Hvem er omfattet:
Reglerne gælder for virksomheder og organisationer i EU – og firmaer udenfor som leverer til EU.
Reglerne gælder både for Controllers og Processors.
- Controller: Virksomhed som bestemmer formål, vilkår og metode til behandling af personlig data.
- Processor: Virksomhed som behandler data på vegne af en Controller.
Bøder
Hvis du ikke overholder reglerne kan du få bøder op til 4% af årlig omsætning eller 150 millioner kr. (20 millioner euro).
Personlig data definition:
Personlig data er data som kan bruges til at identificere en person.
Det kan fx være navn, foto, email, bankkonto, post på social media, sundhedsdata, IP adresse.
Når brugere signer op til noget (transparens)
Det er slut med lange, uforståelige vilkår og regler som brugere skal acceptere. De nye krav er:
- Det skal være nemt og forståeligt for brugeren at forstå hvad han/hun siger ja til.
- Det skal anføres hvad formålet med indsamlingen og anvendelsen af data er.
- Opt-out skal være lige så nemt for brugeren som opt-in.
- For indhentning af data for børn under 16 år skal man indhente en forældres tilladelse. Der kan være enkelte lande hvor grænsen er 13 år i stedet for 16 år.
Der skal være en mening med det man gør med data. Man må ikke bare sammenkøre data fordi man synes det er sjovt uden kundens specifikke samtykke.
Krav om en data beskyttelsesansvarlig (Data Protection Officer – DPO)
Følgende enheder skal have en DPO:
- Offentlige organisationer.
- Virksomheder, som overvåger eller behandler store mængder data.
Brud på datasikkerhed
Tab af personfølsomme oplysninger SKAL kommunikeres til de berørte uden unødigt ophold. Hvis der er tale om oplysninger som udgør sikkerhedsrisko for individer skal det kommunikeres til datatilsynet inden 72 timer.
Brugere har ret til at få deres data (dataportibilitet)
Brugere har ret til at:
- Få at vide om man opbevarer personlig data om dem, hvor det bliver opbevaret og hvad man bruger det til.
- Få udleveret det data man opbevarer om dem i et elektronisk format (man må ikke tage penge for udlevering af data’en).
- Brugere har ret til at flytte det data de har fået udleveret til et andet firma.
Brugeres ret til sletning
Hvis en bruger gerne vil have slettet alt data man har om dem, så skal man gøre det. Både fra egne systemer og fra 3. parts systemer man bruger.
Dog skal man forinden sletning vurdere om offentligheden har en interesse i at dataen ikke slettes før sletning. (Man skal heller ikke slette data, som der er lovmæssigt krav om at man opbevarer fx regnskabsoplysninger)
Privacy by design
Man har pligt til at tænke datasikkerhed ind i de løsninger man designer/bygger fra starten og det skal altid være slået til.
Ansvarlighed og dokumentation (egenkontrol)
Man skal som virksomhed kunne dokumentere at man overholder GDPR.
Dvs. have en beskrivelse af hvordan man opbevarer og bruger persondata, samt have dokumentation for at ens leverandører overholder reglerne.
9 skridt til en GDPR plan
- Beskriv hvor persondata er og hvordan de udveksles mellem systemerne.
- Lav en politik for hvordan personoplysninger behandles.
- Lav en plan for hvordan sikkerhed bliver integreret i firmaets arbejde/projektmodel. Altså hvordan arbejder man med sikkerhed i nye tiltag.
- Sørg for at alle medarbejdere kender regler og processer for håndtering af persondata.
- Beskriv hvordan I har tænkt jer at måle og kontrollere sikkerheden løbende.
- Udpeg en databeskyttelsesansvarlig (Hvis i er en organisation/virksomhed hvor det kræves – se ovenfor).
- Lav en plan for hvordan I håndterer kundehenvendelser om data og permissions (Vær klar til at kunne oplyse kunderne om hvad I har af data. Hvordan I bruger det. Hvordan I kan udlevere det til dem. Og hvordan i indhenter, udvider eller annullerer permissions).
- Lav en plan for hvad I gør ved sikkerhedsbrud.
- Lav en plan for hvilke tekniske løsninger I anvender til at sikre et højt sikkerhedsniveau.