Vi hjælper din virksomhed med at overholde GDPR

At håndtere GDPR kan være en besværlig og omstændig opgave for en virksomhed - en opgave, der kræver både tid og ekspertise. Vi er klar til at yde den støtte, du har brug for, og tilbyder en bred vifte af GDPR compliance services.

Vi tilbyder GDPR-revision af din virksomhed, lige fra simple revisioner til komplette og dybdegående revisioner. Afhængig af virksomhedens behov og din beslutning involverer det spørgeskemaer, inspektion på stedet og interviews, og der gives en fuldstændig rapport, når revisionen er afsluttet.

Vi kan hjælpe virksomheder, der er juridisk forpligtet til at udpege en dataansvarlig, samt dem, der gerne vil have sikkerhed og tillid til, at have nogen til at opfylde denne rolle.

Vi tilbyder forskellige typer af træning, herunder personaleuddannelse for at få folk til at komme i gang med GDPR, uddannelse i personlige oplysninger for dem, der skal passe på databeskyttelse inden for deres organisation og vedligeholdelsestræning for at holde medarbejderne up-to-date.

Hvis du har spørgsmål eller gerne vil vide hvordan din virksomhed kommer i gang med GDPR, er du velkommen til at kontakte os..

Hvad er persondataloven / GDPR

Persondata loven har sådan set været en del af Datatilsynets agenda i en del år, men reglerne blev skærpet i maj 2018 og det betød for alle virksomheder, intuitioner, kommuner osv. at de skulle til at opfylde nogle helt nye krav til håndtering af persondata. Det betyder også, at opfylder man ikke disse krav om dokumentering og håndtering kan man blive pålagt en bøde.

Datatilsynet vil højst sandsynligt oftere bruge deres ressourcer og energi på store virksomheder, som f.eks. pengeinstitutter, forsikringsselskaber mv. frem for små lokale virksomheder. Dog betyder det ikke, at din virksomhed slipper for at have styr på;

  • hvem din dataansvarlige er
  • databehandleraftaler fra samarbejdspartnere
  • informere dine kunder om hvad du gør med deres oplysninger, hvis de ophører som kunder?
Dette er blot et par af de udfordringer du møder når Persondataloven kommer på menuen.

Hvem, hvad og hvordan? Persondataloven skelner groft sagt mellem 3 slags oplysninger:
  • Personoplysninger
  • Følsomme personoplysninger
  • CPR

Personoplysninger er navn, adresse, telefonnummer, ip-adresse, e-mail samt geografiske oplysninger, som er indhentet via f.eks. geotagging eller sociale medier – det kan være indchecking på Facebook.

Personfølsomme oplysninger er oplysninger der kan identificere en person. Det er helbredsoplysninger, seksuel orientering, økonomiske oplysninger og strafbare forhold.

Til sidst er der CPR. CPR.nr. er en del af vores personfølsomme oplysninger, men skal en virksomhed bruge ens CPR.nr. til et særligt formål, eller er det et lovkrav at oplyse det, så skal der laves en samtykkeerklæring.

Samtykkeerklæring

Samtykkeerklæring eller samtykkekrav betyder, at når der skal indsamles data, skal det oplyses til kunden, hvilke data der indsamles og hvad det skal bruge til. Der skal udarbejdes en erklæring eller en accept funktion.

Den nemmeste måde for dig at få en samtykkeerklæring på, er ved at have den som en del af din cookie accept på din hjemmeside. Det betyder at når du har en besøgende på din hjemmeside, vil der komme et pop-up vinduet frem med titlen: Cookie & persondata politik.

Hvis læseren vælger accept med det samme, betyder det at der er givet samtykke til at du må beholde og bruge personens data. Det er data igennem fx Google Analytics, der viser den besøgenes geografiske lokation eller hvis de vælger at udfylde en kontakt formular på din hjemmeside, betyder det at du må beholder den data de skriver til senere brug.

Hvis brugeren vil læse mere, vil de her blive præsenteret for et dokument der forklarer hvordan du i din virksomhed bruger deres persondata, hvilken persondata du indsamler gennem din hjemmeside og hvornår du sletter det igen. Det er vigtigt at tydeliggøre hvordan oplysninger opbevares og at de kun er tilgængelige for dataansvarlig og databehandler, samt at den besøgende/potentielle kunde til hver en tid har krav på at få slettet sin persondata før din deadline for det.

