GDPR til små
virksomheder
Til dig, der skal have styr på de nye regler om databeskyttelse, nemt og intuitivt.
Hvad er GDPR?
Kært barn har mange navne; GDPR, Databeskyttelsesforordningen og Persondataforordningen er det samme.
GDPR står for General Data Protection Regulation, og er en lovgivning, som er indført af EU. Databeskyttelse blev særlig relevant d. 25. maj 2018, da alle virksomheder fra denne dato skulle efterleve GDPR-reglerne.
GDPR er ensbetydende med en masse regler, og disse kan være vanskelige for en lille virksomhed at gennemskue.
Persondataforordningens formål er at fremme virksomheders beskyttelse af persondata. Et af de største krav til virksomhederne er kravet til at dokumentere, at personoplysninger behandles efter reglerne.
5 vigtige GDPR-regler
Alle GDPR-reglerne er vigtige, men her er der 5, som du skal være særligt opmærksom på. Din virksomhed skal:
- Føre en fortegnelse.
- Dokumentere at lovgivningens principper for god databehandling efterleves.
- Dokumentere at virksomheden har indført passende tekniske og organisatoriske foranstaltninger.
- Oplyse kunder og ansatte om hvordan deres data behandles.
- Bevise, at virksomheden efterlever lovgivningen fx hvis der anvendes samtykke, databehandlere, mv.
Andre relevante GDPR-regler
Vi kunne blive ved med at nævne vigtige emner, fordi der er ligeså mange andre GDPR-regler, som din virksomhed skal have styr på. Din virksomhed skal:
- Lave en risikovurdering af behandlingen af personoplysninger.
- Indgå særlige aftaler om databeskyttelse med sine databehandlere.
- Føre tilsyn med sine databehandlere.
- Bruge databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.
- Efterleve kunders og ansattes rettigheder.
- Tjek selv lovgivningen, også kaldt Databeskyttelsesforordningen.
Dit brand
Signaler til dine kunder og samarbejdspartnere, at du har styr på GDPR. I vil fremstå professionelle, og mere interessante i deres optik.
Et trænet øje kan gennemskue om din virksomhed arbejder seriøst med GDPR. Hvis du ikke efterlever GDPR, så fremstår din virksomhed mindre professionel overfor kunder og samarbejdspartnere.
Lovgivning
GDPR er en lovgivning, som naturligvis skal overholdes.
Sikkerhed
GDPR handler først og fremmest om at sikre sine kunders og ansattes personoplysninger. Man kan sige, at det er deres lovgivning. Det er altså din opgave at sikre deres oplysninger i praksis.
Dokumentation
Du skal kunne dokumentere, at I efterlever GDPR-lovgivningens mange regler.
En mulighed
GDPR er ikke kun bureaukrati og databeskyttelse. GDPR er en mulighed til at få et overblik af virksomhedens processer og it. Dette kræver, at du vælger at se mulighederne i reglerne. Hvis I er skarpe, så kan I måske effektivisere en arbejdsgang, mens I er i gang med persondataforordningen.
Kommunikation
Alle i virksomheden skal kende reglerne, så I kan kommunikere med jeres kunder. Og du skal som ejer kende reglerne, så du kan kommunikere med dine ansatte på den rigtige måde.
Som “registreret” i din virksomhed, så har kunderne nogle rettigheder, som du skal efterleve. I skal fx oplyse kunderne om hvordan deres oplysninger behandles af virksomheden.
Imødekomme kundens rettigheder
Kunderne har nogle rettigheder med GDPR, og din virksomhed skal være klar til at imødekomme disse rettigheder. Et eksempel på en rettighed er “retten til at blive glemt”.
Denne rettighed kan indebære at data skal slettes, eller “anonymiseres”, så man ikke længere kan finde oplysningerne.
