Jura

GDPR: Det betyder den nye persondatalov for din virksomhed

Vi har hørt om den længe nu. Den nye persondatalov, der bliver forkortet GDPR. Men hvor stor en betydning kommer den reelt til at få? Og hvordan bør du som virksomhedsejer forholde dig til den nye lov, når du håndterer løn og medarbejderdata?

Vi har lavet det her indlæg for at hjælpe dig med at blive klog på, hvad GDPR er for en størrelse, og hvordan du som virksomhed forholder dig til den nye lov. Det skal selvfølgelig pointeres, at vi ikke er jurister, og at den nye lov endnu er meget abstrakt, hvorfor denne artikel kun skal bruges som en guide. Tag fat i din advokat eller datatilsynet, hvis du er i tvivl. Den nye persondatalov træder i kraft den 25. maj 2018.

Baggrunden for GDPR

Vi deler oplysninger på nettet som aldrig før. Vi sender mails i massevis, takker ja til nyhedsbreve, handler online og indtaster vores bankoplysninger. Ikke nok med det bliver de sider, som vi besøger på nettet, registreret og gemt af diverse virksomheder.

Har du nogensinde tænkt over hvor mange personlige oplysninger, der rent faktisk florerer om dig på nettet? Og hvor mange steder dine oplysninger bliver gemt? Det kan være en skræmmende tanke.

Netop det her data-issue er hele kernen i den nye GDPR-lovgivning. Det er EU, der sætter hælene i og kræver en række restriktioner på området. GDPR kommer til at gælde alle virksomheder, der opbevarer personlige data om EU-borgere - også selvom databehandlingen foregår uden for EU.

Der vil blive stillet nye krav om databehandling til alle virksomheder, der opererer inden for EU. Og det kommer også til at få betydning for din virksomhed.

Hvad dækker begrebet personlige data over?

Ifølge GDPR er personlig data lig med al den information, der vedrører den enkelte person. Både når det kommer til personens færden på nettet og mere personfølsomme oplysninger. Det er alt fra mailadresse og bankoplysninger til adresse eller et billede af personen.

Som virksomhedsejer besidder du med sikkerhed disse oplysninger om dine ansatte - og til dels også om flere af dine kunder. Og det betyder altså, at du er tvunget til at forholde dig til GDPR. Like it or not!

En anden vigtig pointe at få med er, at der ikke bliver skelnet mellem en persons private eller jobmæssige rolle. Et menneske er et menneske - om så det agerer i privat eller arbejdsmæssig regi.

Sådan forbereder du din virksomhed på GDPR

Du har som virksomhed pligt til at leve op til de krav, der indtræder, når den nye lov træder i kraft. Lige som du har pligt til at overholde alle andre former for love, der berører din virksomhed. Men hvordan kan du rent praktisk begynde dine forberedelser? Det vil vi se nærmere på nu.

Få styr på din virksomheds dataindsamling

Det første skridt er, at du får kortlagt, hvor din virksomhed får alle personlige data fra. Det gælder både oplysninger om dine ansatte, dine kunder og eksempelvis modtagere af din virksomheds nyhedsbrev. Kort sagt alle persondata, som din virksomhed indsamler på den ene eller den anden måde.

Du skal have styr på, hvordan oplysningerne indsamles, hvordan din virksomhed bruger dem, hvem der har adgang til dem, og om de er beskyttet på forsvarlig vis. Din virksomhed skal nemlig kunne dokumentere sin brug af alle persondata, når GDPR træder i kraft.

Ryd ud i gemmerne

GDPR tvinger din virksomhed til at rydde op. Alle personlige data, som er lagret hos din virksomhed uden et bestemt eller gyldigt formål, skal med stor sandsynlighed slettes. Det er en god ide at rydde grundigt op og kun gemme data, som din virksomhed rent faktisk bruger til noget.

Det gælder alt fra HR-oplysninger om tidligere ansatte til kunder, der ikke længere er aktive, eller kontaktoplysninger på personer, der tidligere har fulgt din virksomheds nyhedsbrev.

Få implementeret sikkerhedsforanstaltninger

En del af GDPR går ud på at sikre personlige oplysninger mod databrud. Faktisk foreskriver den nye persondatalov, at du som virksomhed har pligt til at underrette de involverede personer, hvis der skulle opstå et brud på datasikkerheden.

Sørg derfor for at få implementeret en række sikkerhedsværn mod databrud, hvis du ikke allerede har det i hele din virksomheds infrastruktur.

Lav også en plan for, hvordan din virksomhed skal agere, hvis der opstår brud på sikkerheden. Hvem er ansvarlig for at kontakte myndigheder og enkeltpersoner? Hvor hurtigt skal der reageres? Hvordan skal processen se ud fra start til slut?

Tilpas alle blanketter og samtykkeerklæringer

Samtykke er et nøgleord, når GDPR træder i kraft. Det er også et fokuspunkt, som loven har til formål at stramme op på. Du kan derfor ikke være sikker på, at de fortrolighedserklæringer eller ansættelseskontrakter, som din virksomhed bruger nu, også kan bruges til maj.

Gå alle din virksomheds samtykkeerklæringer igennem - også de, der ligger elektronisk. Tilpas dem alle, så de lever op til de nye krav. De nye krav er blandt andet møntet på, at der som udgangspunkt skal gives samtykke til indsamling såvel som behandling og anvendelse af alle former for personlige data.

Fastlæg procedurer

Alle typer af virksomheder er nødt til at foretage ændringer, når den nye lov træder i kraft. Her er det vigtigt, at du har en plan for, hvordan din virksomhed skal agere. Ikke bare op til den nye lov træder i kraft, men også efter den er blevet rullet ud.

Hvem i din virksomhed er ansvarlig for, at kravene i forbindelse med GDPR bliver overholdt? Hvad er handleplanen, hvis din virksomhed modtager en advarsel for ikke at overholde de nye krav?

Det er vigtigt i forhold til håndtering af medarbejderdata

Hvad enten du har én eller hundrede medarbejdere ansat i din virksomhed, så tvinger GDPR dig til at se på, hvordan du indhenter personlige oplysninger om dine ansatte. Og hvordan du behandler de personlige data.

  • Dine medarbejderdata skal være beskyttet og blive opbevaret på sikker vis.
  • Du skal dokumentere hver eneste form for medarbejderdata. Hvorfor du har indhentet den og hvem, der har adgang til oplysningerne.
  • Det skal være muligt at flytte/eksportere personlige oplysninger til et andet system.
  • Ansatte skal have lov til at få slettet persondata, hvis de forlader din virksomhed.

Her kan du finde mere information om GDPR

Vi har forsøgt at gøre det klart for dig, hvad GDPR er for en størrelse, og hvilken påvirkning loven vil få for din virksomhed. Du kan læse meget mere om de krav, som hver enkelt person har i forhold til persondata, og hvad, der kræves af dig som virksomhed. Tag et kig på EU’s officielle hjemmeside for den nye lovgivning, hvis du gerne vil vide mere.

God fornøjelse med at gøre din virksomhed klar til at face GDPR til maj!