GDPR guide til at omgå de mest signifikante fælder 

GDPR lovgivningen

Der er efterhånden gået meget tid siden GDPR-lovgivningen trådte i kraft d. 25. maj 2018, men har du egentlig korrekt styr på håndteringen og beskyttelsen af dine brugeres data? Det kan lyde enkelt, men det kræver en helt ny måde at tænke på, for at sikre overholdelse og få verificeret alle processer så de er i overensstemmelse med GDPR.

Manglende overholdelse af GDPR eller overtrædelse af regler kan resultere i skriftlige advarsler men også i store økonomiske sanktioner på op mod 20 mio. euro – altså det der svarer til 4% af en virksomheds globale årlige omsætning.

Få virksomheder forstår det fulde omfang af GDPR og støder regelmæssigt på fejl og udfordringer som senere kan vise sig som et utilstrækkeligt forsvar overfor Datatilsynet, der har til formål at undersøge og håndhæve GDPR og kan derved risikere store økonomiske sanktioner og omdømmeskader. Heldigvis er det aldrig for sent at komme på sporet. GDPR er nemlig en stedfindende proces som vi hele tiden kan lære mere om.

Her er de 7 GDPR fælder, der kan forhindre dig i at opnå fuld GDPR compliance:

GDPR fælder

1. Er min virksomhed omfattet af GDPR?

En almindelig misforståelse er at antage, at GDPR kun omfatter store virksomheder og organisationer. En sådan misforståelse kan afholde personer helt fra at overholde persondataforordningen og de kan derfor komme til at stå overfor de strengeste sanktioner. Dertil kommer misopfattelsen af, at deres virksomhed eller organisation ikke er baseret i EU og derfor heller ikke er omfattet af GDPR.

Hvis din virksomhed eller organisation er EU baseret eller hvis du målretter dine varer, ydelser eller overvåger EU borgere, bør du forstå indvirkningen af persondataforordningen samt overholde den.

2. Manglende forståelse for begreberne dataansvarlig og databehandler

Det juridiske ansvar for håndtering af personoplysninger deles op i to kategorier: Den dataansvarlige, der bestemmer formålet med indsamlingen af personoplysninger og databehandler, der udfører dataindsamlingen. I virksomheder og organisationer gøres der ofte brug af dataansvarlig i nogle situationer og databehandler i andre. For eksempel kan et firma indsamle brugeroplysninger via deres websted og gemme dem vha. en tredjepartstjeneste. I et sådan tilfælde er firmaet den dataansvarlige og ejeren af tredjepartstjenesten, databehandler.

Kravene til dataansvarlig og databehandler er forskellige og derfor er det vigtigt at alle der er involveret i dataindsamling er opmærksomme på deres rolle for at forhindre og begrænse risikoeksponering.

  • Dataansvarlig betyder en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
  • Databehandler betyder en fysisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.
3. GDPR omfatter hele virksomheder og organisationer

En almindelig fejl er at betragte GDPR som værende udelukkende et it-problem for at identificere og sikre data. Faktisk så berører persondataforordningen ethvert område af en virksomhed eller organisation og interessenter, der håndterer personoplysninger ligesom det også berører tredjepartstjenester. GDPR-overholdelse kræver derfor en fuld holistisk tilgang, der indbefatter og engagerer alle ledere, mellemledere, medarbejdere og leverandører.

4. GDPR er en holdindsats

 GDPR vil påvirke de fleste sider af en virksomhed eller organisation og bør derfor ikke håndteres af en enkeltperson. Databeskyttelsesforordningen kræver derimod en orkestreret, budgetteret og understøttet handlingsplan. Desuden forudsætter behandlingen af GDPR nogle krævede færdigheder der spænder fra jura til informationssikkerhed, risikostyring og it. Sandsynligheden for at en enkeltstående person forstår det fulde omfang af problemet og har evnerne til at klare ethvert aspekt, er usandsynlig. De fleste afdelinger skal involveres og der skal udpeges et team der bl.a. består af en databeskyttelsesofficer og ledere fra flere afdelinger, da løsningen skal integreres i de allerede eksisterende strukturer og processer.