Bøder
Der kan gives store bøder for manglende efterlevelse af persondataforordningen. I EU har man ønsket, at bøderne skal have en afskrækkende effekt, så virksomheder overholder lovgivningen. En virksomhed kan risikere bøder på op til 20 millioner euro, eller 4 % af den globale omsætning. Den ansvarlige kan også komme i fængsel.
Alle der regelmæssigt behandler personoplysninger er omfattet af lovgivningen.
Din virksomhed er omfattet:
- Hvis du har medarbejdere, så vil du regelmæssigt behandle personoplysninger fx til lønudbetaling.
- Hvis dine kunder er privatpersoner, så vil du regelmæssigt behandle personoplysninger fx levering af service eller betaling.
- Hvis dine kunder kan være personligt ejede virksomheder, så vil du regelmæssigt behandle personoplysninger.
- Hvis du har en hjemmeside, hvor du tracker de besøgendes adfærd på hjemmesiden, så behandler du også personoplysninger. Hvis du kommunikerer med den besøgende via en kontaktformular eller email, så behandler du også personoplysninger.
Næsten alle virksomheder er altså omfattet af GDPR
Datatilsynet laver tilsyn med at virksomhederne overholder reglerne.
Datatilsynet har ret til at komme på tilsyn i din virksomhed. De kommer formentlig ikke tilfældigt forbi netop din virksomhed, men der er andre farer for at komme i klemme med reglerne.
I har pligt til at anmelde “sikkerhedsbrud” til Datatilsynet.
Et sikkerhedsbrud sker, hvis I mister personoplysninger om kunderne. Eksempler på sikkerhedsbrud:
- I bliver offer for ransomware,
- I sender uheldigt en mail med personoplysninger til den forkerte modtager
- Uvedkommende får adgang til personoplysninger
Betydelige sikkerhedsbrud skal anmeldes til Datatilsynet. Hvis I vælger ikke at anmelde et sikkerhedsbrud, men burde have gjort dette, så vil I kunne blive sanktioneret.
Kunder kan anmelde din virksomhed til Datatilsynet.
Din kunde kan anmelde din virksomhed til Datatilsynet. Denne risiko øges, hvis du ikke kender dine kunders rettigheder, og derfor ikke efterlever disse. Ved anmeldelse til Datatilsynet, så startes en sag på din virksomhed.
GDPR er ensbetydende med en masse regler, og disse kan være vanskelige for en lille virksomhed at gennemskue.
Persondataforordningens formål er at fremme virksomheders beskyttelse af persondata. Et af de største krav til virksomhederne er kravet til at dokumentere, at personoplysninger behandles efter reglerne.
5 vigtige GDPR-regler
Alle GDPR-reglerne er vigtige, men her er der 5, som du skal være særligt opmærksom på. Din virksomhed skal:
- Føre en fortegnelse.
- Dokumentere at lovgivningens principper for god databehandling efterleves.
- Dokumentere at virksomheden har indført passende tekniske og organisatoriske foranstaltninger.
- Oplyse kunder og ansatte om hvordan deres data behandles.
- Bevise, at virksomheden efterlever lovgivningen fx hvis der anvendes samtykke, databehandlere, mv.
Andre relevante GDPR-regler
Vi kunne blive ved med at nævne vigtige emner, fordi der er ligeså mange andre GDPR-regler, som din virksomhed skal have styr på. Din virksomhed skal:
- Lave en risikovurdering af behandlingen af personoplysninger.
- Indgå særlige aftaler om databeskyttelse med sine databehandlere.
- Føre tilsyn med sine databehandlere.
- Bruge databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.
- Efterleve kunders og ansattes rettigheder.
- Tjek selv GDPR-reglerne.
Dit brand
Signaler til dine kunder og samarbejdspartnere, at du har styr på GDPR. I vil fremstå professionelle, og mere interessante i deres optik.
Et trænet øje kan gennemskue om din virksomhed arbejder seriøst med GDPR. Hvis du ikke efterlever GDPR, så fremstår din virksomhed mindre professionel overfor kunder og samarbejdspartnere.
