Skip to main content

Hjælp til GDPR for små virksomheder

Hvis jeres virksomhed sælger til, leverer tjenester til eller beskæftiger borgere fra EU, så skal I overholde GDPR. Lad os kort overveje, hvad GDPR er, nøglekrav til små virksomheder, og hvordan Safe Online kan hjælpe jer med at overholde.

Bemærk, at kravene vil variere afhængigt af jeres virksomheds art og andre faktorer. Vores anbefalingerne i denne GDPR compliance guide kan hjælpe jer med at administrere og beskytte jeres data, men er ikke en garanti for GDPR compliance.

Vejledning til GDPR

GDPR er en EU-forordning, der har til formål at beskytte privatlivets fred for folks data. GDPR-rettigheder og beskyttelse dækker alle, der bor i EU, sammen med alle EU-borgere, uanset hvor de bor i verden. GDPR indeholder principper og specifikke krav til, hvordan data indsamles og bruges, hvornår og hvordan de kan deles, og hvornår de skal slettes.

Principperne i GDPR

GDPR artikel 5 omfatter principper for databehandling. Hvis I og jeres medarbejdere har et godt kendskab til disse principper, vil det være meget nemmere at anvende GDPR og vide, hvad man skal gøre – og hvad man ikke skal gøre – i enhver situation, hvor man håndterer personlige data.

Her er en oversigt over GDPR-principperne, og hvad de betyder for jeres virksomhed:

Lovlighed, retfærdighed og gennemsigtighed

Indsaml kun personoplysninger, hvis I har et lovligt grundlag for at gøre det. Gør ikke noget med personlige data, der kan skade eller genere personen. Bedrag aldrig folk med, hvad I gør med deres data.

Formålsbegrænsning

Brug ikke dataene til andre formål end dem, der er angivet i jeres politikker og samtykkeformularer. Slet personlige data, I ikke længere har brug for.

Data-minimering

Indsaml ikke flere data, end I har brug for. Indsaml eller gem ikke personlige og særligt følsomme data, hvis I ikke har brug for det. Ryd op i jeres data regelmæssigt.

Nøjagtighed

Sørg for, at de personlige data, I indsamler, er nøjagtige, og hold de personlige data, I gemmer, opdaterede. Det er en god idé at spørge folk fra tid til anden, om deres oplysninger er ændret.

Opbevaringsbegrænsning

Indstil en opbevaringsperiode for data og hold jer til den. Gennemgå jeres data regelmæssigt. Lad ikke personlige data blive hængende i jeres systemer i det uendelige. Slet det.

Integritet og fortrolighed (Sikkerhed)

Hold folks personlige data sikre. Beskyt databeskyttelse med tekniske foranstaltninger som adgangskoder, ID-bekræftelse og kryptering. Beslut hvilke af jeres medarbejdere og afdelinger der skal have adgang til personlige og følsomme data, og sæt derefter politikker på plads for at sikre, at uautoriserede personer ikke vil se dem.

Ansvarlighed

I er ansvarlig for de data, I og jeres medarbejdere opbevarer. Gem dokumentation for jeres databehandling, opbevaringspraksis og personaleuddannelse for at demonstrere compliance og for at være klar til at give folk information om deres data, når de beder om det.

Typer af beskyttet data

Personlig data

Persondata er defineret som data, der kan knyttes til en bestemt person og bruges til at identificere denne. Dette inkluderer en persons navn, adresse, fødselsdato, IP-adresse og mere.

Følsomme personoplysninger

Følsomme personoplysninger er en specifik kategori af data, der får særlig beskyttelse, fordi videregivelsen kan påføre personen skade eller krænke deres privatliv. Dette omfatter religion, fagforeningsmedlemskab, etnisk oprindelse, biometriske data, DNA osv.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Trin-for-trin GDPR compliance-guide

    Dette afsnit beskriver nogle grundlæggende trin, SMB’er kan tage for at blive klar til GDPR.

    De anførte trin er baseret på oplysninger, der er leveret af Den Europæiske Unions Publikationskontor her, sammen med vores egne tips til at gøre compliance lettere.

    Trin 1: Find ud af, hvilke data jeres virksomhed har indsamlet og hvorfor

    Kortlæg jeres data. Lav en opgørelse over de personlige data, jeres virksomhed har indsamlet, og hvor de er, og hvorfor de er nødvendige.

    Fik I samtykke, eller havde I en legitim grund til at indsamle dataene?

    Vores tip: DataMapper kan hjælpe jer med at opdage, klassificere og løbende overvåge de følsomme oplysninger, jeres virksomhed har indsamlet.

    Trin 2: Informer folk, når I indsamler deres personlige data

    Lad folk vide, at I behandler deres personlige data, og fortæl dem hvorfor.

    Hvis I beder folk om en e-mailadresse på jeres tilmeldingsformularer, skal I sørge for at linke jeres privatlivspolitik og angive specifikt, hvad I agter at gøre med deres oplysninger; for eksempel at I har tænkt jer at sende dem kampagner og nyheder om jeres produkter.

    I kan springe dette over i nogle tilfælde, for eksempel hvis nogen bestiller noget hos jer og giver jer en hjemmeadresse til levering.

    I skal også informere enkeltpersoner om de personoplysninger, I har om dem, efter anmodning og give dem adgang til deres data. At være organiseret med jeres data gør det nemmere at give disse oplysninger rettidigt.

