GDPR, eller General Data Protection Regulation, er de EU-regler for databeskyttelse, der også gælder i Danmark. Alle danske virksomheder skal overholde GDPR, når de behandler personoplysninger om kunder eller ansatte.
Formålet med GDPR er at give borgerne kontrol over deres egne data og skabe ensartede regler for databeskyttelse på tværs af EU-landene, hvilket reducerer administrativt arbejde for virksomhederne.
Og det kan nok klinge lidt hult at det skulle reducere det administrative data, hvis du selv er begyndt at skulle forholde dig til nye koncepter som DPO’er, databehandlingsaftaler, ret til sletning og meget mere.
Det har Datatilsynet i Danmark også taget til efterretning, og på baggrund af mange efterspørgsler er de nået frem til deres vejledning ” GDPR-univers for små virksomheder”. De har taget den ellers ret tunge lovgivning og skåret den ned til 7 vigtige punkter; vi kigger hér på 2 punkter og deres tilhørende eksempler
Punkt 2 – Spørg dig selv ”hvorfor?”
Når du har personoplysninger om andre (kunder eller medarbejdere), så spørg dig selv hvorfor du har dem, og om der er en god grund til det.
For eksempel er det svært at levere en vare til en kunde, hvis du ikke har en adresse til levering, og nogle kontaktoplysninger hvis der skulle gå noget galt med leverancen. Det kan også være, der er lovmæssige krav om opbevaring af data i perioder – for eksempel hvis en kunde skal anmode om reklamation.
For data vedr. indgåede aftaler (køb, abonnement, levering af varer/ydelser mm.) er der ikke noget lovmæssigt krav om, at du indhenter samtykke – så længe dataen slettes efter aftalens udløb, eller når den juridisk ikke længere skal opbevares. Dog kender vi efterhånden alle godt til det lille flueben, hvor man ”accepterer, at virksomhed X bruger dine oplysninger i overensstemmelse med sin privatlivspolitik”.
Hvis du derimod gerne vil bruge den indhentede data til andre mål (markedsføring, statistik, evaluering mm.), skal du spørge efter deres samtykke. De vigtigste punkter er, at du informerer om hvilken data du gemmer, hvad den bruges til, og giver folk muligheden for at takke nej.
Punkt 3 – Husk at slette
Når du ikke længere har behov for personoplysninger, skal du slette dem, medmindre der er andre regler, der pålægger dig at gemme dem, f.eks. bogføringsloven.
GDPR regulerer, hvor længe du kan opbevare oplysningerne, men det er op til dig at vurdere, hvor længe du har brug for dem baseret på dine formål.
Du har råderum til at bestemme slettefrister, og så længe du har rutiner til at slette løbende, behøver du ikke gennemgå alle dokumenter for enkeltstående oplysninger. Du bør ikke være bekymret for, at Datatilsynet vil være uenig i de slettefrister, du har fastsat, da du kender din virksomhed bedst.
Kilde: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/gdpr-univers-for-smaa-virksomheder
