GDPR og kundedata

GDPR beskytter persondata for personer, der befinder sig inden for Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Dette inkluderer:

• EU-borgere, der bor i EU
• EU-borgere, der bor i udlandet
• Udenlandske bosiddende i EU
• Besøgende i EU

Hvis jeres produkter, service eller markedsføring er målrettet nogen af grupperne ovenfor, skal I overholde GDPR. Derudover er det vigtigt at huske, at mange andre lande efterhånden har lavet deres egne databeskyttelseslove – i Danmark har vi Persondataloven. Mange af disse nationale love bygger på GDPR.

Som udgangspunkt kræver GDPR, at man har et juridisk grundlag for at indsamle kundedata. At få samtykke er en af de mest almindelige og direkte måder at være sikker på, at man har det juridiske grundlag på plads. Selvom man får mundtligt samtykke, bør man sørge for at dokumentere det.

Samtykkeerklæringer skal være klare og lette at forstå. De bør angive grundene til, at man beder om kundedata. De bør også nævne, hvad man bruge data til, og inkludere et link til éns privatlivspolitik. Hvis man deler eller sælger data, bør man normalt få specifikt samtykke til at gøre det.

GDPR-princippet om dataminimering indebærer, at man kun bør indsamle og behandle den mindste mængde kundedata, der er nødvendig til éns angivne formål. Dette princip har til formål at begrænse eksponeringen af folks personlige oplysninger og risici for deres privatliv. Man bør i denne forbindelse finde ud af hvilke data man har – og gøre det regelmæssigt –  for at sikre, at man ikke opbevarer data, man ikke har brug for.

GDPR kræver, at man implementerer tekniske og organisatoriske foranstaltninger for at beskytte kundernes data. Man bør bruge stærke adgangskoder, kryptering og adgangskontrol. Udfør regelmæssige sikkerhedskopiering af data. Man bør ydermere undervise medarbejdere om, hvordan de beskytter deres enheder og data på dem. Husk også at beskytte papirkopier og notater med folks personlige oplysninger på.

GDPR giver kunder flere rettigheder over deres personlige data. Som virksomhed bør man være bekendt med disse rettigheder og oplyse dem til éns kunder i éns privatlivspolitik.

GDPR giver hvert EU-medlemsland mulighed for at etablere sin egen tilsynsmyndighed. I Danmark er dette Datatilsynet. Datatilsynet er ansvarlig for at håndhæve og føre tilsyn med GDPR i Danmark. Som sådan har de magten til at efterforske brud, udstede bøder og give vejledning om databeskyttelse. Giv Datatilsynets kontaktoplysninger til jeres kunder. Dette gør dine kunder opmærksomme på, at I tager ansvar for at beskytte deres kundedata.

Hvis jeres virksomhed skulle komme ud for en hændelse, der udgør en risiko for jeres kunders rettigheder og friheder, skal I rapportere det.

Hvis I bruger nogen tredjepartstjenesteudbydere til at behandle kundedata for jer, kræver GDPR, at I udarbejder en databehandlingsaftale (DPA). Grundlæggende er dette en kontrakt, der beskriver hver parts ansvar og forpligtelser for at sikre overholdelse af GDPR.

GDPR har særlige krav til overførsel af kundedata uden for EU (grænseoverskridende overførsler). Før I sender kundedata til oversøiske partnere, skal I først overveje, om de virkelig har brug for disse data for at udføre deres arbejde. Hvis I har brug for at sende kundedata til et andet land, anbefaler vi, at I gør følgende for at være sikker på, at overførslen opfylder GDPR-kravene:

• Tjek, om landet har en beslutning om aftale med EU. Hvis ja, kan man behandle det som en EU-overførsel
• Kun overførsel til virksomheder med bindende virksomhedsregler (BCR’er)
• Få dataimportøren til at påtage sig en bindende forpligtelse i forhold til at anvende sikkerhedsforanstaltninger der beskytter data
• Få udtrykkeligt samtykke fra kunden til at dele deres data i udlandet