GDPR: Er du klar til fristen for overholdelse af GDPR?

GDPR: Er du klar til fristen for overholdelse af GDPR?

10/04/2018

EU's generelle forordning om databeskyttelse (GDPR) træder i kraft 25. maj 2018. Den vil erstatte det kludetæppe af love vedrørende beskyttelse af personoplysninger, der i øjeblikket findes i hele regionen, og give forbrugerne bedre kontrol over, hvordan deres personoplysninger bruges af organisationer.  

På trods af navnet bør GDPR betragtes som en global lov. Alle virksomheder, uanset placering, skal overholde GDPR, hvis de indsamler data om en EU-statsborger.

Vigtige aspekter af loven:

  • Kunder får større kontrol over deres data. De kan når som helst anmode om adgang til deres oplysninger, til at få dem ændret eller få dem slettet helt
  • Kunderne skal give samtykke til, at der indsamles data, og dataene kan kun bruges til det ene formål, de blev indsamlet til
  • Tilsynsmyndighederne skal underrettes om datatab inden for 72 timer
  • Bøder for manglende overholdelse kan være på op til 20 millioner euro eller 4 % af den globale omsætning, alt efter hvad der er højest.

 

Tips til at blive klar til GDPR

Virksomhederne skal begynde at forberede sig på GDPR, da de lokale datatilsynsmyndigheder vil forvente, at virksomhederne har de relevante processer på plads på ikrafttrædelsesdatoen. De skal derfor analysere de nuværende processer for at identificere ændringer, der er påkrævet for at sikre overholdelse.

Dette skal omfatte en gennemgang af alle data, som virksomheden aktuelt har i deres besiddelse, og de processer og den teknologi, der bruges til at indsamle og administrere dem. GDPR fastslår, at kunderne skal give samtykke til, at deres data indsamles, og at der skal foreligge bevis på, at dette samtykke er givet. Dette gælder også for data indsamlet, før loven er trådt i kraft. Nogle virksomheder har slettet alle eksisterende datasæt for at starte helt forfra.

GDPR lægger stor vægt på cybersikkerhed. Virksomheder, der ikke som minimum beskytter sig selv og deres data med grundlæggende foranstaltninger – antivirusprogrammer og firewalls – handler i strid med loven. Organisationerne skal analysere, hvordan de kan forbedre sikkerheden af data.

Virksomhederne skal også sikre, at de har processer på plads til at håndtere kundeanmodninger. Hvis en kunde ringer og beder om sine data, skal disse leveres rettidigt og i et læsbart format. Virksomhederne skal være opmærksomme på at sikre, at de har tilstrækkeligt med ressourcer til at behandle forespørgsler ud over de daglige arbejdsopgaver.

Virksomhederne skal oprette en taskforce, der skal stå i spidsen for denne proces, så det sikres, at virksomhederne er klar til GDPR. Hvis der er oprettet en gruppe, som er dedikeret til at overvåge lovgivningen og implementere relevante ændringer, vil det få hele processen til at køre mere gnidningsløst.