Hvilken betydning har GDPR for din virksomhed?
Du skal som virksomhed leve op til en række krav, når det kommer til indsamling og brug af personlige data. Det skal alle de virksomheder, der bruger nettet til at indsamle personlig data om EU-borgere – også hvis selve virksomheden ikke har hjemme i Europa.
Der er strikse krav i forhold til dokumentering og afrapportering. Du bliver altså som virksomhed stillet til ansvar for de data, som du indsamler og bruger. Den enkelte forbruger får på samme tid mange flere rettigheder. Der bliver stillet højere krav til samtykke, når det kommer til personaliseret markedsføring til den enkelte forbruger, og du kan som virksomhed ikke længere opbevare persondata i så lang tid, som du ønsker.
GDPR har stor betydning for alle virksomheder, der håndterer persondata eller bruger det i sin markedsføring. Du bliver som virksomhed derfor nødt til at sætte dig godt ind i reglerne for GDPR. Det kan betyde, at du skal skifte systemer og procedurer i din virksomhed og måske endda ansatte en Data Protection Officer.
Du skal huske at opdatere dine GDPR-dokumenter, -processer etc., så de passer til de nye regler om lovpligtig timeregistrering, der gælder alle danske virksomheder.
Det er også vigtigt at overholde alle krav til GDPR (samt andre relevante regler og love), hvis du har en whistleblowerordning.
Hvilke krav opstiller GDPR?
En central ændring med lovens indførelse er, at du og dine kunder skal give deres utvetydige accept af, at deres persondata indsamles og behandles. I GDPR kalder vi det Consent eller samtykke. GDPR beskriver, at den nye accept ikke må gemmes væk i mange siders betingelser, og det skal være letforståeligt og letlæseligt, præcist hvad der gives samtykke til.
Disse betingelser skal beskrive et formål med opbevaring og behandling af din persondata. Formål kan spænde vidt, men når formålet ophører, ophører dit samtykke altså ligeledes. Din persondata skal slettes, anonymiseres eller lignende, så det ikke kan ledes tilbage til dig.
Det betyder derfor, at man ikke uden hæmning kan opbevare data til al evighed, som man tidligere har kunnet. Foruden ophør af formål skal persondata ligeledes bortskaffes eller anonymiseres således, at det ikke kan spores tilbage til dig, hvis du beder om det.
Samtidig skal du inden dette have mulighed for at få udleveret den data, der er indsamlet om dig, hvis du ønsker det. Således får du mulighed for at tage stilling til, om formål overholdes, og om du gerne vil have det slettet.
Hvad sker der, hvis din virksomhed ikke lever op til kravene?
Driver du en virksomhed, bliver du nødt til at forholde dig til GDPR. Det kan nemlig få alvorlige konsekvenser, hvis du ikke efterlever de krav og skærpelser, der er blevet opstillet. Overtræder din virksomhed GDPR-lovgivningen, kan det udløse bøder af den helt store størrelsesorden.
Bøder for at overtræde kravene ligger helt oppe på 10 millioner Euro og 20 millioner Euro alt efter, hvilke krav der bliver overtrådt. Det er ikke for sjov, at EU har indført denne lovgivning, og din virksomhed bliver altså straffet meget hårdt økonomisk, hvis du ikke overholder loven.
DPA – Data Processor Agreement
En Data Processor Agreement (DPA) bliver det helt centrale for dig, andre virksomheder og i det hele taget alle, der kontrollerer data. Vi kalder det en Databehandleraftale, og formålet er at have en aftale med sin processor om, præcis hvilke persondata du videregiver, og hvad den kan og må bruges til. Det bliver en form for erhvervsbetingelser for at videregive persondata til en tredjepart.
Det er naturligt, at virksomheder som Dinero ikke er i stand til at lave en individuel aftale med alle 150.000 firmaer, der er oprettet i Dinero. DPA’en bliver derfor en standardaftale, som du som bruger modtager og giver din accept til – hvis du altså ønsker dette.
Når DPA’en er på plads, har du altså en aftale med os om, hvordan vi behandler dine kunders data som din dataprocessor. Herunder hvad vi bruger den til, og hvilket formål det har. Aftalen er ganske central for dig som erhvervsdrivende, og arbejder du i flere programmer, hvor du indtaster oplysninger om medarbejdere, kunder og lignende, er det vigtigt, at du indhenter en sådan DPA fra dem alle.
Det er din garanti for, at din leverandør overholder kravene opstillet i GDPR, og for at de selv har hentet en DPA hos deres underleverandører. Med den på plads er der styr på, at dine kunders data kan slettes, anonymiseres og hentes ud af Dinero til dine kunder, hvis du ønsker det. Du overholder altså med en sådan aftale kravene, der er opstillet i GDPR og siges dermed at være compliant på dette område.
Vi forventer at have vores DPA klar i starten af 2. kvartal 2018, så du også i god tid inden 25. maj kan have ro i sindet omkring din brug af Dinero.
Betingelser
I foråret 2018 kom der efter GDPR, nye og opdaterede betingelser til Dinero. Betingelserne indeholder afsnit om de oplysninger, du indtaster om dig selv i systemet.
Det er ikke mange informationer, vi opbevarer om dig, men nogle ting kan vi ikke komme udenom. En IP-adresse, navn, adresse, hvordan du klikker rundt i programmet og lignende. Har du hobbyvirksomhed eller PMV uden CVR-nummer, er det også muligt, at dit CPR-nummer er indtastet.
Alt dette ejer du, og du har krav på at få slettet, hentet ud eller anonymiseret. Dette kommer der nye betingelser til, hvor du skal give din accept, og hvor vores formål med indsamling af din data bliver angivet.
Fx navn og adresse er relevante for at skrive en faktura. Information om hvor du klikker i programmet bruger vi til at optimere siderne, og information om dine klik i hjælpeartikler bruger vi til at give dig de bedst mulige forslag, når du søger i vores hjælpecenter.
Sikkerhedsbrud i Dinero
Det giver helt sikkert sig selv, men vi vil gerne slå det fast en ekstra gang: Vi gør altid alt, hvad vi kan for at sikre jeres data. Det er næppe nogen overraskelse.
Når det er sagt, så hører vi jo også om banker, der har (eller burde have) det bedst tænkelige sikkerheds-setup, men alligevel bliver udsat for datakriminelle, som stjæler data og penge. Derfor er det vigtigt at have en slagplan, hvis uheldet skulle være ude.
Først og fremmest opstiller GDPR regler for, hvad vi skal gøre helt lavpraktisk. Et brud skal meddeles til Datatilsynet og alle berørte uden unødig forsinkelse og senest 72 timer efter bruddet er sket.
Konklusion
Ovenstående kan være en stor mundfuld. Dette er endda kun toppen af det isbjerg, der hedder GDPR. Det er dog også det, som vi ser som det mest centrale at forholde sig til.
Har du givet samtykke til de nye betingelser og en DPA fra Dinero inden 25. maj 2018, kan du altså roligt og trygt fortsætte dit samarbejde og det samme gælder for øvrigt også andre underleverandører, du måtte have, hvor du indtaster persondata.