Ti punkter til at komme i gang med GDPR

Ti punkter til at komme i gang med GDPR

Forbered dig på indførelsen af EU's persondataforordning (GDPR) nu. Her er ti punkter, som kan hjælpe dig med at komme i gang.

EU's persondataforordning vil påvirke mange virksomheder i Europa. Er du klar til ændringerne?

I maj 2016 udstedte EU en persondataforordning. Det vi allerede ved er, at når de nye regler træder i kraft maj 2018, efter en toårig overgangsperiode, vil forordningen bringe nye operationelle krav til virksomheder der håndterer personoplysninger.

Da definitionen af "personoplysninger" er meget bred, vil næsten alle virksomheder faktisk falde ind under dens jurisdiktion. Vi har samlet ti punkter, som kan hjælpe dig på vej.

  1. Demonstrer at du følger reglerne

Den nye forordning kræver, at indehaveren af personoplysningerne er i stand til at demonstrere, at de håndterer persondataene på den påkrævede måde.

I praksis betyder det, at du skal føre et register over de databehandlingsaktiviteter der ligger under dit ansvar, for at bevise, at de er i overensstemmelse med reglerne..

 

  1. Sørg for at have samtykke

Hvis håndteringen af personoplysninger er baseret på en persons samtykke, skal du være i stand til at påvise, at et sådant samtykke er givet.

Herudover vil kravene til samtykke blive strengere i fremtiden:

Samtykke skal gives tydeligt i en skriftlig, elektronisk eller mundtlig erklæring. Samtykket skal vise, at personen har frivillig, individualiseret, bevidst og eksplicit udtrykt ønske om at de accepterer brugen af deres personoplysninger. Typisk vil det være ved at klikke i et afkrydsningsfelt for at give samtykket.

 

  1. Håndhæv retten til at blive glemt

Et nyt emne der vil blive indført med forordningen, er den registrerede persons ret til at blive glemt. I praksis betyder det ret til at få deres data fjernet fra dine databaser.

Denne type situation kan opstå, når personen trækker det samtykke de allerede har givet dig tilbage. Men hvis brugen af personoplysninger har et juridisk grundlag, er der ingen forpligtelse til at fjerne dataene.

Hvis du har pligt til at fjerne data, skal du informere alle enheder som har modtaget eller offentliggjort dataene. Dette er for at sikre, at alle links, dubletter og kopier relateret til materialet også fjernes.

 

  1. Håndhæv retten til at flytte data

I øjeblikket har alle ret til at modtage deres egne data i et maskinlæsbart format og overføre dem til en anden registerholder.

Denne ret gælder også for persondata, som en person har givet til dig via samtykke eller aftale. Denne forpligtelse, forpligter imidlertid ikke dig, til at godkende eller vedligeholde databehandlingssystemer som er teknisk kompatible.

 

  1. Forbud mod profilering kan påvirke dig

Alle har ret til ikke at blive genstand for et beslutningsgrundlag baseret på automatisk databehandling, der ville have en retslig eller anden væsentlig virkning på dem. Det betyder med andre ord, at du ikke kan træffe vigtige beslutninger, der påvirker andre personer, når beslutningen er baseret på en automatisk dataproces.

En undtagelse fra dette "profileringsforbud" vil være, når beslutningen er nødvendig for at indgå en kontrakt mellem en person og din virksomhed. Du skal sørge for, at dine profilerings- og beslutningsmodeller overholder loven, og at eventuelle nødvendige ændringer foretages.

Et alment eksempel på undtagelse til profileringsforbuddet er, når der træffes kreditbeslutninger. Disse beslutninger er ofte baseret på automatiserede klassifikationssystemer og beslutningsanbefalinger.

 

  1. Informer om brud på din datasikkerhed

I fremtiden vil du være forpligtet til at informere myndighederne samt registrerede personer om eventuelle overtrædelser af datasikkerheden. Dette omfatter situationer, hvor en persons rettigheder og friheder overtrædes. I tilfælde af at disse situationer opstår, er der et par ting du skal foretage dig:

  • Du skal underrette myndighederne inden for 72 timer efter overtrædelsen. Du skal underrette alle berørte personer om overtrædelsen, så snart der er sandsynlighed for, at deres rettigheder og friheder er udsat for væsentlig risiko.
  • For at opfylde disse forpligtelser er det vigtigt, at du udarbejder interne instruktioner og procedurer for at sikre en effektiv og korrekt proces.

 

  1. Informer om din dataproces

Virksomheder over hele verden samler nu flere personlige data end nogensinde før. For at opfylde EU-forordningen i fremtiden, skal du angive mere information vedrørende databehandlingen, end der tidligere har været nødvendigt.

Hvad dette betyder for dig er, at du skal oplyse lagringstiden for persondata. Eller hvis det ikke er muligt, skal du oplyse om de kriterier der anvendes til at bestemme lagringstiden.

I praksis betyder det eksempelvis opdatering af dataregisteret samt datasikkerhedsdokumenterne, og at overveje hvordan informeringen af de registrerede personer skal udføres.

 

  1. Den nye databeskyttelsesansvarliges rolle

Med det stigende fokus på databeskyttelse, skal du muligvis udpege en databeskyttelsesansvarlig til at håndtere persondata. For eksempel er organisationer, hvor der kræves en databeskyttelsesansvarlig, virksomheder hvor der er bred, regelmæssig og systematisk overvågning af folk eller hvis deres kerneaktiviteter består af en sådan overvågning. Derfor anbefaler vi dig at vurdere, om kravet til en databeskyttelsesansvarlig gælder for dig eller ej.

 

  1. Outsourcing af behandlingen af personoplysninger vil kræve beskyttelsesforanstaltninger fra dig

Hvis du har outsourcet en del af dataprocessen til en anden enhed, og de vil håndtere persondataene på vegne af dig, er der et par ting du skal gøre:

  • Du skal sikre tilstrækkelige tekniske og organisatoriske beskyttelsesforanstaltninger, som overholder kravene i forordningen. Du skal sikre, at de registrerede personers rettigheder er beskyttet.
  • I praksis betyder det, at du skal identificere de situationer, hvor outsourcing er relevant samt sikre at alle kontrakter udarbejdes korrekt. For eksempel betragtes opbevaring af data i cloud-tjenester som outsourcing, også selvom udbyderen ikke aktivt behandler dataene.

 

  1. Overtrædelser kan medføre heftige bøder

Det er også vigtigt at bemærke, at du udover en advarsel får en stor bøde for at overtræde databeskyttelsesforordningen. Bøden kan være op til maksimalt 20 mio. euro eller 4 procent af virksomhedens samlede omsætning.