Mange virksomheder er usikre på, hvordan de kan beskytte deres kunders data. Det er vigtigt at have styr på GDPR-reglerne, så man ikke risikerer at blive straffet. Derfor er det også muligt at hyre professionel GDPR rådgivning, så man er forsikret om, at man har sit på det tørre.
Her er nogle overordnede råd i forhold til GDPR-compliance:
1) Sørg for at have en GDPR-policy, som alle dine medarbejdere kender til.
2) Sørg for at have en procedure for, hvordan I håndterer personoplysninger.
3) Sørg for at have et system til at holde styr på personoplysninger.
4) Slet personoplysninger, når de ikke længere er relevante.
Hvorfor GDPR er relevant for alle virksomheder
GDPR står for General Data Protection Regulation og er en EU-forordning, der trådte i kraft d. 25. maj 2018. Formålet med GDPR er at beskytte fysiske personers, altså almindelige menneskers, persondata mod misbrug. Persondata omfatter alle slags informationer, der kan identificere en person. Det kunne for eksempel være navn, CPR-nummer, adresse, telefonnummer og e-mailadresse. GDPR gælder for alle virksomheder og organisationer, der behandler persondata, ligegyldigt hvilket land virksomheden eller organisationen er registreret i.
For at overholde GDPR skal virksomheder e sikre sig, at de behandler persondata på en forsvarlig måde. Derudover må virksomheder kun indsamle de persondata, der er nødvendige for at kunne levere den ydelse eller det produkt, som den registrerede har bedt om. Man skal også sikre sig, at de registreredes persondata bliver opbevaret sikkert og fortroligt.
Hvilke personlige oplysninger falder under GDPR-beskyttelsen?
GDPR-beskyttelsen dækker over alle personlige oplysninger, der kan identificere en person. Dette omfatter navn, CPR-nummer, adresse, telefonnummer, e-mailadresse og IP-adresse. Personlige oplysninger skal behandles fortroligt og må ikke deles med andre uden den registreredes samtykke.
Særlige krav når man indsamler eller behandler personoplysninger
Man skal sikre sig, at de personoplysninger, ens virksomhed eller organisation indsamler, er nødvendige for at udføre opgaven, man har indhentet oplysningerne til. Det vil sige, at man ikke må indsamle flere oplysninger, end man har brug for.
Hvis en person beder dig om at ændre eller slette nogle af deres oplysninger, skal du gøre det hurtigst muligt.
De personoplysninger, din virksomhed eller organisation behandler, er fortrolige. Det vil sige, at kun de personer i virksomheden, der har brug for at få adgang til oplysningerne, faktisk får adgang til dem.
Alle medarbejdere skal være informeret om reglerne for behandling af personoplysninger, og hvilke konsekvenser der kan være ved ikke at overholde reglerne.
Hvis din virksomhed opbevarer personfølsom data, skal den leve op til GDPR. Det kan enten sikres af interne ressourcer, eller også kan man hyre en ekstern konsulent til at gennemgå datasikkerheden.