Guide: Gør din virksomhed GDPR klar

GDPR guide

Sådan bør du forholde dig til EU’s dataregulativ

Ejer du en virksomhed, eller arbejder du med marketing, så er det vigtigt at du forholder dig til GDPR. EU har nemlig annonceret deres regulativ for persondata. Regulativet har fået titlen GDPR, som er en forkortelse for General Data Protection Regulation. Denne EU-lov er en databeskyttelseslov, som har til formål at sikre, at forbrugernes persondata ikke misbruges. GDPR er en yderst omfattende lovgivning som skal ensrette beskyttelsen af den enkelte brugers data i hele Europa. Loven trådte i kraft fra den 25. maj 2018.

 

Det betyder lovgivningen for din virksomhed

GDPR lovgivningen har store konsekvenser for de mange private og offentlige organisationer, som skal efterleve denne. Som beskrevet er GDPR loven yderst omfattende og dermed også en anelse kompleks. Kompleksiteten gør at organisationer bør søge inputs og rådgivning hos jurister og data compliance eksperter, samt it-infrastruktur eksperter, når de skal implementere den struktur, som i sidste ende skal kunne efterleve lovens krav. Lovgivningen kan ikke ignoreres, da overtrædelse heraf kan resultere i svimlende høje bøder på op til 4% af virksomhedens globale omsætning. Såfremt din virksomhed interagerer med EU, så skal din dataindsamling foregå efter GDPR-lovgivningens gældende regler.

 

Disse fordele giver den nye lovgivning

GDPR-lovgivningen udspringer af EU’s strategi Digital Single Market, som har skabt grundlaget for implementeringen af GDPR. EU ønsker at skabe et fælles digitalt marked ved at samle medlemslandenes individuelle digitale markeder til ét harmonisk marked. Målet er at sikre 415 milliarder euro årligt til EU’s økonomi og skabe tusindvis af nye arbejdspladser.

I dag udgør de mange forskellige digitale regelsæt i medlemslandene en stor hindring for fri digital handel inden for EU. Kun omkring 7% af EU’s små og mellemstore virksomheder sælger i øjeblikket over deres egne grænser. Den nye lovgivning og det fælles regulativ skal afhjælpe dette ved at skabe et fælles online digitalt marked. Dette kan have en positiv indflydelse på mange virksomheder, da mulighederne for digital handel med produkter og tjenester forbedres markant.

EU’s Digital Single Market-strategi sigter mod at fjerne barrierer og skabe nye muligheder for både virksomheder og forbrugere. Ved at harmonisere reglerne om blandt andet databeskyttelse og herunder GDPR, kan virksomheder lettere udvide deres aktiviteter på tværs af grænserne.

 

Hårde straffe for at bryde loven

EU tager GDPR meget alvorligt, og det viser sig tydeligt i de straffe og sanktioner, der pålægges for manglende overholdelse af reglerne. Hvis reglerne ikke følges, kan det føre til store bøder. Organisationer kan få bøder på op til 20 millioner euro eller 4 procent af deres årlige globale omsætning, alt efter hvad der er højest.

Disse bøder kan gives, hvis reglerne brydes, for eksempel ved:

  • Krænkelse af folks rettigheder.
  • Forkert håndtering af grundlæggende regler for databehandling, herunder kravene til samtykke.
  • Overførsel af personoplysninger til lande uden for EU eller organisationer uden tilladelse.
  • Manglende overholdelse af et påbud om at stoppe eller begrænse databehandling.

Er det nødvendigt at ansætte en DPO?

Kandidater med jobtitlen Data Protection Officer, er med indførelsen af GDPR, for alvor blevet efterspurgt. Det er dog ikke alle organisationer, der skal ansætte en DPO. Følgende organisationer skal som udgangspunkt have en Data Protection Officer:

  • Alle offentlige myndigheder (undtagen domstole).
  • Organisationer, hvis kerneforretning involverer behandling af persondata, som kræver regelmæssig og systematisk overvågning af personer.
  • Organisationer, der dagligt behandler følsomme oplysninger om personer. Dette omfatter oplysninger om helbred, etnicitet, politiske holdninger, fagforeningsmedlemskab, religion og seksuelle forhold.

Du SKAL spørge om tilladelse

Med indførelsen af GDPR lovgivningen, er det slut med kringlede, ugennemsigtige og kursiverede budskaber i skriftstørrelse 6,5 i bunden af din hjemmeside. Det er et decideret krav, at du er klar, tydelig og ærlig i din kommunikation, så der ikke hersker tvivl om dit budskab. At være gennemsigtig er nøgleordet, da denne tilgang også vil tjene din virksomhed bedst på den lange bane.

