GDPR for små virksomheder

GDPR gælder også for små virksomheder uanset branche og størrelse

Kære læser

I nedenstående artikel vil jeg komme med forskellige input til, hvordan du som virksomhed kan få mest mulig gratis hjælp til at overholde den gældende GDPR-lovgivning.

Jeg hører ofte en række myter fra små virksomheder, der tænker, at det ikke er nødvendigt for dem at overholde GDPR-lovgivningen. Myterne handler blandt andet om:

• Vi er en nystartet virksomhed, uden ansatte.
• GDPR gælder kun for bankerne og internationale virksomheder.
• Man skal have en omsætning på mindst 10 millioner kr. ex. moms.
• Vi er en NGO, så vi er undtaget.

Desværre er der ingen af ovenstående årsager, der berettiger til at undlade udarbejdelse af en Artikel 30 fortegnelse – alle virksomheder med CVR-numre skal overholde GDPR-lovgivningen.

Mange små virksomheder kæmper med at holde styr på dokumentation og processer. Her kan en GDPR løsning til små virksomheder være nøglen til at sikre compliance uden at bruge unødige ressourcer.

Datatilsynet har udarbejdet en vejledning til udarbejdelse af en Artikel 30 fortegnelse. Her står det allerede i starten, hvem der skal føre en fortegnelse. Dette regelsæt har været gyldig siden den 25. maj 2018.

Den tommelfingerregel, jeg selv anvender i min dialog med potentielle kunder, er, at alle virksomheder med et CVR-nummer skal have en fortegnelse. Fortegnelsen skal vedligeholdes samt kunne forevises i elektronisk form, hvis f.eks. datatilsynet spørger efter den.

Derfor vil jeg her kommentere på den 7 trins vejledning, som Datatilsynet har udarbejdet til små virksomheder. Faktisk er det muligt selv at udarbejde en artikel 30 fortegnelse. 

Trin 1: Skab overblik

• Her menes at du skal skabe dig et overblik over, hvilke personoplysninger du indsamler om dine kunder, ansatte og leverandører.
• Dette skal gøres på en struktureret måde, så du sikrer, at du får skabt et samlet overblik over alle de personoplysninger, du indsamler. Jeg anvender selv den metode, at jeg starter med en oversigt over hvilke IT- systemer, der anvendes i virksomheden, og derefter gennemgår hvilke personoplysninger, der indsamles. På den måde får jeg indsamlet alle relevante personoplysninger.

 

Trin 2: Spørg dig selv ”Hvorfor?”

• Her skal du stille dig selv spørgsmålet ”Hvorfor har jeg disse oplysninger?” og ”Hvor få oplysninger har jeg brug for?” Det er vigtigt, at du kun indsamler de oplysninger, du har brug for til den opgave, du skal udføre.
• Hvis du skal levere en fysisk varer, så er du f.eks. nødt til at have navn, adresse, postnummer og by.  Eventuelt også et telefonnummer, så du kan kontakte modtageren, hvis du bliver lidt forsinket på dagen.
• Er det f.eks. et nyhedsbrev, du gerne vil sende til kunden på e-mail, har du brug for en e-mail-adresse samt eventuelt et navn, men den fysiske adresse har du ikke brug for.
• Hvis det er en ansat, der skal have løn, er det nødvendigt, at du har flere oplysninger, f.eks. bankoplysninger samt CPR-nummer, så du både kan tilbageholde A-skat samt sætte lønnen ind på den ansattes bankkonto.
• I denne fase skal du også sikre dig det lovmæssige grundlag, kaldet en hjemmel, til, hvorfor du indsamler disse data. For en ansat er det f.eks. ansættelseskontrakten, der er hjemlen, og for en kunde er det kontrakten mellem jer, der hjemlen.

