En guide til GDPR, så du bliver klædt på til at overholde reglerne.
GDPR – hva’ for noget? En guide til dig …
Hvad er det der GDPR og hvordan sikrer man sig, at man ikke overtræder reglerne for GDPR?
Vi har allieret os med en ekspert på området – Thorleif Gotved – og stillet ham 6 grundlæggende spørgsmål, som vi tænker at mange af jer kan have glæde af.
Læs og bliv klogere.
Måske det er vigtigt at slå fast, at desto flere personoplysninger desto mere følsomme/fortrolige de er, desto større anstrengelser skal du gøre dig.
Hvad skal der til for at overholde GDPR?
Det er et ret stort spørgsmål, som kræver mere detaljeret viden om den enkelte organisation. Det ultrakorte svar er, at du tænker dig om, og forholder dig aktivt til de persondata du håndterer.
Den noget længere, og dog stadig meget overordnede version er, at du i første omgang sikrer dig, at du har et overblik over, hvornår du behandler persondata. Persondata er i denne forbindelse enhver form for information om en person. Fx navn, e-mailadresse, nummerplade, IP-nummer osv. De situationer hvor du som selvstændig typisk behandler persondata er, når du sender e-mails, håndterer fakturaer, laver nyhedsbreve, dit CRM system, din hjemmeside osv.
Når du har fået det overblik, så er der en del ting, du skal kunne svare på.
Det drejer sig fx om følgende:
- Må du behandle de enkelte persondata (det må du sandsynligvis gerne, men du skal vide hvad din gyldige behandlingshjemmel er)?
- Hvor ”farlige” er dine persondata (er de fx følsomme, fortrolige eller bare helt almindelige)?
- Hvad vil der ske, hvis de personoplysninger du gemmer, pludselig kan ses af alle – og hvad er chancen for at det sker (en risikovurdering med fokus på dem, du har registreret)?
- Hvad gør du for at passe på persondata?
- Hvornår har du ikke længere brug for personoplysningerne (for så skal de slettes)?
- Bruger du noget software – og det gætter jeg på, du gør – til at håndtere dine personoplysninger, fx e-mail håndtering, så skal du sikre dig, at du kan fremvise en databehandleraftale.
Ja, det kan lyde som noget af en mundfuld. Måske det er vigtigt at slå fast, at desto flere personoplysninger desto mere følsomme/fortrolige de er, desto større anstrengelser skal du gøre dig.
Forestil dig, at du har 10 kroner. Hvor meget vil du gøre, for at passe på dem? Er det ok, at den ligger fremme på spisebordet? Sandsynligvis. Men har du 100.000 kroner, så vil du nok gøre dig ekstra umage for at passe på dem.
Forskellen i forhold til persondata er, at hvad der sker med dine penge, er din hovedpine. Men når du har med persondata at gøre, så er det andres oplysninger du håndterer, og dem har du faktisk kun til låns i den periode, hvor de tjener et sagligt formål.
Hvordan laver man en GDPR-politik?
En GDPR-politik er flere ting. Det er blandt andet en slette-politik. Her er det vigtigt, at vurdere hvornår du ikke længere skal bruge de persondata, du har registreret, og får dem slettet.
Der findes dog ikke en facitliste over, hvornår de skal slettes – det er noget du vurderer. Dog er der ting, du først må slette efter en periode. Fx dine fakturaer og bilag, da det fremgår af bogføringsloven, at de første må slettes efter tidligst 5 år.
Derudover har du en forpligtelse til at fortælle dem, hvis data du behandler, hvordan du behandler dem. Det sker via en persondata- eller privatlivspolitik. Det er en slags varedeklaration, som har til formål at skabe gennemsigtighed.
På datatilsynets hjemmeside findes en skabelon til ”Iagttagelse af oplysningspligten” som det hedder på sexet jurasprog.
Hvis du har ansatte, så vil det måske give mening at lave nogle politikker – måske retningslinjer er et bedre ord – for hvordan persondata håndteres, for at mindre risikoen for fejl.
