Hvordan bliver man GDPR-kompatibel?

Hvis du er en virksomhed eller organisation, der indsamler personlige data, er det vanskeligt at vide, hvordan du begynder at blive kompatibel. Uvidenhed vil dog ikke være et levedygtigt forsvar. Derfor har vi sammensat en komplet 9-trins tjekliste for at hjælpe dig med at overholde GDPR.

1. Hvilke data indsamler I?

Det er det grundlæggende spørgsmål. Ved, hvilke data du har brug for for at levere den angivne service. Men husk, ifølge GDPR bør du kun indsamle personoplysninger, der er væsentlige for det angivne formål.

Før du indsamler disse data, skal du bede om udtrykkeligt samtykke fra den registrerede. Det kan være skriftligt samtykke eller afkrydsning af en boks. Men du skal kunne bevise, at der blev givet samtykke.

Derudover bør samtykke kun gives til et bestemt formål. Hvis data skal anvendes til flere formål, bør der gives informeret og udtrykkeligt samtykke til hvert formål. Du bør også tydeligt angive de forskellige formål. Gennemsigtighed er et af principperne i GDPR.

2. Hvor længe opbevarer I oplysningerne?

Bestem, hvor længe oplysningerne skal bruges. I henhold til GDPR kan data ikke opbevares længere end nødvendigt. Definer derfor klart, på hvilket tidspunkt dataene bortskaffes, hvordan og hvorfor.

Du skal også tilvejebringe en mekanisme, hvormed en registreret kan tilbagekalde sit samtykke. Det betyder, at du bliver nødt til at slette deres personlige data.

3. Hvordan gemmer du dataene?

Et af de grundlæggende mål med GDPR er at begrænse databrud. Det betyder, at du bliver nødt til at tænke meget over, hvordan data gemmes, hvilket sikrer, at du opretholder deres integritet og fortrolighed.

Desuden er du i henhold til artikel 33 forpligtet til at informere databeskyttelsesforeningen inden for 72 timer, hvis der opstår et databrud. Du vil også blive bedt om at underrette den registrerede om databruddet – med angivelse af, hvilke personoplysninger der blev eksponeret.

4. Hvor gammel er den person, der samtykker?

I henhold til GDPR har kun personer på mindst 16 år tilladelse til at give samtykke til indsamling af personoplysninger. Derfor, hvis du indsamler personlige data om yngre brugere, vil du være GDPR-ikke-kompatibel, og samtykket vil være ugyldigt.

5. Udpeg en databeskyttelsesansvarlig (DPO)

I henhold til GDPR skal en organisation udpege en DPO for et af følgende:

– Hvis data behandles af en offentlig myndighed
– Hvis indsamlede data gennemgår systematisk overvågning
– Hvis indsamlede data behandles i stor skala

Der er tydeligvis tvetydighed her – da GDPR ikke definerer, hvor stor en skala der er. Derfor er det ofte fornuftigt at udpege en DPO til at føre tilsyn med din databeskyttelsesstrategi, uanset omfanget af din indsamling af personoplysninger.

6. Før en GDPR-dagbog

Her ville det være bedst, hvis du dokumenterede, hvordan din organisation praktiserer GDPR-overholdelse. Det omfatter kortlægning af datastrømme gennem din organisation, alle datakilder, og hvordan du mindsker risikoen for databrud.

Det giver også dækning, hvis din organisation lider af et databrud, mens den implementerer sin overholdelsesramme.

7. Dobbelt opt-in for tilmeldinger til nye e-mail-lister

Ja. For alle, der tilmelder sig din e-mail-liste, skal du inkludere en dobbelt opt-in-proces. Det betyder, at de skal bekræfte deres samtykke to gange. Den første sker, når tilmeldingsformularen er udfyldt. Det andet samtykke sker ved, at brugeren klikker på bekræftelseslinket, der sendes automatisk efter tilmeldingsformularens udfyldelse.

Selvom GDPR ikke specificerer obligatoriske tilmeldinger med dobbelt tilmelding, er det den nuværende høje standard for databeskyttelse og samtykke.

8. Skriv eller opdater din privatlivspolitik

I en privatlivspolitik skal en organisation tydeligt angive, hvilke personoplysninger der indsamles, og hvordan de vil blive brugt. Det skal altid være opdateret og tilgængeligt på organisationens hjemmeside.

9. Evaluer rutinemæssigt tredjepartsrisici

At være GDPR-kompatibel betyder ikke kun at holde dit hus i orden. Det henviser også til den datarisiko, som tredjeparter udgør. Her kan data deles mellem organisationer. Det kræver løbende bevidsthed om sikkerhedsrisiciene med afhjælpningsindsats.

Selvom intet system kan være 100% risikofrit, er rutinemæssig evaluering af potentielle sikkerhedsrisici kritisk. Du vil gerne registrere dine resultater og handlinger i GDPR-dagbogen.