Datatilsynets 7 vigtige trin til GDPR-compliance for små virksomheder
Datatilsynet har udviklet et univers med råd og vejledning til små virksomheder i forbindelse med deres GDPR-compliance. Universet kan findes på dette link: GDPR-univers for små virksomheder
Indholdsfortegnelse
- Trin 1: Skab overblik
- Trin 2: Spørg dig selv "Hvorfor har jeg disse oplysninger?"
- Trin 3: Husk at slette, når du ikke længere har brug for personoplysninger
- Trin 4: Oplys om, at du behandler personoplysninger
- Trin 5: Sørg for at have gode procedurer
- Trin 6: Husk at prioritere IT-sikkerheden
- Trin 7: Du er også ansvarlig, når du deler
Trin 1: Skab overblik
Som en lille virksomhed er det vigtigt for dig at følge reglerne om databeskyttelse, især hvis du håndterer eller opbevarer oplysninger om andre personer.
For at sikre overholdelse af reglerne er det nødvendigt at skabe et klart overblik over:
- Hvor du har personoplysninger:
- Dette kan være gemt på enheder som telefoner, tablets, computere eller it-systemer.
- Oplysninger kan også findes i e-mails, SMS'er eller printede dokumenter.
- Hvem du håndterer oplysninger om:
- Identificer personerne, såsom kunder, ansatte og leverandører.
- Gruppér dem for en mere organiseret tilgang.
- Hvilke oplysninger du håndterer:
- Opret en oversigt over de specifikke typer oplysninger, f.eks. "kunders telefonnumre" eller andre relevante data.
Det er også vigtigt at bemærke, at hvis du har outsourcet håndteringen af oplysninger til andre, skal du stadig skabe det samme overblik som beskrevet ovenfor.
I GDPR bruges begrebet "fortegnelse" som en ordnet oversigt over de håndterede personoplysninger. Det er afgørende for at sikre korrekt overholdelse af databeskyttelsesreglerne.
Trin 2: Spørg dig selv "Hvorfor har jeg disse oplysninger?"
Når du har information om andre, som kunder eller ansatte, skal du først afgøre, om der er en gyldig grund til at have disse oplysninger.
Spørg dig selv: "Hvorfor har jeg disse oplysninger?" Hvis du kan give en fornuftig grund, som f.eks. at opfylde en kundes bestilling eller fordi loven kræver det, så er det normalt en gyldig grund.
Selvom du mener, at du har en god grund til at have oplysninger om andre, er det også vigtigt at opfylde betingelserne i loven. Der er forskellige lovlige grunde til at håndtere personoplysninger:
- Du har samtykke fra den person, som oplysningerne vedrører.
- Du har brug for oplysningerne for at opfylde en aftale med den pågældende person.
- Du udfører en opgave for en offentlig myndighed.
- Du er forpligtet af loven til at håndtere oplysningerne.
- Du forfølger en gyldig grund, og brugen af oplysningerne påvirker ikke personen negativt.
Du skal vælge den lovligt acceptable grund, der passer bedst til situationen. Hvis du har en anden gyldig grund, behøver du ikke at indhente samtykke.
For eksempel behøver du ikke at få samtykke fra kunder eller leverandører, hvis du har deres oplysninger for at opfylde en aftale. Men hvis du vil bruge de samme oplysninger til markedsføring (nyhedsbreve), skal du have samtykke.
Du behøver heller ikke samtykke fra dine ansatte, medmindre du vil håndtere oplysninger, der ikke er direkte relateret til deres ansættelsesforhold.
Hvis du har følsomme oplysninger, som helbredsoplysninger, kan du normalt kun håndtere dem, hvis det er nødvendigt for at fastlægge et retskrav eller hvis personen giver samtykke.
Husk altid, at du ikke må håndtere flere oplysninger, end du reelt har brug for. Hold dig inden for det nødvendige omfang.
Trin 3: Husk at slette, når du ikke længere har brug for personoplysninger
Når du ikke længere har brug for personoplysninger, skal du slette dem. Dette sker, når du ikke længere har en gyldig grund til at behandle disse oplysninger (se trin 2: Spørg dig selv hvorfor).
Hvis der er andre regler, der kræver, at du gemmer personoplysninger, som det er tilfældet med bogføringsloven, behøver du ikke slette dem, så længe du er forpligtet til at opbevare dem. Bogføringsloven foreskriver, at du skal opbevare regnskabsmateriale i 5 år efter slutningen af det regnskabsår, materialet vedrører.