Dataansvarlig, databehandler, databehandleraftale og dataportabilitet

Persondataloven handler kort sagt om, at virksomheder skal beskrive deres processer om håndtering og opbevaring af data. Der skal tages mange beslutninger og det kan virke uoverskueligt.

Men med en dataansvarlig og en databehandler kan det bliver meget nemmere. En dataansvarlig er den som afgør hvordan personoplysninger må behandles. Samt den som udarbejder en konsekvensanalyse, hvis der anvendes nye teknologier, produkter eller processer som kræver en re-behandling af persondataen i virksomheden.

En dataansvarlig kan sagtens være en udefra kommende rådgiver man hyrer. Det betyder blot man laver en databehandleraftale, der infomere om samarbejdet og datasikkerheden. En sådan aftale skal også eksistere, hvis man f.eks. benytter sig af nyhedsbrev til kunder igennem et mailsystem. Hvis du er i tvivl om du har databehandleraftale med den leverandør du bruger, skal du tage kontakt til dem og få den tilsendt. Det er vigtigt at du kan fremvise den til dine kunder og Datatilsynet.

En databehandler behandler oplysninger på den dataansvarliges vegne og er underlagt den dataansvarliges retningslinjer. Det kan være opgaver som at skrive en rapport om hvordan data behandles, informere ved databrud mm.

Dokumentation

Alt skal dokumenteres, hvilket betyder, at virksomheden skal udarbejde politikker, der beskriver, hvordan man vil sikre sig, at virksomheden lever op til reglerne. Og man skal dokumentere, at man har indhentet de nødvendige samtykkeerklæringer og overholdt sin oplysningsforpligtigelse. Alt skal være i forståeligt sprog så alle ens kunder kan forstå det.

Det er lettes at udarbejde et dokument der ligger let tilgængeligt på din hjemmeside, hvori du ridser op hvad formålet er, hvordan du bruger kundernes data, hvornår du sletter det og at de til hver en tid har ret til en indsigt eller en sletning af deres oplysninger.

3 punkter du altid skal have med:

  1. At kunden har givet sit samtykke.
  2. At behandlingen sker for at kunne opfylde en aftale med kunden eller en retlig forpligtelse for din virksomhed.
  3. At behandlingen er nødvendig for at du kan forfølge en berettiget interesse, som dog skal overstige hensynet til kunden

Retten til at blive glemt

Dine kunder har også ret til at ’’blive glemt/slettet/anonymiseret’’ hvilket betyder at de til hver en tid kan trække deres samtykke tilbage. Det er altid virksomhedens ansvar at alle oplysninger om kunden bliver slettet, også hvis man har videregivet data til en betroet partner eller rådgiver, som kan dokumenteres med en databehandleraftale. Det er vigtigt at kunne dokumentere at sletning af data er sket korrekt og at personens også er informeret. I den forbindelse er dataportabilitet også relevant at nævne. Det betyder, at kunderne altid har ret til at få udleveret eller overflyttet deres persondata fra virksomheden, medmindre det er klargjort i den samtykkeerklæringen kunden har accepteret at virksomheden må slette persondata efter endt samarbejde/brug eller efter en særlig dato.

Dan dig et overblik

Det hele kan hurtigt virke uoverskueligt, kompliceret og/eller gøre dig nervøs. Men det behøver det ikke. Du kan komme nemt omkring at overholde persondataloven og samtidig gøre det overskueligt i din virksomhed.

En god start til at danne dig et overblik er at svare på 23 simple spørgsmål på Virk.dk. De kan give dig en indikation om, hvad du skal fokusere på når det kommer til persondataloven og din virksomhed.

Det vigtigste for dig er, at få beskrevet processerne for databehandling, datasletning og datadeling (hvis det er relevant) samt at have indhentet alle dine databehandleraftalerne. Således at kunderne altid kan efterspørge, hvordan du håndterer deres oplysningerne og så Datastyrelsen kan se at det er i orden, hvis de kommer på uanmeldt besøg.

Derudover er det også vigtigt at gøre det overskueligt for dine kunder at gennemskue hvad de accepterer når de giver samtykke til at du gemmer eller bruger deres oplysninger.

RING 30 64 37 90