GDPR og gyldighed
GDPR er et sæt databeskyttelseslove, der gælder for virksomheder og organisationer, der opererer inden for Den Europæiske Union (EU). Det gælder også for virksomheder baseret uden for EU, hvis de tilbyder varer eller tjenester til EU-borgere eller overvåger deres adfærd.
Forordningen søger at beskytte enkeltpersoners personoplysninger og sikre, at virksomheder håndterer disse data på en gennemsigtig og ansvarlig måde. Det pålægger virksomheder forskellige forpligtelser, herunder indhentning af samtykke til databehandling, adgang til enkeltpersoners data og indberetning af databrud.
Hvem gælder GDPR for?
GDPR gælder for virksomheder og organisationer, der behandler persondata for personer i Den Europæiske Union (EU), herunder EU-medlemslandene samt Norge, Island og Liechtenstein. GDPR gælder også for virksomheder og organisationer, der er baseret uden for EU, men som tilbyder varer eller tjenester til personer i EU eller overvåger deres adfærd. GDPR gælder for alle typer af organisationer, herunder virksomheder, offentlige myndigheder, velgørenhedsorganisationer og non-profit organisationer, uanset størrelse eller branche. GDPR’s formål er at beskytte persondata og sikre, at virksomheder behandler dataene på en gennemsigtig og ansvarlig måde.
Overholdelse af GDPR-reglerne er lovpligtigt, og manglende overholdelse kan resultere i bøder og skade virksomhedens omdømme. Derfor er det vigtigt, at virksomheder forstår, hvornår GDPR gælder for dem, og at træffe passende foranstaltninger for at overholde forordningen.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Gælder GDPR for små virksomheder?
Ja – hvis I indsamler oplysninger om EU-borgere og -indbyggere, betragtes jeres lille eller mellemstore virksomhed som dataansvarlig. Som sådan skal den overholde GDPR. I mange henseender vil man være lige så ansvarlig som store virksomheder for, hvordan personoplysninger håndteres.
Hvis jeres virksomhed har færre end 250 ansatte, kan I dog få nogle undtagelser. I behøver f.eks. ikke nødvendigvis at ansætte en dataansvarlig (DPO). Kravene til bogføring vil ikke være så omfattede. Hvis jeres databehandlingsaktiviteter ikke er omfattende, behøver I heller ikke altid at foretage konsekvensanalyser til databeskyttelse.
Uanset jeres virksomheds størrelse skal I, hvis I opbevarer følsomme data, der kan betegnes som “følsomme data af særlig kategori”, føre fuldstændige optegnelser over, hvordan de behandles. I bør beskytte alle personlige data, I indsamler med tekniske foranstaltninger som f.eks. kryptering og adgangskodekontrol.
Gælder GDPR for enkeltmandsvirksomheder?
Ja – ligesom alle andre, lige fra små virksomheder til store virksomheder, gælder GDPR, hvis du behandler oplysninger om EU-borgere og indbyggere.
Da din virksomhed har færre end 250 ansatte, gælder visse undtagelser. Du behøver ikke at ansætte en DPO. Dine krav til bogføring vil ikke være så krævende. Hvis dine databehandlingsaktiviteter ikke er omfattende, behøver du desuden ikke altid at lave konsekvensanalyser til at beskytte data.
Gælder GDPR for en nonprofit-organisation?
GDPR gælder for alle organisationer, der tilbyder varer eller tjenester til EU-borgere eller indbyggere i EU eller indsamler personlige oplysninger fra EU-borgere.
GDPR gælder for nonprofitorganisationer og foreninger i følgende tilfælde:
- Almennyttige organisationer: Hvis du modtager donationer fra borgere eller indbyggere i EU.
- Associationer: Hvis du har medlemmer i EU.
Gælder GDPR, hvis virksomheden ikke ligger i Europa?
Ja – kravene afhænger ikke af, hvor jeres virksomhed er fysisk placeret eller registreret. Hvis I har kunder eller medarbejdere, der er EU-borgere eller bosiddende i EU, eller hvis I planlægger at markedsføre til dem i fremtiden, skal I overholde GDPR.
Hvis I flytter kundedata ud af EØS, er der faktisk særlige krav til sikkerhed og beskyttelse af personlige oplysninger, som I skal tage hensyn til. Kravene til registrering af grænseoverskridende overførsler vil også blive strammere.
Gælder GDPR for vores hjemmeside?
Ja – hvis jeres hjemmeside får besøgende fra EU, skal det overholde GDPR.
Her er nogle ting, I kan gøre for at gøre hjemmesiden GDPR-compliant:
- Opsæt en samtykkeformular med afkrydsede afkrydsningsfelter, så folk aktivt kan acceptere brugen af cookies.
- Tjek de steder, hvor I indsamler personoplysninger. Kig på jeres kontaktformularer og alle andre steder, hvor folk bliver bedt om at oplyse deres navn og e-mailadresse. Link til jeres politik om beskyttelse af personlige oplysninger på hvert af disse steder.
- Hvis I bruger kontaktoplysninger til markedsføring, skal I forklare dette i jeres politik og tilføje en afkrydsningsboks (ikke afkrydset!) for at få et aktivt samtykke fra personen til at kontakte vedkommende om kampagner osv.
- Dobbelttjek med jeres webhostingfirma, cloud storage-udbydere og alle andre platforme, I forbinder til hjemmesiden for at indsamle data om folk. Sørg for, at de beskytter deres databaser.
For at sikre sikkerheden og overholde folks GDPR-rettigheder er det også en god idé at oprette en portal for anmodninger om adgang til data og et krypteret dataoploadpunkt på hjemmesiden.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
GDPR og cloud-tjenester
I gemmer muligvis data på cloud-servere og går ud fra, at I får god sikkerhed som en del af denne service. I er dog stadig den dataansvarlige. De lagertjenester eller tredjepartsplatforme, I bruger, kan betragtes som databehandlere. I har et fælles ansvar for at holde data sikre. Kontroller, at jeres databehandlere er GDPR-kompatible og private.
Så sørg for at sikre, at I:
- Beskytter de adgangskoder og enheder, I bruger til at oprette forbindelse til cloud-tjenester, og oplær medarbejderne i at gøre det samme.
- Lav fra tid til anden en opgørelse over de data, I gemmer.
- Slet data, I ikke længere har brug for.
Gælder GDPR også for medarbejderdata?
Ja, det gør det. I starten af rekrutteringsprocessen indsamles en masse oplysninger om ansøgerne. Dette omfatter følsomme oplysninger. I bedes indhente samtykke, før I indsamler oplysninger som CV, straffeattester, vaccinationsoplysninger osv.
Ligesom andre samtykker skal I gøre dette klart, udtrykkeligt og aktivt. I må ikke blande samtykke sammen med andre klausuler eller gemme det i kontrakter. I kan også offentliggøre en meddelelse om behandling af medarbejderdata. Den skal fortælle medarbejderne, at I indsamler deres data og forklare hvorfor.
Hvad skal jeg fokusere på for at blive compliant?
Vi har udarbejdet en tjekliste til de områder, man skal have styr på for at følge GDPR. Tjeklisten finder du her.
Genvejen til at overholde GDPR
Hos Safe Online tilbyder vi SaaS-værktøjer til beskyttelse af persondata og til at gøre det lettere at følge GDPR. Disse løsninger er specielt udviklet til små og mellemstore virksomheder. De er enkle, omkostningseffektive og nemme at bruge.
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler let
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