Hvis der ikke er andre lovkrav om at gemme personoplysninger, er det GDPR-reglerne, der bestemmer, hvor længe du kan beholde dem. Det er ikke altid let at fastsætte en præcis opbevaringsperiode, fordi databeskyttelsesreglerne ikke indeholder faste grænser.
Du er bedst til at afgøre, hvornår det er nødvendigt at slette oplysninger. Databeskyttelsesreglerne er ikke specifikke om, hvor længe du kan behandle personoplysninger, fordi du kender din virksomhed bedst og kan bedst vurdere, hvor længe du har brug for oplysningerne.
Du har altså en vis frihed til at vurdere, hvor længe det er nødvendigt for dig at opbevare personoplysninger for at opfylde dine formål. Praktisk set kan du spørge dig selv: "Hvorfor har jeg stadig brug for disse oplysninger?". Så længe du kan svare fornuftigt på dette spørgsmål, kan du sandsynligvis berettiget beholde oplysningerne.
Hvis du har procedurer, der sikrer, at du regelmæssigt sletter personoplysninger, behøver du ikke konstant gennemgå alle dokumenter for at vurdere, om enkeltstående oplysninger skal gemmes.
Trin 4: Oplys om, at du behandler personoplysninger
Det er vigtigt at informere dine kunder eller ansatte om, at du besidder nogle oplysninger om dem. Udover at meddele dem om, at du har disse oplysninger, bør du give dem flere detaljer, såsom hvad du anvender oplysningerne til, og hvor længe du opbevarer dem. Hvis de selv giver dig oplysningerne, skal du levere informationen, når du modtager dem. Hvis oplysningerne stammer fra andre end personen selv, skal du give dem så hurtigt som muligt, senest inden for en måned.
Det er vigtigt at præsentere informationen på en letforståelig måde. Du kan opnå dette ved at inkludere informationen i en privatlivspolitik, som kan findes på din hjemmeside og linkes til hver gang en kunde deler oplysninger med dig.
Du bør oplyse om følgende:
- Identitet og kontaktoplysninger: Indsæt dit firmas navn og kontaktoplysninger.
- Hvilke personoplysninger: List de typer af oplysninger, du har indsamlet, for at skabe klarhed.
- Hvorfor: Forklar din berettigede grund og det lovlige grundlag for at indsamle oplysningerne.
- Hvem oplysningerne evt. deles med: Hvis oplysningerne deles uden for din virksomhed, skal du informere om dette og nævne modtageren, som f.eks. et leveringsfirma eller en tjeneste, der håndterer oplysningerne på dine vegne.
- Hvor længe oplysningerne gemmes: Del dine overvejelser om sletning fra trin 3.
Rettigheder: Husk at informere om de rettigheder, dine kunder eller ansatte har i forbindelse med deres oplysninger.
Trin 5: Sørg for at have gode procedurer
De brugere, hvis oplysninger du bruger eller gemmer, har visse rettigheder. De kan anmode om at få en kopi af deres oplysninger (ret til indsigt), få fejlagtige oplysninger rettet og få deres oplysninger slettet.
Når en person anmoder om at udnytte en af disse rettigheder, skal du svare inden for en måned, selvom du ikke er enig i deres anmodning. For at sikre, at du kan svare inden for denne tidsramme, er det en god idé at have klare procedurer for, hvordan du håndterer disse anmodninger.
Her er en tjekliste med udgangspunkt i Datatilsynets, som du kan følge, når du håndterer anmodninger om at udnytte rettigheder.
- Vælg en ansvarlig
- Udpeg en medarbejder (eller dig selv) til at være tovholder for alle opgaver vedrørende databeskyttelse.
- Vær sikker på, hvem personen er
- Kontroller identiteten af personen, der anmoder om at udnytte deres rettigheder. Bed om yderligere information kun, hvis det er strengt nødvendigt.
- Tjek, at de har ret til det, de anmoder om
- Sørg for at forstå, om personen har ret til det, de anmoder om.
- Find ud af, hvad personen vil have
- Spørg personen præcist, hvad de ønsker at få oplyst, slettet, rettet osv.
