(Organisationer, der har mindst 250 ansatte eller udfører databehandling med høj risiko, er forpligtet til at holde en ajourført og detaljeret liste over deres behandlingsaktiviteter og være klar til at vise denne liste til tilsynsmyndighederne på anmodning. Den bedste måde at demonstrere GDPR-overholdelse er Organisationer med færre end 250 ansatte bør også udføre en evaluering, da det vil gøre det nemmere at overholde GDPR’s andre krav. adgang til det i din organisation, eventuelle tredjeparter (og hvor de er placeret), som har adgang, hvad du gør for at beskytte dataene (f.eks. kryptering), og hvornår du planlægger at slette det (hvis det er muligt).

Ifølge GDPR skal alle organisationer, der behandler persondata, have et lovligt grundlag for at gøre det. Der er flere mulige juridiske grundlag, som kan retfærdiggøre behandlingen af persondata f.eks. samtykke: Hvis du har fået samtykke fra den registrerede person til at behandle deres data til det specifikke formål, kan dette være et lovligt

Du skal informere folk om, at du indsamler deres data og hvorfor. Du bør forklare, hvordan dataene bliver behandlet, hvem der har adgang til dem, og hvordan du sikrer dem. Disse oplysninger skal indgå i din privatlivspolitik og give til de registrerede personer på det tidspunkt, hvor du indsamler deres data. Det skal præsenteres “i en kortfattet, gennemsigtig, forståelig og lettilgængelig form ved hjælp af klart og enkelt sprog, især hvis informationen henvender sig specifikt til et barn.”

Du skal følge principperne om “databeskyttelse ved design og som standard,” herunder implementering af “passende tekniske og organisatoriske foranstaltninger” for at beskytte data. Med andre ord skal databeskyttelse nu være noget, du altid skal overveje, når du behandler andres personlige data. Du skal også sikre, at enhver behandling af persondata overholder de databeskyttelsesprincipper, der er beskrevet i Artikel 5 på gdpr.eu. Tekniske foranstaltninger inkluderer kryptering, og organisatoriske foranstaltninger omfatter ting som begrænsning af mængden af persondata, du indsamler, eller sletning af data, du ikke længere har brug for. Pointen er, at det skal være noget, du og dine medarbejdere altid er opmærksomme på.

Link to article 5

De fleste produktivitetsværktøjer, som virksomheder bruger, er nu tilgængelige med end-to-end kryptering indbygget, herunder e-mail, beskedtjenester, noter og cloud-lagring. GDPR kræver, at organisationer anvender kryptering eller pseudonymisering, hvor det er muligt.

Selvom din tekniske sikkerhed er stærk, kan operationel sikkerhed stadig være et svagt punkt. Opret en sikkerhedspolitik, der sikrer, at dine teammedlemmer har kendskab til datasikkerhed. Den skal omfatte retningslinjer om e-mailsikkerhed, adgangskoder, to-faktor-autentifikation, enhedskryptering og VPN’er. Medarbejdere, der har adgang til persondata, og ikke-tekniske medarbejdere bør modtage ekstra træning i GDPR-kravene.

En databeskyttelsesevaluering (også kendt som privacy impact assessment) er en måde at hjælpe dig med at forstå, hvordan dit produkt eller din tjeneste kan true dine kunders data samt hvordan du kan minimere disse risici. Det britiske Information Commissioner’s Office (ICO) har en databeskyttelsesevalueringstjekliste på deres hjemmeside. GDPR kræver, at organisationer udfører denne type analyse, når de har planer om at bruge folks data på en måde, der “sandsynligvis vil medføre høj risiko for deres rettigheder og frihedsrettigheder.” ICO anbefaler at udføre det, hver gang du skal behandle persondata.

Link to Data protection impact assessment

Hvis der er en databrud, og persondata bliver udsat, skal du inden for 72 timer underrette den tilsynsførende myndighed i din jurisdiktion. En liste over mange af EU-medlemslandenes tilsynsmyndigheder kan findes på gdpr.eu. GDPR specificerer ikke, hvem du skal underrette, hvis du ikke er en organisation baseret i EU. For dem i engelsktalende ikke-EU-lande kan det være nemmest at underrette Office of the Data Protection Commissioner i Irland. Du er også forpligtet til hurtigt at informere de berørte registrerede personer om databrud, medmindre bruddet er usandsynligt at sætte dem i fare (for eksempel hvis de stjålne data er krypterede).

En anden del af “databeskyttelse ved design og som standard” er at sikre, at nogen i din organisation er ansvarlig for overholdelse af GDPR. Denne person bør have beføjelse til at evaluere databeskyttelsespolitikker og implementeringen af ​​disse politikker.