Lovgivning
GDPR er en lovgivning, som naturligvis skal overholdes.
Sikkerhed
GDPR handler først og fremmest om at sikre sine kunders og ansattes personoplysninger. Man kan sige, at det er deres lovgivning. Det er altså din opgave at sikre deres oplysninger i praksis.
Dokumentation
Du skal kunne dokumentere, at I efterlever GDPR-lovgivningens mange regler.
En mulighed
GDPR er ikke kun bureaukrati og databeskyttelse. GDPR er en mulighed til at få et overblik af virksomhedens processer og it. Dette kræver, at du vælger at se mulighederne i reglerne. Hvis I er skarpe, så kan I måske effektivisere en arbejdsgang, mens I er i gang med persondataforordningen.
Kommunikation
Alle i virksomheden skal kende reglerne, så I kan kommunikere med jeres kunder. Og du skal som ejer kende reglerne, så du kan kommunikere med dine ansatte på den rigtige måde.
Som “registreret” i din virksomhed, så har kunderne nogle rettigheder, som du skal efterleve. I skal fx oplyse kunderne om hvordan deres oplysninger behandles af virksomheden.
Imødekomme kundens rettigheder
Kunderne har nogle rettigheder med GDPR, og din virksomhed skal være klar til at imødekomme disse rettigheder. Et eksempel på en rettighed er “retten til at blive glemt”.
Denne rettighed kan indebære at data skal slettes, eller “anonymiseres”, så man ikke længere kan finde oplysningerne.
Bøder
Der kan gives store bøder for manglende efterlevelse af persondataforordningen. I EU har man ønsket, at bøderne skal have en afskrækkende effekt, så virksomheder overholder lovgivningen. En virksomhed kan risikere bøder på op til 20 millioner euro, eller 4 % af den globale omsætning. Den ansvarlige kan også komme i fængsel.
Alle der regelmæssigt behandler personoplysninger er omfattet af lovgivningen.
Din virksomhed er omfattet:
- Hvis du har medarbejdere, så vil du regelmæssigt behandle personoplysninger fx til lønudbetaling.
- Hvis dine kunder er privatpersoner, så vil du regelmæssigt behandle personoplysninger fx levering af service eller betaling.
- Hvis dine kunder kan være personligt ejede virksomheder, så vil du regelmæssigt behandle personoplysninger.
- Hvis du har en hjemmeside, hvor du tracker de besøgendes adfærd på hjemmesiden, så behandler du også personoplysninger. Hvis du kommunikerer med den besøgende via en kontaktformular eller email, så behandler du også personoplysninger.
Næsten alle virksomheder er altså omfattet af GDPR.
Datatilsynet laver tilsyn med at virksomhederne overholder reglerne.
Datatilsynet har ret til at komme på tilsyn i din virksomhed. De kommer formentlig ikke tilfældigt forbi netop din virksomhed, men der er andre farer for at komme i klemme med reglerne.
I har pligt til at anmelde “sikkerhedsbrud” til Datatilsynet.
Et sikkerhedsbrud sker, hvis I mister personoplysninger om kunderne. Eksempler på sikkerhedsbrud:
- I bliver offer for ransomware,
- I sender uheldigt en mail med personoplysninger til den forkerte modtager
- Uvedkommende får adgang til personoplysninger
Betydelige sikkerhedsbrud skal anmeldes til Datatilsynet. Hvis I vælger ikke at anmelde et sikkerhedsbrud, men burde have gjort dette, så vil I kunne blive sanktioneret.
Kunder kan anmelde din virksomhed til Datatilsynet.
Din kunde kan anmelde din virksomhed til Datatilsynet. Denne risiko øges, hvis du ikke kender dine kunders rettigheder, og derfor ikke efterlever disse. Ved anmeldelse til Datatilsynet, så startes en sag på din virksomhed.