksomheder i EU bliver påvirket af den nye forordning hvis primære formål er at styrke og ensrette databeskyttelsen for individer i EU. GDPR skal sikre borgerne kontrol over deres persondata og forenkle lovgivningen vedrørende international handel, ved at ensrette love og regelsæt inden for EU. Virksomheder der befinder sig i EU, sælger varer eller ydelser til personer bosiddende i EU, og/eller indsamler og analyserer EU-borgeres data, uanset hvor borgerne befinder sig i verden, er omfattet af GDPR.

Hvad er formålet med GDPR?

Forordningen har til formål at forhindre læk af data og misbrug af personlig information. Den fokuserer særligt på tilgang til og brug af data og informationer, der potentielt kan identificere personer, og omfatter mere konkret:

• Brugerrettigheder til at kunne tilgå og rette personlige data, inkl. retten til at få slettet sine data
• Organisatorisk kontrol af data, inklusiv uddannelses- og revisionsprincipper
• Transparensprincipper om hvordan virksomheden indsamler, bruger og opbevarer data
• Bøder på op til 150 mio kr., eller 4% af virksomhedens globale omsætning, ved overtrædelse

Hvilke krav stiller GDPR til dig som virksomhed?

GDPR stiller højere krav til at din virksomhed skal beskytte persondata, end du har været vant til tidligere. Det stiller grundlæggende 3 krav til din virksomhed:

• Du skal have skarp kontrol med, hvor persondata gemmes og hvor de anvendes
• Du skal have ’data governance’-værktøjer, der skaber transparens i data, logger ændringer og kan rapportere på håndteringen af data
• Du skal have data-politikker og -processer, der kan give personerne (som du gemmer data om) kontrol over deres data

Hvad betyder det at være dataansvarlig og databehandler?

Det er vigtigt, at du gør dig klart, om du er dataansvarlig eller databehandler, fordi Persondataforordningens krav til de to er forskellige.

Er du dataansvarlig skal du bl.a. sørge for:

• at du har hjemmel (= grundlag i Persondataforordningen) til at behandle persondata
• at du opfylder din oplysningspligt
• at du opfylder de registreredes rettigheder
• at du indberetter sikkerhedsbrud til Datatilsynet inden for 72 timer

Overlader du personoplysninger til en databehandler, skal du indgå en databehandleraftale med den pågældende.

Videregiver du personoplysninger til en anden dataansvarlig, skal du have hjemmel til det og oplyse den registrerede om det.

En databehandler er en ekstern virksomhed eller person, der behandler persondata på vegne af en anden virksomhed (den dataansvarlige). Er du databehandler skal du indgå en databehandleraftale med den dataansvarlige. Du har også andre forpligtelser, men du har ikke ligeså mange pligter som dataansvarlige.

NORRIQ vil også indgå en databehandleraftale med alle de kunder, der modtager vores konsulentydelser, for at vi fortsat kan levere dem ydelser. 

Sådan kommer du videre med GDPR

Det vigtigste er at begynde at forholde sig til GDPR og undersøge hvor stor udfordringen er i din virksomhed.

Her får du nogle værktøjer til hvordan du kommer videre med GDPR:

• EU-Kommissionen har lavet en infographic over essensen af reglerne i den nye Persondataforordning. Oversigten er henvendt til små og mellemstore virksomheder (SMV) og giver et godt og letforståeligt overblik over de kommende ændringer og baggrunden for disse. Du finder oversigten her
• NORRIQ har i samarbejde med GDPR-specialisten REVI-IT udarbejdet et 30 min. webinar om, hvordan du kommer godt i gang med GDPR. 

Vær sikker på din virksomhed er klar til GDPR

GDPR træder altså i kraft d. 25. maj i år. Kravene er omfattende, og der vil være få virksomheder som ikke skal foretage nye tiltag for at møde de nye krav.

Du bør derfor allerede i dag aktivt overveje, hvordan du sikrer dine data, så din virksomhed ikke risikerer at blive straffet økonomisk.

Ovenstående er alene NORRIQs fortolkning af Persondataforordningen og må ikke forveksles med en juridisk anbefaling. Det er altså din virksomheds ansvar at leve op til den nye Persondataforordning i alle aspekter i din virksomhed.

Læs mere om hvordan NORRIQ kan transformere din forretning