    Vores tip: Brug DataMapper til at hente en specifik persons data op med det samme som svar på anmodninger om datasubjektadgang (DSAR’er). Tilføj vores RequestManager for lettere opfyldelse af anmodninger.

    Trin 3: Indstil grænser for dataopbevaring, og slet data, I ikke længere har brug for

    Opbevar medarbejderdata: Så længe ansættelsesforholdet og relaterede juridiske forpligtelser varer.

    Bevar kundedata: Så længe kundeforholdet og relaterede juridiske forpligtelser varer.

    Slet alle personlige data, når I ikke længere bruger dem til de formål, som I indsamlede dem til.

    Vores tip: DataMapper fremhæver gamle og højrisikofiler, så I kan gennemgå og slette dem for at minimere risikoen.

    Trin 4: Beskyt personlige data

    Begræns adgangen til højrisikofiler. Brug kryptering og stærke adgangskoder. Etabler politikker for medarbejdere til at beskytte deres e-mails, cloud-konti, enheder og alle fysiske dokumenter, der indeholder personlige data, for at sikre, at uautoriserede personer ikke kan få adgang til dem.

    Administrer tilladelser til filer og mapper, centraliserede sikre placeringer til at gemme jeres filer (OneDrive- eller SharePoint-dokumentbiblioteker) og datakryptering, når I sender eller henter jeres filer.

    Vores tip: DataMapper kan fortælle jer, hvilke af jeres medarbejdere der gemmer de mest følsomme data. Start med disse medarbejdere, og sørg for, at alle følger jeres sikkerhedspolitikker.

    Trin 5: Dokumenter jeres databehandlingsaktiviteter

    Udarbejd et kort dokument, der forklarer, hvilke typer personoplysninger I har, og af hvilke årsager. I kan blive bedt om at stille dokumentationen til rådighed for jeres nationale databeskyttelsesmyndighed, hvis det er nødvendigt.

    Et sådant dokument bør indeholde nedenstående oplysninger.

    Information Eksempler
    Formålet med databehandling Advare kunder om særlige tilbud såsom levering til hjemmet; betalende leverandører; løn- og socialsikringsdækning for medarbejdere
    Typer af personlig data Kontaktoplysninger på kunder; kontaktoplysninger på leverandører; medarbejderdata
    Kategorierne for de involverede data-subjekter Medarbejdere; kunder; leverandører
    Kategorierne af modtagere Arbejdsmyndigheder; skattemyndighederne
    Opbevaringsperiode Medarbejderes personlige data indtil udløbet af ansættelseskontrakten (og relaterede juridiske forpligtelser); kundernes personlige data indtil afslutningen af klient/kontraktforholdet
    De tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysningerne IT-systemløsninger opdateres løbende; sikret placering; adgangskontrol; datakryptering; sikkerhedskopiering af data
    Om persondata overføres til modtagere uden for EU Brug af en databehandler uden for EU (f.eks. lagring i skyen); dataplacering af databehandler; kontraktlige forpligtelser

    Vores tip: De oplysninger, I får på dit DataMapper-dashboard og risikodokumenttabeller, kan bruges til at demonstrere overholdelse i tilfælde af revision.

    Trin 6: Sørg for, at jeres underleverandører respekterer reglerne

    Hvis I udliciterer behandling af personoplysninger til en anden virksomhed, skal I kun bruge en tjenesteudbyder, der garanterer behandlingen i overensstemmelse med kravene i GDPR (for eksempel sikkerhedsforanstaltninger).

    Vores tip: Som en del af jeres dataopgørelse, find ud af, hvem jeres databehandlere er, og sørg for, at de er opført i jeres privatlivspolitik.

    Trin 7: Udpeg en DPO eller tildel nogen til at føre tilsyn med beskyttelsen af persondata

    Udpeg en databeskyttelsesansvarlig (DPO), hvis:

    • Hvis behandling af personoplysninger er en kernedel af jeres virksomhed.
    • I behandler data i stor skala.

    Små virksomheder er muligvis ikke forpligtet til at udpege en DPO. For eksempel, hvis jeres virksomhed kun indsamler data om jeres kunder til levering til hjemmet, skal I ikke have behov for at udpege en DPO.

    Hvis I har brug for en DPO, kan en SMB anvise en eksisterende medarbejder til at dække DPO-pligten ud over hans/hendes andre opgaver, eller hyre en ekstern konsulent eller service.

    Vores tip: Brug af automatiseret data discovery gør det nemt for alle at udføre DPO-opgaver.

    Trin 8: Overvej at udføre databeskyttelsesvurderinger (DPIA’er)

    Databeskyttelseskonsekvensvurderinger er påkrævet for virksomheder, der udfører aktiviteter, der kan udgøre særlige risici for persondata. Eksempelvis storstilet overvågning/videoovervågning af et offentligt tilgængeligt område.

    På den anden side, hvis I er en lille virksomhed, der kun administrerer medarbejders lønninger, lister over kunder osv., vil I ikke være forpligtet til at udføre databeskyttelseskonsekvens-vurderinger.

    Vores tip: Hvis I påbegynder nye aktiviteter, der involverer behandling af personlige data, kan udførelsen af en grundlæggende DPIA være en god øvelse til at evaluere jeres egen praksis og kan reducere risikoen for databrud og begrænse ansvaret i tilfælde af, at data bliver lækket. DataMapper gør det nemt.

    Kunne I tænke jer at se, hvor nemt det er at overholde GDPR med DataMapper? Prøv DataMapper nu →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR