ComplyTo - GDPR forklaret - Introduktion til persondataforordningen

Introduktion til persondataforordningen 2018 

Hvad skal din virksomhed være opmærksom på ved den nye persondatalov? Få et overblik og en forklaring på GDPR her.

Stadig tvivl om persondataforordningen

GDPR har nu været trådt i kraft i et stykke tid, men forvirringen omkring reglerne for persondata findes stadig hos mange virksomheder i Danmark og resten af EU-landene. Hvilken betydning har GDPR for en lille virksomhed? Hvilke rettigheder har personer nu? Hvilke konsekvenser har EU persondataforordningen hvis din virksomhed ikke overholder den?

Sidst men ikke mindst får du en hurtig gennemgang over hvordan du kommer i gang med at overholde persondataforordningen.

Her får du GDPR forklaret

Hvorfor blev persondataforordningen indført?

Vi starter med baggrunden for hvorfor GDPR blev indført. Det begyndte i 1995 hvor Databeskyttelsesdirektivet trådte i kraft. Databeskyttelsesdirektivet bliver vedtaget af Europa Parlamentet for at beskytte fysiske personer ved behandling af persondata, og for at undgå fri udveksling af disse oplysninger. Siden da er der sket store teknologiske fremskridt, og virksomheders anvendelse af deres indsamlede persondata er blevet mere sofistikeret.

Derudover var der inden EU’s persondataforordning fra 2018 også stor forskel på måden de forskellige EU-lande fortolkede og implementerede Databeskyttelsesdirektivet 1995. Det medførte, at virksomheder og organisationer, der arbejder på tværs af EU-lande, havde svært ved at holde styr på reglerne. Så for at gøre lovgivningen nemmere for europæiske virksomheder, besluttede EU, at der var brug for en ny lov til at klæde unionen på til den digitale tidsalder, eliminere forskellene på implementeringen af loven blandt medlemslandene, og styrke borgernes rettigheder.

Det resulterede i, at det første forslag til General Data Protection Regulation (bedre kendt som GDPR, persondataforordningen og persondataloven 2018) blev stillet i 2012. Efter seks års behandling og indførelse trådte persondataforordningen - som vi alle ved - i kraft den 25. maj 2018. Mange virksomheder har før og efter ikrafttrædelsen haft svært ved at finde hoved og hale i GDPR. Derfor vil denne artikel prøve at give dig det bedst mulige overblik over, hvordan du skal forholde dig til din virksomheds opbevaring og anvendelse af persondata.

Hvilken betydning har GDPR for en lille virksomhed?

Mange virksomheder ser EU persondataforordningen som en indviklet lovgivning. Da der er forskel på virksomhedstyper, brancher og virksomhedsstørrelser, kan det være svært helt konkret at vide, hvilken betydning persondataloven har for din virksomhed. Men GDPR er ens for alle, uanset om du er en lille virksomhed, lille webshop eller stor international organisation. Der er nogle dele af loven der ikke er relevant for din virksomhed, men som udgangspunkt er det godt at kende til de generelle retningslinjer. Bare rolig - vi hjælper dig.

Persondataloven betyder for din lille virksomhed, at den skal dokumentere hvordan den opbevarer og anvender persondata på persontyper som for eksempel kunder, hjemmesidebrugere og medarbejdere. Disse tre eksempler på persontyper hører under hvad vi kalder “processer” i ComplyTo GDPR. De tre processer hedder i vores system Kunder, Hjemmeside og HR. Du kan læse mere om hvordan din fremgangsmåde skal være, når du vil overholde GDPR på dette link.

Men tilbage til persondataforordningens betydning for din virksomhed. Konsekvensen for din virksomhed er, i værste fald, en bøde på €20 mio., eller fire procent af dens globale årlige omsætning, men det bliver dog ikke den primære sanktion ifølge Datatilsynet. De vil i stedet komme med påtaler, grove irettesættelser og påbud for at indgå i en dialog med private virksomheder. Det gør de for at skabe en form for læringsproces, hvor virksomhederne lærer noget, i stedet for bare at dele bøder ud til højre og venstre.

GDPR betyder, at din virksomhed fra nu af og fremover skal tænke på hvordan den opbevarer dine kunders, brugeres, medarbejderes, leverandørers mf. personlige oplysninger. Loven er jo lavet for at beskytte vores alle sammens private oplysninger. Derfor bør du have en god lås på dine papirarkiver med persondata, lave et ekstra stærkt password til dine CRM systemer, og undgå at dele persondata med tredjepart uden at du har fået samtykke til dette. Derudover skal du slette dine kunders persondata, hvis du ikke længere har en juridisk grund til at have dem.

Det har også den betydning, at du skal kunne fortælle de førnævnte persontyper hvilke oplysninger du har om dem og hvilke specifikke formål du anvender dem til. Det skal fremgå i dine persondatapolitikker, som skal være nemt tilgængelige på, for eksempel, din virksomheds hjemmeside.

Hvad betyder GDPR for min lille webshop?

Der er en række punkter du skal være særligt opmærksom på, når det kommer til din webshop og GDPR. Et af de punkter er levering af dine varer til kunder. Når din webshop leverer varer til kunder, så videregiver den personoplysninger på kunderne til tredjepart, som i dette tilfælde vil være virksomheder som DHL, Post Nord, GLS og DAO. Det skal fremgå af din persondatapolitik for kunder, at du videregiver deres personoplysninger til den virksomhed, som du bruger til levering af varer.

En anden vigtig faktor for din webshop er, at hvis du har e-mærket, så er det et krav at du på en tilgængelig måde oplyser om din webshops behandling af persondata. Derudover skal dine kunder aktivt acceptere din persondatapolitik, og det skal være muligt at læse politikken der hvor accepten bliver givet. Hvis din webshop ikke efterlever at have en klar tilstedeværelse af persondatapolitik for kunder, kan det resultere i et påbud fra e-mærket og i værste fald en suspension af certificeringen.

Har du brug for en en guide til persondataloven 2018 for webshop, så kan du læse mere i vores artikler herunder. Her finder du en GDPR guide og tjekliste til hvordan du som webshop nemt kommer i gang med at lave dine persondatapolitikker og databehandleraftaler.

Læs også:

Svar på 8 spørgsmål og en tjekliste til GDPR for webshops

Bør jeg systematisere mit arbejde med persondataloven 2018?

ComplyTo anbefaler klart at virksomheder sætter deres arbejde med persondataforordningen i system. Det gør det meget nemmere at løbende opdatere persondatapolitikker og databehandleraftaler, når virksomheden fx får et nyt IT-system eller ny persondata. ComplyTo GDPR er en smart og intuitiv wizard, der hjælper dig nemt igennem kortlægning af bl.a. persondatatyper og IT-systemer. Vores wizard stiller dig spørgsmålene og du besvarer dem. Fordi du bliver stillet de rigtige spørgsmål og bliver ledt igennem hele processen, sikrer vores system, at du håndterer dine data rigtigt. Derefter udarbejder ComplyTo dine persondatapolitikker og databehandleraftaler. Det bedste ved det hele er, at ét års abonnement koster fra det samme som én time hos en advokat gør.

Hvilke rettigheder giver GDPR privatpersoner?

GDPR giver os alle som privatpersoner nogle rettigheder overfor de virksomheder og organisationer der behandler og opbevarer vores persondata. Det er blandt andet rettigheder som, at virksomheder kan give personer indsigt i de personlige oplysninger, som virksomheden opbevarer om dem. Så et godt tip er: find ud af hvordan du trækker individers persondata ud af systemet, før den første kunde beder om det. Og vær sikker på at den person du udleverer persondata til er den rigtige person og ikke en svindler. Her er syv af de rettigheder som GDPR giver privatpersoner:

  1. Retten til information om behandling
  2. Retten til indsigt
  3. Retten til at få sine persondata slettet
  4. Retten til udbedring
  5. Retten til dataoverførsel  
  6. Retten til indsigelse
  7. Retten til at indsigelse mod automatiseret beslutningstagen og profilering

Læs også:

Du kan læse en uddybende forklaring om de syv punkter i denne artikel.

Hvad er konsekvenserne ved ikke at overholde GDPR?

Persondataforordningen kan - som før nævnt - i værste fald give bøder på op til €20 mio. eller fire procent af virksomhedens årlige omsætning, men vil for det meste udløse en påtale eller påbud fra Datatilsynet. Det lyder måske ikke så slemt med en reprimande fra Datatilsynet, men et datalæk eller påtaler fra Datatilsynet kan give ualmindeligt dårlig PR for din virksomhed, og det må være den bedste grund til at få styr på din persondata. For hvis kunderne mister tilliden til din virksomhed, så kan den være rigtig svær at genvinde. Derfor bør virksomheder i stedet se den nye persondatalov som en mulighed for at brande dem selv som kompetente dataansvarlige, der sætter en ære i at passe på kundernes og brugernes persondata.

Det giver en uvurderlig tryghed hos forbrugerne, hvis de kan se, at en virksomhed behandler deres persondata på en ordentlig måde, da der efter persondataforordningen trådte i kraft den 25. maj 2018 er kommet meget større fokus på behandlingen af persondata - også fra forbrugernes side.

Har du andre GDPR spørgsmål?

Hvis du har spørgsmål til problemstillinger i forhold til persondataloven, så er du altid velkommen til at kontakte os. Du kan kontakte os gennem vores chatbot nederst i højre hjørne af siden eller skrive en mail til [email protected].

Hvis du ønsker et brugervenligt online program til at lave dine persondatapolitikker og databehandleraftaler nemt og prisvenligt, så kan du prøve ComplyTo GDPR gratis.

Ønsker du at holde dig opdateret på nyheder, guides og tjeklister om EU persondataforordningen, så skriv dig op til vores nyhedsbrev.

Skriv dig op til vores nyhedsbrev og hold dig opdateret på GDPR

Ja tak - Send mig nyhedsbreve

Læs også

GDPR Guide

Sådan laver du dine persondatapolitikker

Læs guiden her

GDPR for webshops - 8 tips og en tjekliste

Læs den her
gdpr compliance ComplyTo

Her er Datatilsynets tilsynsplan for 2018

Se hvad Datatilsynet kigger efter her

Facebooksider og GDPR - I deler ansvaret for persondata

Se hvad det betyder for dig her
Personers GDPR rettigheder

7 rettigheder personer har efter GDPR

Læs dine rettigheder her