Persondataforordningen – Alt du bør vide!

Persondataforordningen - alt du bør vide

Persondataforordningens(GDPR) skærings dato er den 25. maj. Så for at sikre, at din virksomhed får et ordentligt overblik over, hvilke konkrete udfordringer og muligheder den nye persondatalovgivning giver din virksomhed, har vi samlet nogle af de elementer, der bør være styr på. 

Når det kommer til selve forordningen, så bygger den på velkendte principper, dog er der lagt nye elementer til, og der er kommet skærpede regler.
Så hvis du allerede har styr på forordningen, så kommer den nye lov ikke til at betyde alt for store udfordringer, og overgangen vil føles nemmere.

Hvad du skal vide om Persondataforordningen

Den nye lov betyder, der kommer nye krav til, hvordan du som virksomhed indsamler data, og hvordan de indsamlede data behandles og opbevares. Det hele er baseret på individets rettigheder, når det kommer til data og indsamlingen af disse.

For eksempel når det kommer til data om en medarbejder, så skal du nu på grund af persondataforordningen have et tilsagn fra den pågældende medarbejder, og du som virksomhed skal have et specifikt formål med at have disse oplysninger – for hvert nyt formål, skal der et nyt tilsagn til.

Det betyder altså, du skal igang med at dokumentere alle data, der indeholder *persondata.

Formålet er, at virksomhederne kun indsamler data de rent faktisk skal bruge og sletter dem igen, når de ikke længere er relevante.

Persondataforrdningen handler altså om, at I som virksomhed skal beskrive hvad I gør for at beskytte personfølsommedata – inden I rent faktisk gør det. Derefter skal I sikre, at jeres egne processer også efterleves i praksis. 

Men hvem skal holde styr på det?

I enhver virksomhed skal der tages stilling til hvor i stor grad persondata fylder i det daglige arbejde.

Hvis persondat er jeres primære opgave, skal I have en DPO ansat, så I sikre I overholder alle retningslinjerne.

Er persondata jeres sekundære opgave, så skal I blot sikre jer med en dataansvarlig.

Datatilsynet har udgivet en pdf med 12 spørgsmål , som jeres dataansvarlige skal forholde sig til. I denne pdf, er det blandt andet vigtigt, at jeres dataansvarlige får styr på følgende:

  • Erstatte persondataloven med persondataforordningen og hvordan dette vil påvirke jeres virksomhed
  • Undersøge alle dokumenter, oplysninger og hvem de bliver delt med
  • Gennemgå de informationer, der bliver givet til registrede personer og hvordan persondataforordningen muligvis påvirker disse

Du kan læse meget mere i deres pdf og sikre, at I får stillet de rette spørgsmål.

 

En lille persondataforordning tjekliste

Hvis du vil sikre dig, at I har styr på nogle af de vigtige aspekter af den nye persondataforordningen:

  • Find en databehandler/dataansvarlig, der har klare ansvarsområder
  • Få styr på placringen af data og sikre, at de alle er underskrevet korrekt – alt efter hvor de er blevet placeret
  • Skal du ansætte en DPO(Data Protection Officer)? Hvis det er jeres kerneopgave at opbevare persondata, så skal der ansættes en DPO, der skal sikre, at I følger reglerne.
  • Når I indhenter data omkring en person, skal I sikre jer, at der er afgivet samtykke og at dette er givet korrekt. Personen du indhenter data omkring, skal vide præcist hvad du skal bruge disse data til og hvor længe de bliver gemt.
  • Jeres virksomhed skal være istand til at flytte og udlevere data i det rette format – hvis det ønskes af personen hvis data I har
  • I skal sikre jer, at jeres virksomhed kan håndtere og dokumentere når I skal slette eller rette i persondata.
  • I skal have styr på privacy-by-design/ default og vide om jeres produkter/ydelser kræver dette. Derudover skal I sikre jer, at I kan leve op til sikkerhedskravene omkring udviklingen af produkter/ydelser.
  • Impact Assessment – Det er vigtigt at I har en konkret beskrivelse af jeres Impact Assessment samt at I kan gennemføre OG dokumentere det.
  • Hvis uheldet er ude og der kommer et databrud, så skal I vide hvem I skal kontakte og hvad de skal have at vide. Det er også vigtigt, at I har en process nedskrevet.
  • Og så skal I kunne dokumentere, at I overholder persondataforordningen og hvilke databehandlingsaktiviteter I har.

Hvad koster det hvis Persondataforordningen ikke overholdes?

Hvis du sidder og tænker, at du ikke behøver følge Persondataforordningen, så læse lige med her.

For det bliver ikke økonomisk billigt ikke at overholde den lovgivning.

En bøde på det laveste niveau er enten 2% af din virksomheds globale indkomst eller 10 millioner euro.

Og bøder på det højeste niveau er på 4% af den globale indkomst eller 20 millioner euro.

Så spørgsmålet er, om I har råd til ikke at begynde at implementere persondataforordningen i hele jeres virksomhed?

 

ERP-system og GDPR?

Som du sikkert kan regne ud, så kommer de nye ændringer til at stille høje krav til din virksomheds ERP-system.

Du skal sikre dig, at det system du har, kan hjælpe dig med at dokumentere OG især sletning – når en bruger skriver, at person gerne vil have sine data slettet.

Du kan læse mere om SAP Business One og GDRP lige her.

 


*Persondata er som følgende:
  • CPR-nummer
  • Navn, adresse, telefonnummer
  • Race eller etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Biometrisk data med formål om identifikation
  • Helbredsoplysninger og om seksuelle forhold
  • Oplysninger om straffe – og børneattest

Oplysningen er hentet fra erhvervsstyrelsen.