Dette inkluderer alle tredjeparts tjenester, der håndterer persondata fra dine registrerede personer, herunder analytics-software, e-mailtjenester, cloud-servere osv. Størstedelen af tjenester har en standard databehandlingsaftale tilgængelig på deres hjemmesider, som du kan gennemgå. Disse aftaler beskriver rettigheder og forpligtelser for hver part i forhold til GDPR-overholdelse. Du bør kun bruge tredjeparter, der er pålidelige og kan give tilstrækkelige garantier for databeskyttelse.

Hvis du behandler data, der vedrører personer i ét bestemt medlemsland, skal du udpege en repræsentant i det land, som kan kommunikere på dine vegne med datatilsynsmyndighederne. GDPR og dets officielle støttedokumenter giver ikke vejledning i situationer, hvor behandlingen påvirker EU-borgere på tværs af flere medlemslande. Indtil denne krav er fortolket, kan det være klogt at udpege en repræsentant i et medlemsland, der bruger dit sprog. Nogle organisationer, som offentlige organer, er ikke forpligtet til at udpege en repræsentant i EU.

Der er tre omstændigheder, hvor organisationer er forpligtet til at have en databeskyttelsesrådgiver (DPO), men det er en god idé at have en, selvom reglen ikke gælder for dig. DPO’en skal være en ekspert inden for databeskyttelse, hvis opgave er at overvåge GDPR-overholdelse, vurdere risici for databeskyttelse, rådgive om databeskyttelsesevalueringer og samarbejde med tilsynsmyndighederne. Laes mere om det her

Link to DPO

Folk har ret til at se, hvilke personlige oplysninger du har om dem, og hvordan du bruger dem. De har også ret til at vide, hvor længe du har planer om at opbevare deres oplysninger, og årsagen til at beholde dem i den periode. Du skal sende dem den første kopi af disse oplysninger gratis, men kan opkræve et rimeligt gebyr for efterfølgende kopier. Sørg for at kunne bekræfte identiteten hos personen, der anmoder om dataene. Du bør kunne imødekomme sådanne anmodninger inden for en måned.

Gør dit bedste for at holde data opdateret ved at etablere en proces for datakvalitet, og gør det nemt for dine kunder at se og opdatere deres personlige oplysninger for nøjagtighed og fuldstændighed. Sørg for at kunne bekræfte identiteten hos personen, der anmoder om dataene. Du bør være i stand til at imødekomme anmodninger i henhold til inden for en måned.

Link til article 15 
Link til article 16

Folk har generelt ret til at bede dig om at slette alle personlige data, du har om dem, og du skal imødekomme deres anmodning inden for cirka en måned. Der er fem grunde, hvor du kan afvise anmodningen, såsom udøvelse af ytringsfrihed eller overholdelse af en juridisk forpligtelse. Du skal også forsøge at verificere identiteten hos personen, der laver anmodningen.

Dine dataemner kan anmode om at begrænse eller stoppe behandlingen af deres data, hvis visse grunde er gældende, primært hvis der er tvivl om lovligheden af behandlingen eller nøjagtigheden af dataene. Du er forpligtet til at imødekomme deres anmodning inden for cirka en måned. Mens behandlingen er begrænset, er du stadig tilladt at opbevare deres data. Du skal underrette dataemnet, før du begynder at behandle deres data igen.

Dette betyder, at du skal være i stand til at sende deres personlige data i et almindeligt læsbart format (f.eks. et regneark) enten til dem selv eller til en tredjepart, som de udpeger. Dette kan virke uretfærdigt set fra et forretningsmæssigt perspektiv, da du måske skal udlevere dine kunders data til en konkurrent. Men fra et privatlivsperspektiv er ideen, at folk ejer deres data, ikke dig.

Hvis du behandler deres data til formål inden for direkte markedsføring, skal du straks stoppe behandlingen til dette formål. Ellers kan du muligvis udfordre deres indsigelse, hvis du kan påvise “tvingende legitime grunde.

Nogle typer af organisationer bruger automatiserede processer til at hjælpe dem med at træffe beslutninger om mennesker, som kan have juridiske eller “tilsvarende betydelige” konsekvenser. Hvis du mener, at dette gælder for dig, skal du oprette en procedure for at sikre, at du beskytter deres rettigheder, friheder og legitime interesser. Du skal gøre det nemt for folk at anmode om menneskelig indgriben, give deres mening til kende vedrørende beslutninger og udfordre beslutninger, du allerede har truffet.