Hvilke GDPR-overvejelser skal man gøre sig, når man holder foredrag, webinarer eller giver coachingsessioner?
Det afhænger meget af, om du er arrangør eller blot er inviteret til at holde fx foredrag.
Hvis du er arrangør, så er du dataansvarlig. For det er dig, der indsamler data og kan beslutte, hvad der skal ske med dem. Du er også ansvarlig for at deltagerne/kunderne bliver informeret, eller i det mindste gives muligheden, om hvordan deres persondata behandles. Der sker oftest via et link til en persondata- eller privatlivspolitik.
Er du blot inviteret ind som gæst, så vil jeg opfordre dig til at tænke dig om, før du evt. tager billeder af deltagerne og offentliggøre dem. Ikke at det nødvendigvis er forbudt, men du skal sikre dig, at ingen føler sig udnyttet, krænket eller udstillet. Og at de er informeret om, at det sker.
Har du fået tilsendt en deltagerliste forud for dit oplæg, så vær opmærksom på, at medmindre andet er aftalt, må du kun bruge deltagerlisten til at forberede dig inden oplægget. Du må derfor ikke bruge den til at lave salg efterfølgende, da det strider mod en af de grundlæggende principper vedr. GDRP. Persondata må kun bruges til det formål, de er afgivet til. Husk også at slette deltagerlisten, når du er færdig med at bruge den.
Særligt for dig som laver coachingforløb: Har du skrevet noter fra et coachforløb, som meget vel kan omhandle følsomme oplysninger, så skal du sikre dig, at du har lov til det. Og når der er tale om følsomme oplysninger, så vil det som regel kræve et samtykke. Og du skal naturligvis også været ekstremt opmærksom på, at du passer rigtig godt på noterne.
Må man opbevare sine klienters telefonnumre, inkl deres navn på sin almindelige smartphone?
Ja, det må du gerne. Hvis personoplysningerne bliver gemt i ”skyen”, så skal du i princippet sikre dig, at du kan fremvise en databehandleraftale med databehandleren (oftest vil aftalen være en del af betingelserne).
Men igen – du skal tænke dig om. Hvis fx du har klienter, som har hemmeligt nummer – og som evt. er særligt udsatte, så bør du gøre dig ekstra anstrengelser for at passe på de oplysninger, som fx ligger på din telefon.
Hvordan skal man opbevare sin mailkorrespondance med klienter?
Det afhænger igen af indholdet af den e-mailkorrespondance. Er korrespondancen smækfyldt med følsomme og fortrolige oplysninger, så vil jeg anbefale, at de fjernes fra din mailboks og evt. gemmes i fx et journalsystem.
Selv håndterer jeg alene helt almindelige oplysninger, og jeg gemmer bare mine e-mails i diverse undermapper. Derudover har jeg lavet en regel om, at e-mails ældre end 5 år slettes automatisk, da jeg har vurderet, at jeg så ikke længere har brug for dem.
Modtager jeg en e-mail med en vigtig kontrakt, vil jeg altid lægge kontrakten ind i mit fildrev.
Hvad betyder persondataforordningen for nyhedsbreve?
Det er nok mere den danske markedsføringslov, der her er relevant. For den forbyder enhver uopfordret elektronisk henvendelse. Derfor skal du altid sikre dig, at du fået et samtykke til at sende nyhedsbreve ud med. Når du indhenter dette samtykke, er det vigtigt, at det er tydeligt, hvad man tilmelder sig, samt at man bliver oplyst om, at man til enhver tid kan framelde sig. Der bør også være et link til dine persondata/privatlivspolitik.
Og så lige et ekstra gratis råd – hvis du lokker med fx en gratis e-bog, som er betinget af, at du tilmelder dig et nyhedsbrev, så er det nok en overtrædelse af markedsføringsloven. For dit tilbud er reelt ikke gratis, da en tilmelding til et nyhedsbrev har en værdi for dig.