GDPR for selskabsejere
1. Indledende.
Når man som virksomhed i Danmark bruger personoplysninger, skal man overholde GDPR reglerne.
GDPR står for “General Data Protection Regulation” og er på dansk også kendt som databeskyttelsesforordningen. GDPR er således = EU-reglerne for databeskyttelse.
Alle danskere har som EU-borgere en række rettigheder i GDPR. Det betyder konkret, at når man som en privat virksomhed “behandler personoplysninger” om andre – dvs. indsamler, registrerer, videregiver eller sletter personoplysninger om f.eks. dine kunder eller ansatte – skal man overholde GDPR reglerne.
Overholdelse af reglerne er væsentligt – ikke mindst fordi bødeniveauet for overtrædelse af GDPR-reglerne potentielt skal måles i millioner! Jf. Datatilsynets hjemmeside er der uddelt bøder på mellem 50.000 kr. og 15 millioner kr. for manglende overholdelse af GDPR-reglerne i Danmark.
Du kender bedst din egen virksomhed, og det er derfor også dig, der er den bedste til at vurdere, hvilke personoplysninger, du har behov for at behandle for at kunne drive din forretning.
Skalberg / Nordia Law kan hjælpe med et sæt GDPR dokumenter, der med en mindre grad af færdiggørelse fra jeres egen side vil opfylde de grundlæggende krav.
2. Nødvendige dokumenter:
Din virksomhed har pligt til at oplyse kunder eller ansatte om, at du har oplysninger om dem. Udover at oplyse dem om, at du har oplysninger om dem, skal du give dem en række andre informationer, f.eks. om hvad du skal bruge oplysningerne til, deres ret til indsigt i oplysningerne, og hvor længe du gemmer dem.
Til dette formål skal virksomheden have en 1) Persondata politik – som med fordel kan ligge på virksomhedens hjemmeside eller fremsendes til (nye) kunder.
For at du kan overholde reglerne, er det vigtigt, at du får skabt et overblik over:
– Hvorfor du har personoplysninger (man skal have en god grund til det)
– Hvem du håndterer personoplysninger om (kunder / ansatte / leverandører)
– Hvilke personoplysninger du håndterer (f.eks. telefonnumre, mailadresser)
Dette gælder også, hvis du har fået andre, herunder ansatte, til at håndtere oplysningerne på vegne af dig. Disse oplysninger bør du indføje i en 2) Fortegnelse over, hvordan du og din virksomhed behandler personoplysninger.
Hvis virksomheden har medarbejdere, herunder med med adgang til IT-systemer, skal virksomheden have et dokument, der vedrører 3) IT-sikkerhed for medarbejdere.
Hvis der jf. ovenfor er behov for at indhente et konkret samtykke til modtagelse og behandling af personoplysninger fra en anden part (kunde eller samarbejdspartner), skal virksomheden bruge et dokument til 4) Indhentelse af samtykke.
Hvis der skulle ske datalæk er det vigtigt at have 5) Retningslinjer for sikkerhedsbrud – altså en køreplan for, hvad man gør, hvis man bliver hacket eller lignende.
3. Afsluttende:
Cyberangreb rammer både små og store virksomheder. Derfor spiller IT-sikkerhed en vigtig rolle, når virksomhedens systemer og personoplysninger skal beskyttes.
Hvis du ikke har tænkt over IT-sikkerhed før, så start med de elektroniske enheder, hvor I håndterer personoplysninger, der kræver særlig beskyttelse fx helbredsoplysninger, CPR-numre og straffeattester. Elektroniske enheder er fx PC, tablets, mobil, USB-stik og ekstern harddisk.
Behandler man personoplysninger i samarbejde med andre, er det nødvendigt at udarbejde en 6) databehandleraftale imellem jer.
Hvis det følger af andre regler, at du skal gemme personoplysninger, hvilket f.eks. er tilfældet i bogføringsloven, skal du ikke slette oplysningerne, så længe du er forpligtet til at opbevare oplysningerne. Bogføringsloven siger nemlig, at du skal opbevare regnskabsmateriale i 5 år fra udgangen af det regnskabsår, materialet vedrører.
Du skal derudover slette personoplysninger, når du ikke længere har behov at have dem, dvs. når det ikke længere er nødvendigt at håndtere oplysningerne for at opfylde din gode grund (se ovenfor).
Det kan være en god idet at vedtage slette-procedurer for virksomheden – f.eks. ”hvert år 1. maj gennemgår vi de persondata vi har liggende og vurderer, om de kan/skal slettes”.
Kontakt mig gerne for et sæt GDPD dokumenter, der med en mindre grad af færdiggørelse fra jeres egen side vil opfylde de grundlæggende krav.