Den nye persondataforordning er lige om hjørnet, og der er klækkelige bøder til virksomheder, der ikke lever op til de nye standarder.
Er vi klar til den nye forordning? Dette er et spørgsmål, rigtigt mange virksomheder kommer til at stille sig selv i de kommende måneder, og det er lettere sagt end gjort at svare på.
I dette blogindlæg giver vi dig en kort intro til den nye persondataforordning, samt en række punkter du skal have styr på, inden forordningen træder endeligt i kraft d. 25.05.2018.
Dette er ikke en endelig liste, og det er vigtigt, at den ikke bliver brugt som eneste rettesnor, dog kan den være en rigtig god hjælp på vejen, når persondataforordningen skal imødekommes.
Hvad betyder persondataforordningen for dig?
Persondataforordningen er en række EU-vedtagne regler, der senest d. 25. maj 2018 skal følges ved behandlingen af persondata. Persondataforordningen er gældende i samtlige EU-medlemslande, men kan i visse tilfælde blive suppleret af nationale regler. De virksomheder, der i højeste grad kommer til at forholde sig til den nye persondataforordning, er først og fremmest B2C virksomheder, der direkte indsamler persondata fra kunder.
Langt de fleste B2B virksomheder vil dog også skulle forholde sig til persondataforordningen, da de som oftest indsamler persondata fra egne ansatte – data der også hører under forordningen.
Hvis forordningen overtrædes, kan det medføre bøder på helt op til € 20.000.000 eller 4% af virksomhedens årlige omsætning, så det er vigtigt at være på forkant med forordningen – både for B2C og B2B virksomheder.
10 ting du skal have styr på:
1. Få styr på hvilke personoplysninger din virksomhed behandler
Helt grundlæggende er det utrolig vigtigt, at du har helt styr på, hvilke personoplysninger din virksomhed behandler. Der er stor forskel på hvilke oplysninger frisører, håndværkere, butiksejere og psykologer behandler, så før du gør noget andet, er det bedste du kan gøre at danne dig et overblik over netop din virksomhed. Få styr på og dokumentér hvilke oplysninger, din virksomhed behandler, hvor oplysningerne kommer fra, hvordan de opbevares, og hvem de deles med.
2. Få styr på hvilke oplysninger din virksomhed giver de registrerede
Den tidligere persondatalov stillede allerede krav til, at virksomheder skulle oplyse bl.a. deres identitet og formålet med dataindsamlingen. Sådan er det stadig, men med persondataforordningen skal virksomheder yderligere oplyse om, hvordan og hvor længe oplysningerne behandles, samt hvilke muligheder der er for at klage. Sørg for at få styr på præcis hvilke oplysninger du skal give registrerede, så du ikke kommer unødigt i klemme.
3. Få styr på hvordan din virksomhed kan opfylde registreredes rettigheder
Med persondataforordningen har registrerede flere rettigheder end tidligere. Rettighederne inkluderer bl.a. retten til at gøre indsigelse, retten til at få sine oplysninger flyttet eller slettet, samt retten til at få indsigt i egne personoplysninger. De nye rettigheder stiller også større krav til din virksomhed. Hvad enten du er konsulent eller ejer af en it-virksomhed, skal du være rustet til at kunne finde og slette oplysninger, flytte dem til andre systemer, og videregive dem til registrerede i et format, der let kan læses og forstås. Er din virksomhed teknisk rustet til dette?
4. Få styr på hvordan din virksomhed indhenter samtykke fra dine kunder
Kravene til samtykke bliver strammet med persondataforordningen, så derfor er det også vigtigt, at få styr på hvordan og hvornår, din virksomhed fremover vil indhente samtykke. Fremover skal virksomheder indhente samtykke før alle former for behandling og indsamling af oplysninger, samt hver gang behandlingen eller formålet med datasættet bliver ændret. Derudover er det vigtigt at være opmærksom på, at samtykket skal være frivilligt og informeret.
5. Få styr på hvordan din virksomhed behandler persondata fra børn
Persondataforordningen medfører ekstra beskyttelse af børn under 16 år, og det vil fremover være forældrene, der skal give samtykke til behandlingen af barnets persondata. Hvis du eksempelvis har en virksomhed, der laver apps eller spil målrettet børn, er det derfor vigtigt at overveje, hvordan du fremover vil kontrollere dine kunders alder og indhente samtykke fra deres forældre.