For at overholde GDPR regulativet skal du sørge for, at de handlinger du ønsker, at kunden skal udføre, er klare og tydelige, så de ikke bliver ført bag lyset. Kundens valgmuligheder skal være adskilt tydeligt når det handler om tilvalg af tjenester, nyhedsmails eller lign:

I ovenstående figur ses et eksempel på en “tilmeldingsformular”, som ikke overholder GDPR-regulativets retningslinjer. I dette tilfælde, er forespørgslerne ikke tydeligt adskilt, hvilket betyder, at kunden ved at tilmelde sig servicen samtidig accepterer at modtage nyhedsbreve, hvilket ikke længere er lovligt. Der skal i modsætning til eksemplet ovenfor både være en boks til accept af “privatlivspolitik og brugervilkår” og en anden boks til udfyldelse af e-mail.

Det er også slut med forud besvarede tjekbokse. Dine bokse må ikke længere være udfyldt med et flueben på forhånd. Kunden skal aktivt kunne vælge om de vil modtage nyhedsmails eller ej. Dette kan imødekommes ved at give kunden nedenstående valgmuligheder:

 

Indsaml kun den data du virkelig har brug for

GDPR-lovgivningen er indført for at minimere den store mængde digitale data i vores moderne verden. Lovgivningen opfordrer til, at virksomheder kun indsamler information, der er nødvendig for deres drift. Du bør undgå at indsamle unødvendige oplysninger. For eksempel, hvis du ikke har brug for at kende folks alder, skal du ikke bede om den oplysning. Indsaml kun de data, der er afgørende for din virksomheds drift.

GDPR kræver også, at du altid har adgang til den indsamlede data, og at denne kan ændres og slettes efter behov. Derfor er det en fordel at begrænse mængden af information, du indsamler. Det er også vigtigt at efterleve kravet om gennemsigtighed. Vær ærlig over for dine kunder om, hvorfor du indsamler deres informationer, og hvad de skal bruges til.

 

Du bør tænke over følgende når du indsamler persondata:

  1. Hvordan kan personer give samtykke på lovlig vis?
  2. Hvad er processen, hvis en person ønsker at få al sin data slettet?
  3. Hvordan sikre I, at det sker på tværs af alle platforme, og at al data virkelig bliver slettet?
  4. Hvordan vil I som virksomhed håndtere det, hvis en person ønsker at få overført sine data?
  5. Hvad er den overordnede kommunikationsplan i tilfælde af et databrud?
  1. Hvordan vil I få bekræfte og verificere, at den person, som beder om at få overført sine data, er den person, han giver sig ud for at være?

GDPR-lovgivningen giver desuden privatpersoner ret til følgende:

  1. Der skal gives samtykke

Virksomheder må ikke behandle de personlige data om en enkeltperson, medmindre personen frivilligt har givet entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

  1. Retten til at blive glemt

Hvis en person ikke længere er kunde, eller hvis han/hun tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige data, har personen ret til at få sine data slettet.

  1. Retten til dataoverførsel

En person har ret til at få overført sine data fra en serviceudbyder til en anden, hvilket skal ske i et almindeligt og læsbart format.

  1. Retten til at blive informeret

Virksomheder skal i alle sammenhænge informere kunder omkring at de indsamler data, før indsamling af data sker. Personerne skal aktivt tilvælge, at deres data må indsamles, og samtykke skal gives frivilligt og må på ingen måde være underforstået.

  1. Retten til at få oplysninger tilrettet

Dette sikrer, at personer kan få deres data opdateret, hvis den er forældet eller forkert.

  1. Retten til at begrænse behandling

Personer kan frabede sig, at deres data anvendes til databehandling. Data må i dette scenarie fortsat gerne gemmes, men må ikke anvendes.

  1. Retten til at gøre indsigelse

Dette punkt henviser til retten om at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel, og al brug af personens data skal ophøre, så snart en eventuel indsigelse modtages. Der skal informeres klart og tydeligt om denne rettighed.

  1. Retten til adgang

Privatpersoner har til alle tider ret til at få adgang til deres personlige data og få at vide, hvordan virksomheden bruger denne data. Virksomheden skal udlevere en kopi af de personlige data, gratis og i elektronisk form, såfremt en person ytrer ønske herom.

  1. Retten til at blive underrettet

Hvis der er sket et brud på datasikkerheden i din virksomhed, som kan risikere at kompromittere respektive personers personlige data, har personerne ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.

 

Guldet for enden af regnbuen

GDPR-lovgivning kan for mange være noget af en hovedpine. Det kommer til at tage tid at finde ud, hvordan du på bedst mulig vis bør gemme din data, hvordan du indsamler den og samtidig sørge for, at du overholder den gældende lovgivning på området. Når alt kommer til alt, kan den nye GDPR lovgivning dog være en gevinst for din virksomhed på sigt. Det kan føre til højere konverteringsrater, styrke din virksomheds kredibilitet og give anledning til en ny og forbedret marketingsstrategi.

Ønsker du at oprette dit eget selskab? Hos Billigselskab.dk opretter vi dit selskab på under 24 timer. 

Del med en ven

Facebook
Twitter
Pinterest
LinkedIn