 

Trin 3: Husk at slette

• Dette trin er det vigtigste af alle syv trin.
• Du skal huske at slette de indsamlede personoplysninger, når du ikke længere skal bruge dem til det gyldige formål.
• Her skal du stille dig selv spørgsmålet ”Hvorfor har jeg stadig brug for disse oplysninger?” Det kan f.eks. være en faktura, hvor Bogføringsloven foreskriver, at du skal gemme dokumentationen i løbende år + 5 år.   
• Det kan være en tidligere medarbejder, som har feriepenge til gode, men når de er udbetalt, hvor lang tid efter skal du så gemme medarbejderens bankkontonummer? Her er det min vurdering, at du max. bør gemme oplysningerne i et år.
• Det er vigtigt, at du skriver dine sletteregler ned for hvert enkelt IT-system. Det arbejde sker som en kobling til trin 2. Derefter skal du etablere nogle rutiner, der gør, at du efterlever de sletteregler, du har beskrevet.

 

Trin 4: Oplys om, at du behandler personoplysninger

• Dette trin kaldes i daglig tale for en Privalivslivspolitik. Typisk ligger den som et link i bunden af virksomhedens hjemmeside, hvor kunder og leverandører kan finde den på en nem måde. Udover kontaktoplysninger til virksomheden skal den indeholde dine svar fra trin 1,2 og 3, herunder hvem oplysningerne deles med, og i hvilke lande data opbevares samt hvilke rettigheder de har for at få noget ændret, slettet eller flyttet til en anden leverandør.
• Du skal sørge for at udlevere den til dine ansatte og sikre, at de ved, hvilke oplysninger, du gemmer om dem, hvor lang tid oplysningerne gemmes, samt hvem data sendes videre til, f.eks. bank, pension og SKAT.

 

Trin 5: Sørg for at have gode procedurer

• Når I indsamler data samt personoplysninger, så vil der også komme forespørgsler fra såvel medarbejdere som kunder, der gerne vil se hvilke oplysninger, der indsamles.
• Her er det vigtigt, at der er en fast proces, gerne med en fast person, der tager imod disse henvendelser, kaldet indsigtsanmodninger. Det bør være samme person, der sikrer, at der bliver sendt et samlet svar retur til den person, der har spurgt om indsigten.
• Deadline er en kalendermåned, uanset hvor lang den pågældende måned er. 

 

Trin 6: Husk sikkerheden

• I dette trin er det IT-sikkerhed, der tænkes på.
• Hvis I har outsourcet jeres IT-drift, er det jeres ansvar at stille krav til jeres leverandører, idet leverandøren ikke gør andet end det, I har bedt dem om eller aftalt i en kontrakt.   
• Hvis du selv har IT-driften, er min anbefaling at kigge på de syv råd, som Sikkerdigital har skrevet om digital sikkerhed for små – og mellemstore virksomheder.

 

Trin 7: Du er også ansvarlig, når du deler.

• Som virksomhed, der indsamler personoplysninger eller -data, er du dataansvarlig. De IT-systemer, du anvender til f.eks. fakturering/bogføring, CRM-systemer, lønsystem, nyhedsbreve osv. er databehandlere. Du skal have en databehandleraftale med disse, idet du som dataansvarlig skal vide, hvordan de behandler de personoplysninger, du sender til dem.
• De oplysninger, du får fra leverandørerne / databehandlere, skal du hvert år føre tilsyn med for at sikre dig, at de eventuelle ændringer, der måtte være sket, stadig lever op til gældende GDPR-lovgivning.

 

Links, der kan hjælpe din virksomhed i mål med etablering af en Artikel 30 fortegnelse:

• • Datatilsynets ”GDPR Univers for små virksomheder,
    • https://www.datatilsynet.dk/regler-og-vejledning/gdpr-univers-for-smaa-virksomheder
  • Vejledning om fortegnelse
    • https://www.datatilsynet.dk/Media/E/5/Fortegnelse%20(3).pdf 
  • SikkerDigital.dk ”De 7 råd om IT-sikkerhed»
    • https://www.sikkerdigital.dk/virksomhed/syv-raad-om-it-sikkerhed
  • GDPR-Regler.dk ”Kan virksomheder selv udføre de lovpligtige GDPR krav?”
    • https://www.gdpr-regler.dk/kan-virksomheder-selv-udfoere-de-lovpligtige-gdpr-krav/