Indhold

Begynderguide til Databeskyttelsesforordningen

Velkommen til en verden af personoplysninger, samtykker, databehandlere, kontroller og og meget mere…

Denne GDPR-guide er til dig, der ønsker at blive klogere på Databeskyttelsesforordningen, og på hvordan du får din virksomhed fra START til SLUT, så du er sikker på at kunne påvise at din virksomhed overholde loven og at dine kunders, medarbejderes og andre parters data behandles korrekt – med andre ord at din virksomhed eller organisation bliver GDPR compliant.

Har du investeret i en makulator og et skab med lås, og så er du ellers ikke kommet videre? Eller har du udfyldt et par Excel-ark og tænker ”så er jeg da i gang”? Går du og er usikker på, om du har fået det hele med under dit arbejde med persondata? I det hele taget er guiden til alle, der er interesseret i at blive dus med Databeskyttelsesforordningen, så bøder og dårlig omtale undgås.

Når du har læst denne guide, vil du have fået en god indsigt i, hvordan du kommer fra A-Z i Databeskyttelsesforordningen og dermed kalde din virksomhed GDPR compliant

Igennem hele guiden bliver du ledsaget af illustrationer og brugervenlige trin-for-trin-guides. Vi har også inkluderet nogle af de mange spørgsmål, vi har modtaget gennem vores arbejde med GDPR. Spørgsmålene afspejler de gængse udfordringer med både det praktiske arbejde og det mere teoretiske omkring selve lovgivningen.

Hvad betyder det at være GDPR compliant? Ja, det vil sige at du overholder gældende regler og efterlever retningslinjer.

Jeg har inkluderet en ordbog med de almindeligste termer og fagudtryk, gå til ordbog her.

I denne guide giver vi dig kvit og frit forskellige skabeloner samt tips og tricks, du kan bruge her og nu. Vi har inkluderet links, der sender dig videre til andet relevant materiale, eksempler fra en hverdag med GDPR, hvad du gør hvis det går galt og meget andet. Når du læser guiden, vil du finde svar på mange af de spørgsmål, du som begynder i GDPR-verdenen stiller dig selv, herunder:

Hvordan kommer jeg helt praktisk i gang med GDPR?

  • Skal jeg have en privatlivs- og cookiepolitik? Hvad er cookies? Og har jeg cookies på min website?
  • Hvad skal jeg bruge samtykke til? Skal jeg fx bruge en samtykkeerklæring fra mine medarbejdere?
  • Hvad skal jeg anmelde til Datatilsynet? Skal jeg fx anmelde det, hvis jeg får stjålet min computer? (link til databrud)

Skal du læse hele GDPR-Guiden?

Hvis du ikke på forhånd har stiftet bekendtskab med emnet, anbefaler vi at du læser denne guide fra starten. Ja, vi ved det det er et tungt emne, men vi har forsøgt at gøre bogens indhold så letfordøjeligt som muligt.

Er dit mål selv at udføre GDPR i din virksomhed (det kan du godt, vil vi lige indskyde), så anbefaler vi at du sætter dig godt tilrette med computer og et stort krus kaffe, og læser hele guiden grundigt. Vi lover dig, at du på en let anvendelig måde vil lære alt det, du har brug for at vide, så din virksomhed overholder lovgivningen.

Hvert afsnit i denne vejledning er vigtig, dels for at du får alt med, når du udarbejder din virksomheds GDPR compliancedokumentation, men også så du forstår de mest effektive metoder at arbejde med GDPR. Enkelte afsnit behandler virksomheder med specielle behov – det får du besked om undervejs, så du ikke behøver bruge tid på unødvendig information.

Er du kommet godt i gang med forordningen i din virksomhed, men lige vil tjekke op på, om du har helt styr på de forskellige politikker, kan du jo vælge at springe i kapitlerne efter de emner, du vil læse op på.

Du kan jo også vælge at bruge guiden som opslagsværk: Hvis du f.eks. har behov for at blive klogere på privatlivs- og cookiepolitik, og hvad den betyder for dig som privatperson eller for din virksomhed, så har vi en udførlig forklaring på det.