6. Få styr på om din virksomhed er databehandler eller dataansvarlig
Den dataansvarlige afgør hvordan og til hvilket formål behandlingen af data må foretages. Databehandleren derimod behandler oplysninger på dataansvarliges vegne. Hvis du eksempelvis er psykolog, psykiater eller terapeut, modtager og behandler du en del personfølsomme data. Du er altså på én og samme tid dataansvarlig og databehandler. Vælger du derudover at benytte dig af eksempelvis et regnskabsprogram , hvori dele af dine patienters oplysninger bliver behandlet, vil du fortsat optræde som dataansvarlig og databehandler, mens dit regnskabsprogram oven i det også tilføjes som databehandler. Der er intet i vejen for, at du som virksomhed både er dataansvarlig, databehandler, og derudover har tilknyttet yderligere databehandlere, så længe du har overblikket over, hvem der udfylder hvilke roller, og hvad det betyder for din virksomhed.
7. Få styr på om din virksomhed skal have en DPO
En Data Protection Officer har til opgave at rådgive og uddanne dataansvarlige i forpligtelserne, der følger med persondataforordningen. Det er langt fra alle virksomheder, der har pligt til at udpege en DPO, dog er det obligatorisk for både offentlige myndigheder, samt visse private virksomheder, der behandler personfølsomme oplysninger. Er du kunstner, frisør, bager eller kosmetolog, behandler du næppe en masse personfølsomme data, og efter al sandsynlighed vil du derfor ikke have behov for en DPO. Driver du derimod en skole eller daginstitution, hvor persondata for tilmeldte elever er en af dine kerneaktiviteter, bør du undersøge nødvendigheden af en DPO nærmere.
8. Få styr på sikkerheden
Med den nye persondataforordning er sikkerheden vigtigere end nogensinde før, og fremover skal datasikkerhed tænkes ind i dit produkt eller ydelse fra starten. Sikkerhedsforanstaltninger kan eksempelvis være kryptering af data, sikring vha. passwords eller aflåsning af fysiske data. Graden af sikkerhed og hvilke sikkerhedsforanstaltninger der skal tages, afhænger af hvor følsomme persondata, der behandles.
9. Få styr på proceduren ved databrud
Du har nu styr på, om du er dataansvarlig, databehandler eller begge dele. Dette er vigtigt at vide i situationer, hvor datasikkerheden er i fare. Ved brud på datasikkerheden, er det nemlig den dataansvarliges pligt at dokumentere og anmelde bruddet til Datatilsynet inden for 72 timer. Anmeldelsen skal bl.a. indeholde en beskrivelse af databruddet og mulige konsekvenser, hvilke data der er omfattet, antallet af berørte personer, kontaktinformationer til enten virksomhedens DPO eller valgte kontaktperson, samt en beskrivelse af hvordan virksomheden vil håndtere bruddet. Derudover skal den dataansvarlige kontakte alle berørte personer og oplyse om bruddet. Hvis din virksomhed ikke underretter datatilsynet om eventuelle brud indenfor 72 timer, ligger bødesatsen på € 10.000.000 eller 2 % af virksomhedens omsætning på et år, derfor er det også en rigtig god idé, at få helt styr på procedurerne, så du er klar, hvis uheldet er ude.
10. Få styr på reglerne
Ovenstående punkter er en rigtig god start for dig, der skal i gang med forberedelserne til den nye persondataforordning. Men det er ikke nok. Der er flere regler, og det er vigtigt, at du sætter dig ordentligt ind i dem, så du kan imødekomme forordningen til punkt og prikke. Bøderne er dyre, hvis man ikke lever op til forordningen, så selvom det virker som et stort stykke arbejde, er det anstrengelserne værd.
Vi håber, at denne lille huskeliste kan hjælpe dig med at få en god start på dine forberedelser til d. 25. maj, når forordningen træder i kraft. Hvis du gerne vil vide endnu mere om den nye forordning, kan du læse mere i vores indlæg her.
Derudover anbefaler vi, at du tager et kig på Datatilsynets 12 spørgsmål, du bør forholde dig til, så du er bedst muligt rustet når forordningen træder i kraft.