Hvordan bliver man GDPR-kompatibel?

Table of Contents

Efter flere års brud på datasikkerheden og tech-virksomheders hemmelighedsfulde brug af persondata reagerede EU med GDPR. Den regulerer og regulerer indsamlingen og anvendelsen af personoplysninger for EU-borgere. Det gælder ikke kun for virksomheder med base i EU. Det gælder for enhver virksomhed, som EU-borgere har adgang til – selvom organisationen ikke markedsfører direkte til EU-borgere.

Det betyder, at overholdelse af GDPR er kritisk.

Enhver virksomhed, der viser sig ikke at være i overensstemmelse med reglerne, vil blive pålagt store sanktioner, herunder bøder. Alligevel mener en ud af fem respondenter i en undersøgelse, at fuldstændig overholdelse af GDPR er “umulig”. Det giver anledning til betydelig bekymring for, at et stort antal små og mellemstore virksomheder i øjeblikket ikke overholder GDPR.

Det er ikke kun en alvorlig risiko for bøder. Men det er også åbenlyst forkert. GDPR-overholdelse er fuldt ud mulig for alle virksomheder; Det kræver bare, at organisationer bliver frikendt med kravene.

Her undersøger vi, hvordan enhver organisation kan være GDPR-kompatibel.

Hvem skal overholde GDPR?

Det første område med forvirring er, hvem GDPR vedrører. Det korte svar er enhver, der indsamler eller behandler EU-borgeres personoplysninger, uanset organisationens fysiske placering.

Så hvis du er en onlineforhandler med base i USA, der sælger til EU-borgere – skal du være GDPR-kompatibel. For at undgå overholdelse af GDPR skal du begrænse forretningsadgang til EU-borgere.

Den komplette tjekliste for at være GDPR-kompatibel

Hvis du er en virksomhed eller organisation, der indsamler personlige data, er det vanskeligt at vide, hvordan du begynder at blive kompatibel. Uvidenhed vil dog ikke være et levedygtigt forsvar. Derfor har vi sammensat en komplet 9-trins tjekliste for at hjælpe dig med at overholde GDPR.

1. Hvilke data indsamler I?

Det er det grundlæggende spørgsmål. Ved, hvilke data du har brug for for at levere den angivne service. Men husk, ifølge GDPR bør du kun indsamle personoplysninger, der er væsentlige for det angivne formål.

Før du indsamler disse data, skal du bede om udtrykkeligt samtykke fra den registrerede. Det kan være skriftligt samtykke eller afkrydsning af en boks. Men du skal kunne bevise, at der blev givet samtykke.

Derudover bør samtykke kun gives til et bestemt formål. Hvis data skal anvendes til flere formål, bør der gives informeret og udtrykkeligt samtykke til hvert formål. Du bør også tydeligt angive de forskellige formål. Gennemsigtighed er et af principperne i GDPR.

2. Hvor længe opbevarer I oplysningerne?

Bestem, hvor længe oplysningerne skal bruges. I henhold til GDPR kan data ikke opbevares længere end nødvendigt. Definer derfor klart, på hvilket tidspunkt dataene bortskaffes, hvordan og hvorfor.

Du skal også tilvejebringe en mekanisme, hvormed en registreret kan tilbagekalde sit samtykke. Det betyder, at du bliver nødt til at slette deres personlige data.

3. Hvordan gemmer du dataene?

Et af de grundlæggende mål med GDPR er at begrænse databrud. Det betyder, at du bliver nødt til at tænke meget over, hvordan data gemmes, hvilket sikrer, at du opretholder deres integritet og fortrolighed.

Desuden er du i henhold til artikel 33 forpligtet til at informere databeskyttelsesforeningen inden for 72 timer, hvis der opstår et databrud. Du vil også blive bedt om at underrette den registrerede om databruddet – med angivelse af, hvilke personoplysninger der blev eksponeret.

4. Hvor gammel er den person, der samtykker?

I henhold til GDPR har kun personer på mindst 16 år tilladelse til at give samtykke til indsamling af personoplysninger. Derfor, hvis du indsamler personlige data om yngre brugere, vil du være GDPR-ikke-kompatibel, og samtykket vil være ugyldigt.

5. Udpeg en databeskyttelsesansvarlig (DPO)

I henhold til GDPR skal en organisation udpege en DPO for et af følgende:

– Hvis data behandles af en offentlig myndighed
– Hvis indsamlede data gennemgår systematisk overvågning
– Hvis indsamlede data behandles i stor skala

Der er tydeligvis tvetydighed her – da GDPR ikke definerer, hvor stor en skala der er. Derfor er det ofte fornuftigt at udpege en DPO til at føre tilsyn med din databeskyttelsesstrategi, uanset omfanget af din indsamling af personoplysninger.

6. Før en GDPR-dagbog

Her ville det være bedst, hvis du dokumenterede, hvordan din organisation praktiserer GDPR-overholdelse. Det omfatter kortlægning af datastrømme gennem din organisation, alle datakilder, og hvordan du mindsker risikoen for databrud.

Det giver også dækning, hvis din organisation lider af et databrud, mens den implementerer sin overholdelsesramme.

7. Dobbelt opt-in for tilmeldinger til nye e-mail-lister

Ja. For alle, der tilmelder sig din e-mail-liste, skal du inkludere en dobbelt opt-in-proces. Det betyder, at de skal bekræfte deres samtykke to gange. Den første sker, når tilmeldingsformularen er udfyldt. Det andet samtykke sker ved, at brugeren klikker på bekræftelseslinket, der sendes automatisk efter tilmeldingsformularens udfyldelse.

Selvom GDPR ikke specificerer obligatoriske tilmeldinger med dobbelt tilmelding, er det den nuværende høje standard for databeskyttelse og samtykke.

8. Skriv eller opdater din privatlivspolitik

I en privatlivspolitik skal en organisation tydeligt angive, hvilke personoplysninger der indsamles, og hvordan de vil blive brugt. Det skal altid være opdateret og tilgængeligt på organisationens hjemmeside.

9. Evaluer rutinemæssigt tredjepartsrisici

At være GDPR-kompatibel betyder ikke kun at holde dit hus i orden. Det henviser også til den datarisiko, som tredjeparter udgør. Her kan data deles mellem organisationer. Det kræver løbende bevidsthed om sikkerhedsrisiciene med afhjælpningsindsats.

Selvom intet system kan være 100% risikofrit, er rutinemæssig evaluering af potentielle sikkerhedsrisici kritisk. Du vil gerne registrere dine resultater og handlinger i GDPR-dagbogen.

Konklusion

Opretholdelse af GDPR-overholdelse kan kræve betydeligt arbejde, men det er muligt for alle organisationer. Manglende overholdelse af GDPR kan føre til bøder svarende til enten 4% af den årlige globale omsætning eller € 20 millioner – alt efter hvad der er højest.

Derfor er GDPR-overholdelse ikke en mulighed; Det er en juridisk og økonomisk nødvendighed. For yderligere oplysninger henvises til selve forordningen på 88 sider .

Kilder:

https://iapp.org/resources/article/iapp-ey-annual-governance-report-2018/
https://gdpr.eu/tag/gdpr/
https://www.upguard.com/blog/how-to-be-gdpr-compliant
https://www.imperosoftware.com/how-to-be-gdpr-compliant/
https://gdpr.eu/what-does-it-stand-for/

Sales & Support