- Sæt deadlines
- Besvar anmodningen inden for en måned, uanset om måneden har 28 eller 31 dage. Angiv gerne en deadline på 28 dage for at være sikker på at overholde fristen. Ved komplekse anmodninger eller gentagne anmodninger kan fristen forlænges med to måneder, men gør personen opmærksom på dette.
- Søg efter information om personen de relevante steder
- Gennemsøg omhyggeligt alle steder, hvor du muligvis har gemt oplysninger om personen, herunder f.eks. eksterne harddiske, USB-stik, sociale medier og overvågningskameraoptagelser.
- Tjek om materialet indeholder oplysninger om andre
- Del ikke oplysninger om andre end personen selv. Hvis der findes oplysninger om andre, fjern dem ved at overstrege eller sløre billeder eller videoer.
- Forbered supplerende oplysninger og dit svar
- Udover at give oplysningerne skal personen informeres om, hvorfor du bruger deres oplysninger, hvordan du har fået dem, hvor længe du planlægger at gemme dem, hvem du deler dem med, og hvordan de kan få deres oplysninger slettet eller rettet.
Trin 6: Husk at prioritere IT-sikkerheden
IT-sikkerhed er nødvendig for at beskytte virksomhedens systemer og personoplysninger. Cyberangreb kan påvirke både små og store virksomheder, så det er vigtigt at tage skridt for at undgå problemer.
Start med at tænke på elektroniske enheder
Hvis du ikke har tænkt på IT-sikkerhed før, så begynd med at fokusere på elektroniske enheder, hvor du håndterer følsomme oplysninger som helbredsoplysninger, CPR-numre og straffeattester. Elektroniske enheder inkluderer PC'er, tablets, mobiltelefoner, USB-stik og eksterne harddiske.
Praktiske råd for bedre IT-sikkerhed
- Få overblik over vigtige data og systemer.
- Opdater programmer, herunder applikationer, regelmæssigt.
- Anskaf antivirus- og firewallprogrammer.
- Lav regelmæssige backup af data.
- Lær at genkende mistænkelige e-mails.
- Opret stærke adgangskoder.
- Sæt sikkerhedskrav til IT-leverandører.
Outsourcet IT-drift? Stil de rette krav
Hvis du outsourcer IT-drift og IT-sikkerhed, skal du stille nødvendige krav til din leverandør.
Integrer sikkerhed i arbejdsprocesserne
Sikkerhedsforanstaltninger er mest effektive, når medarbejderne forstår, hvordan de aktivt kan bidrage til beskyttelse af personoplysninger. Denne viden skal opdateres løbende, så medarbejderne altid er klar over, hvad der kræves for at arbejde sikkert.
Trin 7: Du er også ansvarlig, når du deler
At dele information med andre er ofte nødvendigt, enten fordi du opbevarer personoplysninger i et IT-system, eller fordi du er forpligtet til at videregive oplysninger til andre, såsom myndigheder. I GDPR skelner man mellem at være 'dataansvarlig' og 'databehandler', og dette påvirker dit ansvar, når du håndterer personoplysninger.
Når det gælder de personoplysninger, som din virksomhed behandler om medarbejdere og kunder, er din virksomhed dataansvarlig. Det betyder, at det er dit ansvar at sikre, at personoplysningerne om dine medarbejdere og kunder behandles lovligt.
Når du bruger IT-systemer, vil leverandører af disse systemer normalt være databehandlere. Det kan være leverandører af software til udsendelse af nyhedsbreve (f.eks. Mailchimp), lønadministrationsprogrammer (f.eks. Bluegarden eller Visma), kundehåndteringssystemer/CRM-systemer (f.eks. Salesforce) og mailprogrammer (f.eks. Outlook eller Gmail).
Når du samarbejder med en databehandler, er det vigtigt at have en databehandleraftale. Det er også en god idé at holde styr på disse aftaler ved at gemme dem i en mappe på din computer.
Det kan også ske, at du skal videregive personoplysninger om dine kunder eller medarbejdere til andre dataansvarlige, som f.eks. SKAT eller en samarbejdspartner. I sådanne tilfælde er det vigtigt at overveje, hvem du deler oplysningerne med, og husk at informere dine medarbejdere eller kunder om, at deres oplysninger bliver delt.
Du kan læse mere på Datatilsynets hjemmeside eller få vejledning fra vores GDPR-ekspertadvokater nu.