Er du klar til GDPR?

GDPR-EU-Blog-Header.png

Hvornår sker det?

Fredag d. 25 Maj 2018 bliver en skelsættende dag for vores behandling af data. Det er nemlig dagen hvor den nye persondata forordning, eller ”The General Data Protection Regulation” (GDPR) som den officielt hedder, træder i kraft i hele EU.

Hvad menes der med ”personoplysninger”?

Det kan være utroligt svært at gennemskue om ens virksomhed er 100% GDPR compliant og om man har sikret sine brugeres data bedst muligt. Kort fortalt så definerer GDPR personlige data som enhver form for information relateret til en person såsom navn, billede, en e-mailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.

Hvad betyder det?

Det betyder kort sagt at din virksomhed skal være i stand til at identificere alt personligt data på medarbejdere, kunder og lignende på tværs af systemer og enheder og kunne redegøre for hvilken data der bliver brugt til og af hvem. Anbefalingen er at du skal få en specialist til at se på din virksomheds sikkerheds setup og få 100% styr på hvordan førnævnte data bliver opbevaret og hvordan det er sikret.

Hvad sker der hvis reglerne ikke følges?

Lovgivningen har vidtrækkende konsekvenser og det er ikke en lovgivning man kan ignorere, for en grov overtrædelse af GDPR loven hvis man ikke har sikret brugernes data ordentligt, kan resultere i bøder helt op til 20.000.000 EUR eller 4% af virksomhedens samlede globale omsætning! Så det er en kraftig ”opgradering” af de 5-10.000 kr. bøder som er gældende i øjeblikket. Grundet sin kompleksitet vil den nye forordning kræve at organisationerne får hjælp og input fra it-infrastruktur specialister og andre juridiske- og data Compliance eksperter når de skal implementere deres databehandlingsstruktur.

Hvilke regler skal jeg være opmærksom på?

Det kan være en ordentlig mundfuld for mange virksomheder at overskue hvordan deres indsamling af persondata skal foregå og være helt GDPR compliant for reglerne kan være uigennemskuelige og ret omfattende. Når man så har sat sig ind i reglerne og nogenlunde forstået, hvad GDPR er for en størrelse, så kommer der en kæmpe opgave med at efterleve reglerne i praksis og det anbefales helt klart at tage fat i en ekstern og kvalificeret partner for at sikre sig at alt personligt data bliver behandlet og opbevaret korrekt.

Mest gængse regler og brugerrettigheder:

  1. Information om dataindsamling Al form for dataindsamling, som foretages af virksomheder, skal informeres til brugerne INDEN dataindsamlingen sker og det skal være tydeligt. Det må ikke være underforstået og der skal være et aktivt valg og samtykke på at tilladelsen sker frivilligt.
  2. Retten til at blive glemt. Hvis en bruger eksempelvis ikke er kunde hos jer længere eller hvis personen tilbagetrækker sit samtykke på at virksomheden må bruge de personlige data, så har personen ret til at få alt sin data slettet.
  3. Frabede sig databehandling. Personer kan godt frabede sig at deres data bliver brugt til eventuel databehandling. Det vil sige at du godt må opbevare deres data, men ikke bruge det. Så snart en henvendelse eller en indsigelse om brug af data er modtaget skal alt brug af personens data stoppe. Og der er ingen undtagelser af denne regel.
  4. Underretning ved sikkerhedsbrud. Hvis en persons personlige data er blevet kompromitteret ved et eventuelt datasikkerhedsbrud, så har personen ret til at blive underrettet 72 timer efter at sikkerhedsbruddet er blevet opdaget.
  5. Samtykke om databehandling Du må ikke behandle personlige data, medmindre personen frivilligt har givet specifikt og entydigt samtykke herom. Enten ved en tydelig bekræftende handling eller i en defineret erklæring.
  6. Adgang til data En person har fuld ret til at få adgang til deres personlige data og få klarlagt hvordan virksomheden bruger deres data. Hvis personen beder om det, skal virksomheden udlevere en kopi af deres data i digitalt format og helt gratis.
  7. Dataoverførsel. En person har til hver en tid ret til at få overført deres personlige oplysninger fra din virksomhed til en anden serviceudbyder.
  8. Opdatering af data Hvis en persons oplysninger er forkerte, forældet eller mangelfuld har personen ret til at få opdateret deres oplysninger.

Hvis du er i tvivl om hvor du skal starte, kan du spørge dig selv om:

Hvordan indsamler din virksomhed personoplysninger?

  • Hvor indsamler din virksomhed personoplysninger fra?

  • Hvor gemmer din virksomhed personoplysninger henne?

  • Hvordan er sikkerheden omkring disse personoplysninger?

  • Videregiver i personoplysninger til 3 part og i så fald hvem?

  • Hvordan og hvornår sletter din virksomhed personoplysninger?

Hvis du er i tvivl om din virksomhed er GDPR klar eller om it-sikkerheden er god nok kontakt os på telefon: 70 27 66 55 eller på e-mail: info@exato.dk