Sådan får du styr på den persondataforordningen

Den nye persondataforordning – også kaldet ’General Data Protection Regulation (GDPR) – træder i kraft den 25. maj 2018, og der er mange ting, som du i din virksomhed skal have styr på.

For at skabe dig et overblik vil jeg her nævne nogle af de vigtigste ting, som du skal have lavet.

 

Sådan får du styr på persondataforordningen (GDPR)1. Hvilke persondata indsamler du?

Skab dig et overblik over hvilke persondata, som du indsamler. Dvs. alt, der kan identificere en person. Der skelnes her mellem almindelige personoplysninger og følsomme personoplysninger, hvor der for sidstnævnte kræves mere skærpede forhold.

Almindelige personlysninger er f.eks. navn, adresse, email, telefonnummer, fødselsdato (ikke CPR nr., da dette har en særregel) m.m.

Følsomme personoplysninger er: Race eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske eller biometriske data med henblik på identifikation, helbredsoplysninger, samt seksuel orientering.

Indsaml kun de nødvendigste informationer – altså ikke nice to know, men kun need to know – for at kunne udføre din behandling. Persondata kommer ikke blot fra kunder, men også fra leverandører, samarbejdspartnere, ansatte m.m.

2. Hvor gemmer du persondata?

Du skal vide, hvor du data bliver gemt. Er det på din pc, i skyen, i et it-system, i et arkivskab, i et ringbind? Det er her vigtigt at tænke på, at dit mailsystem IKKE er et sted, man gemmer data. Hvis du har personoplysninger fra emails, skal de gemmes på et drev.

3. Hvem har adgang til persondata?

Kun godkendte personer må have adgang til persondata, og du skal sørge for at persondata ikke ligger frit fremme. Persondata skal gemmes i et aflåst lokale i et aflåst ’skab’. Dvs. at du skal sørge for at have adgangskoder på alt it-udstyr, f.eks. pc og mobiltelefon, og hvis data ligger fysisk på f.eks. et papir, skal de opbevares i et aflåst skab.

4. Få databehandleraftaler

Yderligere skal der indhentes en databehandleraftale med de virksomheder, som behandler persondata på dine vegne, f.eks. økonomisystem, lønsystem, CRM-sysstem, nyhedsbrevssystem, webhosting og cloudløsninger. Mange af disse udbydere har en databehandleraftale, som du skal gemme, men hvis du ikke har modtaget en aftale fra dem, skal du sørge for den, da du er dataansvarlig.

5. Lav en privatlivspolitik

Udarbejd en privatlivspolitik, som du lægger på din hjemmeside, hvor det er nemt at linke til. Privatlivspolitikken skal bl.a. indeholde oplysning om de registreredes rettigheder. Privatlivspolitiken skal indholde:

  • Identitet og kontaktoplysninger på den dataansvarlige
  • Kontaktoplysninger på en evt. databeskyttelsesrådgiver
  • Formålet med behandlingen af personoplysninger
  • Retsgrundlaget for behandling af personoplysninger
  • Evt. overførsel af personoplysninger til tredjelande
  • Tidsrum, hvor personoplysninger vil blive opbevaret
  • Retten til at få oplysning om behandlingen af personoplysninger, formålet for indsamling, hvem er dataansvarlig, evt. modtagere af oplysninger m.v.
  • Retten til at få indsigt i hvilke oplysninger, der behandles
  • Retten til at få urigtige oplysninger berigtiget
  • Retten til at få slettet oplysninger (hvis de ikke længere er nødvendige for formålet)
  • Retten til at trække et samtykke tilbage
  • Ret til at gøre indsigelse ved at klage til Datatilsynet
  • Ret til at få overført oplysninger til en anden virksomhed (dataportabilitet)

6. Indhent samtykke

Alle registrerede personer skal give sit samtykke til at deres personoplysninger indhentes, opbevares og behandles. For allerede registrerede personer skal de godkende det nu, og fremadrettet skal de godkende det, når de afgiver personoplysninger, f.eks. ved at afkrydse, at man har læst privatlivspolitikken, når man tilmelder sig et nyhedsbrev.

7. Dokumentationspligt

Du har pligt til at dokumentere, at du har overholdt persondataforordningen, og du skal have en skriftlig dokumentation for dine behandlingstyper. Dvs. at du bl.a. skal kunne dokumentere, at du har modtaget et samtykke fra de registrerede. Dokumentationen skal indeholde præcis, lettilgængelig og tydelig information om, hvorfor og hvordan persondata behandles, hvilke rettigheder den registrerede har, hvem der er dataansvarlig, hvilke persondata, der er blevet behandlet, om der ser overførsler til tredjelande, m.v.

8. Jævnlig opfølgning

Når det hele er udarbejdet, skal du jævnligt, f.eks. en gang hver 6. eller 12. måned, gennemgå al din dokumentation og sørge for at rette, slette og opdatere den. Husk også at slette mails – ikke bare fra indbakken, men også i sendt og slettet folderne!

 

God fornøjelse med at overholde persondataforordningen!

 

Mere information om online marketing

Ønsker du at modtage mere information om online marketing, tips og tricks til hjemmesider, brugervenlighed på hjemmesider, søgemaskineoptimering etc., så er du velkommen til at tilmelde dig mit nyhedsbrev.

Ja tak, jeg vil gerne have nyhedsbrev