Ansvarsfraskrivelse

Brug af denne guide er underlagt en ansvarsfraskrivelse, guiden er gratis og ikke udtryk for juridisk eller konkret rådgivning. Guiden kan ikke erstatte rådgivning fra en professionel rådgiver.

3 hurtige om GDPR

1: Hvad er Persondataforordningen, Databeskyttelsesforordningen, GDPR?

For det første har ordene samme betydning og er en lovgivning, som er indført af EU. Da det er en lovgivning, skal den naturligvis overholdes, ellers risikerer man repressalier eller bøde fra Datatilsynet. Persondataforordningen omfatter det generelle udspil fra EU (GDPR) og Databeskyttelsesforordningen omfatter Danmarks tilføjelser til EU’s udspil. I branchen bruges GDPR som en fælles betegnelse for begge lovgivninger.

2: Hvorfor skal jeg ’lave’ GDPR?

Det handler først og fremmest om at sikre dine kunders, ansattes og andre parters (de registreredes) personoplysninger - man kan sige, at det er en lovgivning, hvor formålet er at beskytte den registrerede. I praksis er det altså din virksomheds opgave at dokumentere, at I sikrer personoplysninger og overholder GDPR.Du skal også tænke på, at det kan gå hårdt ud over din virksomhed, hvis du ikke passer godt på dine kunders data. Sikkerhed er et konkurrenceparameter, du kan anvende i din daglige markedsføring, og som har stor indflydelse på forholdet mellem kunde og leverandør. GDPR er en rigtig god mulighed for at få styr på virksomhedens processer - og hvis I er skarpe, så kan I måske også effektivisere arbejdsgangene, mens I er i gang.Din virksomhed kan signalere til kunder og samarbejdspartnere, at I har styr på jeres persondata. I vil i deres optik fremstå professionelle og mere attraktive.Tænk samtidig på konsekvenserne for virksomhedens image, hvis der f.eks. lækkes persondata fra din virksomhed. Ofte hører vi om virksomheder, der lige pludselig befinder sig i online modvind pga. uhensigtsmæssig behandling af persondata, der kan tage år og koste en formue at komme fornuftigt ud af. Det er vigtigt at vise at ens virksomhed har styr på GDPR for ikke at blive sårbare overfor utilfredse kunder eller afskedigede medarbejdere, som måske er ude på at skade virksomheden ved at angive en anmeldelse til Datatilsynet.

3: Hvem er omfattet af Databeskyttelsesforordningen?

ALLE virksomheder, organisationer, offentlige myndigheder eller foreninger , hvor persondata bliver benyttet. Persondata er mange ting: Det kan være, at du nævner en kunde i en mail du sender til din kollega; du har en stak visitkort og nogle ansøgninger, du har gemt til senere brug; din hjemmeside sender et nyhedsbrev ud eller opsamler oplysninger via cookies etc. Mange tror at hvis ens virksomhed ikke behandler personfølsomme oplysninger, såsom helbredsoplysninger eller fortrolige oplysninger såsom CPR nr.. så er de ikke underlagt lovgivningen. Men dette er ikke korrekt – selvom din virksomhed kun behandler oplysninger på kontaktpersoner i en anden virksomhed, så er din virksomhed også underlagt lovgivningen. Med andre ord – der er ingen virksomheder der går fri.

Persondatakategorier

Når man taler om personoplysninger er det vigtigt at forstå at der skelnes mellem to typer af oplysninger, nemlig almindelige personoplysninger og følsomme personoplysninger.

De almindelige oplysninger er utallige og består fx af: kontaktoplysninger, fotos, IP adresser, nummerplader etc.

De følsomme personoplysninger er afgrænset til oplysninger om: Race og etnisk oprindelse, Politisk overbevisning, Religiøs eller filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Genetiske data, Biometriske data med henblik på entydig identifikation, Helbredsoplysninger og Seksuelle forhold eller seksuel orientering.

