• Twitter - Hvid Circle
  • LinkedIn - Hvid Circle
  • Facebook - Hvid Circle

Yorker ApS

Emil Holms Kanal 14

2300 København S

Telefon: 5377 5400

  • Ditte Johansen

Hvordan forholder man sig til GDPR som lille virksomhed?

Når man driver sin egen virksomhed, er der mange ting man skal forholde sig til. En af de ting er GDPR og forholdsregler angående dataindsamling og -behandling. For ikke at træde ved siden af, er det vigtigt, at GDPR har høj prioritet i virksomheden.


Hvad betyder det?

GDPR står for General Data Protection Regulation. I korte træk er det en indsats for at strømline reglerne for persondatabehandling i EU, så handel og udveksling af informationer på tværs af landegrænser ikke skal tilpasses hvert enkelte lands regler. Det handler om at passe bedst muligt på vores allesammens privatliv i denne digitale og globale verden. Læs også vores blogindlæg om IT-sikkerhed.


Fire betegnelser, der bruges vedrørende GDPR:


Dataansvarlig: Den dataansvarlige afgør, hvordan data bliver indsamlet og behandlet, samt til hvilket formål.

Databehandler: Databehandleren er den, der på vegne af den dataansvarlige skal behandle dataen i overensstemmelse med de retningslinjer, som er udskrevet.

Registreret: Den registrerede er en fællesbetegnelse for kunder, medarbejdere etc. hvis data der skal behandles

Samtykke: Samtykke kommer i forskellige former, bl.a. ved brug af cookies eller ved ansættelsessamtaler. Det er kort fortalt en måde, hvorpå man indvilger i at ens persondata bliver anvendt. Som hovedregel skal et samtykke være gennemsigtigt, utvetydigt og gennemskueligt.


B2C eller B2B?

Der er forskel på, hvordan man bearbejder persondata, alt efter om man er en B2C- eller en B2B-virksomhed. Men uanset hvilken der er tale om, er det en god idé at have tydelige processer for behandling af den data, man indsamler fra sine kunder.


Som B2C har I kontakt med kunder på forskellige måder. Alt efter hvilken type virksomhed, I har, vil der være mere eller mindre personhenførbare informationer i spil, hvilket I skal have samtykke til at behandle. Har I et nyhedsbrev, giver kunderne samtykke til at deres e-mailadresse bliver behandlet og opbevaret, når de tilmelder sig. Men de skal stadig gøres opmærksom på at det sker. Hvis I behandler følsomme persondata, såsom race, religiøs eller filosofisk overbevisning eller seksuel orientering, er det vigtigt at lave en skudsikker procedure, hvor risiko for brud på sikkerheden er minimal og de registrerede er velinformeret om deres rettigheder.


Som B2B har I ikke berøring med følsomme persondata på samme måde som i en B2C, da den data, I har, er indsamlet på baggrund af en professionel relation, hvormed der gælder andre regler. Ikke desto mindre er det klogt at gøre det klart for alle indviede parter, hvem der er databehandler, dataansvarlig og hvad de forskellige termer i det hele taget betyder.


I kan se, hvordan vi hos Yorker har båret os ad med en persondatapolitik, samt blive klogere på, hvordan vi behandler data fra vores kunder. Det skal nævnes at alle virksomheder skal udføre dokumentation til Datatilsynet, så I sikrer at I overholder de gældende krav.


“We value your privacy”

Ovenstående sætning har I nok læst på mange hjemmesider. Men hvordan værdisætter man privatliv? Først og fremmest skal I kortlægge for jer selv og jeres medarbejdere, hvilke data I indsamler og i hvilken udstrækning de er følsomme eller ej, samt, hvordan de skal anvendes. Sidenhen skal dette formidles ud til brugerne, som ved at acceptere cookies eller udfylder en kontaktformular giver informeret samtykke til at I indsamler og anvender data om dem.


De er ikke et krav at man skal have en persondatapolitik til stede på hjemmesiden. Det er derimod et krav at man informerer de registrerede om, hvilken data man indsamler og hvilke rettigheder de har. Det kan være en god idé at have en underside på jeres hjemmeside, så I viser gennemsigtighed. Alle virksomheder har højst sandsynligt en hjemmeside og her bruger man cookies, hvilket brugerne skal informeres om, fordi I indsamler data om den besøgende.


Det må altid være at foretrække at redegøre for persondatabehandling på skrift, så I kan henføre til et reelt dokument i tilfælde af tvist eller misforståelser.


Virksomhedens håndtering af persondata skal være gennemsigtig, gennemarbejdet og præcis

At lave en ordentlig persondatapolitik vil kræve en kortlægning af følgende punkter:

  1. Hvilke data indsamler I?

  2. Hvor opbevares de henne? Opbevares de i en fysisk mappe på kontoret? I tilfælde af at at der er følsomme persondata iblandt, skal de være låst inde, så udefrakommende ikke har adgang til dem.

  3. Hvem har adgang? Det er vigtigt at tydeliggøre, hvem i virksomheden har adgang til data, så I undgår at de skifter hænder for mange gange.

  4. Hvorfor indsamler I data? Brugerne og kunderne har krav på at vide, hvorfor I indsamler data om dem, således at de kan indvilge eller afvise.

  5. Hvad bruges de til? Der skal være gennemsigtighed omkring brugen af data, så kunderne kan sikre sig at deres data ikke bliver misbrugt.

  6. Hvor længe opbevarer I dem? Alt efter hvilke dokumenter der er tale om, skal der være en tydelig slettefrist. Slettefristen varierer ift. om der er tale om kundeaftaler eller jobansøgninger.

  7. Hvilken procedure for sletning, aktindsigt etc., findes der? Det er vigtigt at klarlægge om I allerede har en procedure for at slette den indsamlede data eller hvis kunden vil have indsigt i sin data. Hvis I ikke har, skal det punkt indføres i jeres persondatapolitik.

  8. Risikoanalyse. Sørg for at lave en analyse af, hvilken risiko der er for at der sker brud på sikkerheden der, hvor I opbevarer den indsamlede persondata.

  9. Samtykke. Sørg for at indhente samtykke til alle ovenstående punkter, så den registrerede kan stå inde for jeres databehandling.

Én ting er at lave en gennemgående persondatapolitik, en anden er at overholde den. Der skal skabes en proces internt i virksomheden, så alle overholder de gældende regler. Når der starter nye medarbejdere, skal de have en grundig gennemgang af forholdsreglerne. Desuden skal I tage højde for, hvilke data I indsamler om jeres medarbejdere og hvilken procedure I har for de data. Der er nemlig forskel på, hvor længe man kan opbevare dokumenter, slettefrist etc.

31 visninger