Persondataloven: Er din virksomhed klar til GDPR?

Det kan blive overordentligt dyrt ikke at være forberedt på EU’s persondatalov, også kaldet GDPR (General Data Protection Regulation). Lovgivningen trådte i kraft den 25. maj 2018, og loven skal sikre EU´s borgere kontrol over egne persondata og oplysninger, der gemmes af virksomheder og organisationer. Mange danske virksomheder er ikke forberedt ordentligt. Er du?

Klik her: Og bestil vores gratis GDPR-Pakke med alt hvad du skal bruge for at forstå og imødekomme persondataloven.

Datatilsynet modtager månedligt 580 anmeldelser om brud på persondataloven, og langt de fleste brud skyldes menneskelige fejl. Bødestørrelsen for overtrædelse af persondataloven kan være helt op til 150 millioner kroner. Loven skal sikre databeskyttelse og datarettigheder for forbrugerne, og den vil få vidtrækkende konsekvenser for danske erhversdrivende. GDPR er en omfattende persondatalovgivning som skal beskytte den enkelte brugers data på samme måde i hele Europa. Den har vidtrækkende konsekvenser for de mange private, samt offentlige organisationer og virksomheder, som dagligt skal efterleve den.

På grund af sin kompleksitet kræver den nye forordning om databeskyttelse, at organisationerne får input fra juridiske- og data compliance eksperter, samt it-infrastruktur specialister, når de skal implementere en struktur, som kan efterleve lovens krav.

Det er ikke en lovgivning man kan ignorere, idet overtrædelse af loven kan resultere i bøder helt op på henholdsvis op til 20.000.000 Euro eller fire procent af virksomhedens samlede globale omsætning.

Ansvaret for beskyttelse af data ligger hos den enkelte virksomhed eller organisation. Den nye persondatalov vil stille større krav til, at virksomhederne forholder sig til, hvilke personoplysninger, der behandles i organisationen, og at de i vid udstrækning indfører en forhøjet egenkontrol og dokumentation af deres datastrømme. Har man valgt at outsource databehandlingen til en tredjepart eller at opbevare persondata i en cloudløsning, er det vigtigt at skabe sig et overblik over, hvilke eksterne partnere der er tale om – og om virksomheden har indgået de lovpligtige aftaler med de databehandlere, der behandler personfølsomme oplysninger på vegne af den.

Lovgivningen skal ikke bare ses som en plageånd, der har til formål at holde EU beskæftiget. Det er i den grad i din og din organisations interesse at passe godt på persondata. Ikke kun for de registreredes (din kunder og partnere) skyld. Men også for jeres egen, så uvedkommende ikke kan stikke snablen ned i de persondata, I passer på. Og så I minimerer risikoen for uheldig medieopmærksomhed.

At få en bøde er træls, men overskueligt. Tab af troværdighed kan være langt, langt værre.

Nyttig information om GDPR:

Indsamlede detaljer

Persondatalovgivningen vil ikke medføre, at cloudbaserede ydelser som Office 365 ikke kan benyttes fremover – men den digitale udvikling, hvor mange data sendes over internettet, gør udfordringerne med at beskytte persondata meget større, og det betyder, at virksomheder og organisationer i højere grad skal forholde sig til, hvorledes data opbevares og behandles, samt at der er udarbejdet fyldestgørende databehandleraftaler.

Dette arbejde kan for mange virksomheder blive væsentligt lettere ved brug af de compliance-værktøjer, der findes indbygget i Office 365, og som skal konfigureres til at overholde reglerne. Tilsvarende regler har i længere tid været gældende i USA, hvorfor de teknologiske muligheder allerede findes i Office 365 og med stor fordel kan bringes i anvendelse.

Databeskyttelse

Kernen i forordningen er at beskytte personlige oplysninger, og om hvordan man undgår, at de oplysninger, man som virksomhed har på sine kunder, klienter eller medarbejdere, ikke falder i de forkerte hænder. Ideen med GDPR er, at man skal sikre, at persondata kun bliver indsamlet, behandlet og lagret under strenge betingelser og for lovlige formål.

Organisationer som indsamler og behandler dine personlige informationer skal altså beskytte dem mod misbrug, samt respektere særlige betingelser. MyData’s krypterede back-up er et perfekt værktøj til dette, ring til My Data og få en gratis demonstration på 60 20 2000. Persondataloven kommer som nævnt ovenfor til at betyde, at virksomheder bliver underlagt en dokumentationspligt. Det betyder, at I ikke kun skal overholde den nye forordning. I skal også kunne bevise, at I har iværksat de nødvendige foranstaltninger for at sikre, at I overholder forordningens regler.

Data Protection Officer (DPO)

Det er ikke alle organisationer, som skal have en DPO. Som udgangspunkt gælder det for:

• Alle offentlige myndigheder (undtagen domstole)

• Organisationer, hvis kerneforretning omhandler behandling af persondata, som nødvendiggør systematisk og regelmæssig overvågning af de registrerede personer.

• Organisationer, hvis kerneforretning omhandler behandling af “særlige kategorier af oplysninger” om registrerede, hvilket blandt andet omfatter helbredsoplysninger, etnicitet, politiske-, fagforeningsmæssige- eller religiøse tilhørsforhold og seksuelle forhold.

Selv om ens organisation ikke er omfattet af ovenstående krav, så giver det stadig mening at have en DPO. Selv om virksomheden ikke skal have en DPO, så skal den fortsat efterleve de lovmæssige krav til databeskyttelse. Med en DPO ved man, hvem der har det overordnede ansvar, kompetencen og ressourcerne tilknyttet virksomhedens håndtering af databeskyttelse.