Forskellen på de to typer eller kategorier af oplysninger bunder i at det som udgangspunkt er ulovligt at behandle de følsomme oplysninger med mindre at man kan hænge sin behandling på et af de få lovlige grundlag der , ifølge lovgivningen, er til at behandle dem. Almindelige oplysninger er nemme at få lov at behandle, da det fx kan gøres hvis det er nødvendigt for at opfylde en indgået aftale eller hvis det er i virksomhedens interesse, uden at være problematisk for den registrerede.

De lovlige grundlag for behandling af almindelige oplysninger er: Samtykke, opfyldelse af kontrakt, retslig forpligtelse, i samfundets interesse, vital interesse og interesse afvejning. For de følsomme oplysninger kan man kun behandle dem ved: samtykke, retslig forpligtelse. I samfundets interesse, vital interesse og hvis de er tydelig offentliggjort af den registrerede selv.

Samtidig med at det er svære at finde et lovligt grundlag til at behandle de følsomme oplysninger frem for de almindelige, så skal de følsomme oplysninger også beskyttes bedre end de almindelige oplysninger. Det kan fx være at de skal låses inde eller sendes krypteret.

I Danmark har CPR nr. en stor betydning og derfor skal man også have et specielt lovligt grundlag for at behandle disse. Typisk er det en retslig forpligtelse at vi får vores medarbejders CPR nr. for at kunne indberette til SKAT. I de danske tilføjelser til GDPR har man besluttet at fortrolige oplysninger skal sendes krypteret og fortrolige oplysninger er defineret som: ”Oplysninger som virksomheden og samfundet betragter som værende fortrolige oplysninger, eksempelvis CPR-nummer, oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde. ”

Det er vigtigt at man som virksomhed har styr på hvilke lovlige grundlag man har for at behandle de forskellige oplysninger man har. Vi oplever ikke at det er svært for virksomhederne at finde det lovlige grundlag, da de fleste virksomheder faktisk ikke behandler oplysninger som de ikke må. Udfordringen er at tildele de forskellige behandlinger et lovligt grundlag. De typiske udfordringer vi ser er at virksomheder ikke har samtykke til at offentliggøre medarbejdernes billeder på hjemmesiden, eller mangler dokumenterede samtykker for tilmelding til nyhedsbreve.

Konsekvenser ved IKKE at have styr på GDPR

Omdømmetab er generelt et vigtigt element i forhold til, hvad der kan ske med en virksomhed, hvis den ikke overholder GDPR. Dels kan virksomheden i kundernes øjne stå dårligt, hvis der f.eks. sker tab af data eller en fejlagtig offentliggørelse af data på internettet. Tidligere undersøgelser har vist at forbrugere undlader at handle med virksomheder der ikke har styr på GDPR. Vi oplever også at virksomheder stiller krav til deres underleverandører om bevis for GDPR compliance før de vil indgå aftaler. Samtidig benytter mange virksomheder sig af GDPR compliance som et konkurrenceparameter for at overvinde nye kunder fra konkurrenter.

Når Datatilsynet udtaler kritik, sætter de reelt virksomheden i gabestok, idet kritikken offentliggøres på Datatilsynets hjemmeside og derfor hurtigt kommer til at florere online. Det er mere end nogensinde før nødvendigt for virksomhederne at være opmærksomme på det omdømmetab, som en manglende overholdelse af GDPR kan medføre - uanset om det er på grund af Datatilsynets indgriben eller f.eks. medarbejdere, kunder og leverandører.

Datatilsynet kan give store bøder for manglende efterlevelse af GDPR og i EU har man ønsket, at bøderne skal have en afskrækkende effekt, så virksomheder overholder lovgivningen. En virksomhed kan derfor risikere bøder på op til 20 millioner euro eller 4 % af den globale omsætning.

Udover de konkrete sanktioner fra Datatilsynet og konsekvenserne af omdømmetab ved manglende overholdelse af forordningen skal virksomhederne også være opmærksomme på, at f.eks. kunder har mulighed for at indgå i et civilt gruppesøgsmål. I tillæg til at være blevet sat i gabestok og have modtaget en stor bøde, kan virksomheden altså blive sagsøgt og risikere at miste endnu flere penge og endnu mere omdømme, hvad enten der er tale om et hændeligt uheld eller f.eks. et hackerangreb.

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400