5. Tilbagestående eller utvetydig bekræftelse af samtykke

Det kan være let at overse en kilde i dag med alle de tilgængelige metoder der findes til indsamling af data. Hvis du ikke er i stand til at understøtte at en person eller enhed har givet samtykke til indsamling af deres personlige data, kan du have begået en GDPR-lovovertrædelse. Google lærte ikke at skære hjørner, da de for nyligt fik en bøde på 50 millioner euro for deres behandling af samtykker. De gjorde det bl.a. svært for bruger at finde vigtige oplysninger såsom databehandlingsformål, datalagringsperioder og hvordan deres personlige oplysninger blev brugt til personalisering af annoncer. Pga. denne manglende gennemsigtighed, kunne brugeren ikke benytte deres ret til at fravælge databehandling. Forklar derfor altid hvad du skal bruge data til og få eksplicit tilladelse fra bruger til at bruge dem. Gem registrering af samtykker korrekt så de er lette at dokumentere overfor Datatilsynet.

Korrekt_opbevaring_af_samtykker

Enhver, frivillig, specifik, informeret og uvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Det er endvidere et krav, at den dataansvarlige kan påvise, at bruger har givet samtykke til behandlingen af sine personoplysninger. Det er den dataansvarlige, der har ansvaret for, at bruger har givet det fornødne samtykke.

6. Manglende sletning af data

GDPR indeholder strenge krav til sletning af personoplysninger, når en bruger anmoder om det. Traditionel datastyringspraksis tillader arkivering af data men GDPR kræver permanent sletning af alle filer der knyttes til den enkelte bruger. For mange vil dette også omfatte en indhentning af tidligere arkiverede filer og sletning af disse samt en underrettelse af eventuelle tredjeparter, som der er blevet videregivet oplysninger til.

En anmodning om at blive slettet fra bruger skal overholdes uden unødig forsinkelse og senest inden for en måned. Slettefristen kan forlænges hvis anmodningen er kompleks eller hvis der er modtaget talrige anmodninger fra den enkelte bruger. Hvis en forlængelse er nødvendig, skal bruger informeres herom hurtigst muligt med en forklaring på, hvorfor forlængelsen er nødvendig.

Hvis man ikke får slettet data der falder ind under lovens anvendelsesområde og efter brugers anmodning, rettidigt, kan det få store økonomiske konsekvenser. Få derfor lagt en klar slettepolitik og kontrollér løbende at denne efterleves. 

7. Manglende kontrol af tredjepartskontrakter

I dag er det almindelig praksis at benytte sig af skybaserede tredjepartstjenester til at behandle personoplysninger. Men man skal huske på, at selvom ansvaret for behandlingen er flyttet, er ansvaret for overholdelsen det ikke. Den dataansvarlige er stadig ansvarlig for den måde, tredjepartstjenester behandler personoplysninger på. I tilfælde af en sikkerhedshændelse nytter det altså ikke at benægte nogen overtrædelse og lægge skylden på leverandøren. Tjenesteudbyderen bør pålægges et tilsyn i form af adgangskontrol til personoplysninger eller retten til revision. Hvor dette ikke er muligt, skal virksomheden eller organisationen spørge sig selv, om en implementering af yderligere kontroller såsom kryptering eller en alternativ tjenesteudbyder, kan være løsningen. Kontrollér regelmæssigt tredjepartleverandørens processer.

Din adgang til vejledninger, skabeloner og meget mere her.

Disclaimer: Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne.

2 år med GDPR compliance

Alvoren og konsekvenserne ved ikke at være compliant risikerer at overskygge selve hensigten, nemlig at beskytte brugernes data.

GDPR Cookies og Marketing

I disse tider med det stigende fokus på privatlivspolitik bør cookies få mindst ligeså meget opmærksomhed.

Data retention og Sletning

Du er sikkert efterhånden godt bekendt med databeskyttelsesforordningen (GDPR), men har du styr på data retention og interne slettefrister?