Den generelle forordning om databeskyttelse(GDPR) træder i kraft den 25. maj og vil fuldstændig ændre den måde, hvorpå virksomheder behandler og håndterer data, og vil give enkeltpersoner større kontrol over, hvem der indsamler og behandler deres data, hvad de bruges til, og hvordan de beskyttes.
Selv om fristen i maj nærmer sig, er der stadig en række myter om GDPR, som skal aflives.
TOP GDPR-myter
Myte 1: Alle virksomheder skal udpege en DPO
Det er forkert. Kun visse organisationer skal udpege en databeskyttelsesansvarlig (DPO ) i henhold til GDPR.
Du skal udpege en DPO, hvis:
- du er en offentlig myndighed
- dine kerneaktiviteter kræver en omfattende, regelmæssig og systematisk overvågning af enkeltpersoner i stor skala
- dine kerneaktiviteter består af omfattende behandling af særlige kategorier af oplysninger eller oplysninger om straffedomme og lovovertrædelser
DPO'en bør være ekspert i GDPR og praksis for beskyttelse af personlige oplysninger, da de er ansvarlige for overvågning og rapportering af GDPR-overholdelse.
Databeskyttelsesrådgivere forventes at hjælpe med at vejlede de registeransvarlige og databehandlere ved at kontrollere den interne overholdelse og foreslå passende korrigerende anbefalinger, hvor det er nødvendigt. Databeskyttelsesrådgivere forventes også at handle uafhængigt inden for organisationen.
Myte 2: GDPR påvirker kun europæiske virksomheder
Det er forkert. Selv om GDPR er en europæisk forordning, har den bredere konsekvenser. Det er ligegyldigt, hvor i verden du befinder dig, hvis din virksomhed er baseret uden for EU, men foretager forretningstransaktioner med en person, der er baseret i Europa, vil GDPR finde anvendelse.
Hvis en virksomhed har hovedsæde uden for EU, men har europæiske aktiviteter, skal den også overholde reglerne. GDPR handler om personoplysninger og om personens hjemsted, når deres data indsamles. Det er dette, der afgør forordningens anvendelighed.
Myte 3: GDPR vil ikke gælde for Storbritannien på grund af Brexit
Det er forkert. GDPR vil stadig gælde efter Brexit. GDPR er designet til at regulere, hvordan organisationer behandler og kontrollerer EU-borgernes personoplysninger, uanset hvor de befinder sig. Det Forenede Kongerige forlader først EU i april 2019, så EU-lovgivningen vil fortsat gælde i Det Forenede Kongerige.
Myte 4: Bøder er den største trussel mod din virksomhed
Dette er falsk. Selv om organisationer, der overtræder GDPR, kan blive mødt med bøder på op til 4 % af den årlige globale omsætning eller 20 millioner euro, er der en række andre problemer, som virksomheder, der ikke overholder GDPR, står over for.
GDPR kræver, at organisationer offentliggør brud på persondatasikkerheden til den relevante tilsynsmyndighed inden for 72 timer efter opdagelsen. Hvis bruddet medfører en høj risiko for at påvirke en persons rettigheder og frihedsrettigheder, skal den pågældende person også underrettes med øjeblikkelig virkning.
Denne usikkerhed og tab af data kan føre til, at kunderne forlader virksomheden og skifter til konkurrenterne. Tabet af forbrugernes tillid kan til gengæld skade en virksomheds omdømme og resultere i tab af indtægter.
Myte 5: Samtykke er den eneste måde at behandle data på
Det er forkert. En lang række organisationer antager, at samtykke er det eneste retsgrundlag for behandling af personoplysninger. Samtykke er blot et af seks legitime formål, der kræves for al behandling af personoplysninger.
I henhold til GDPR er "lovlig behandling" kun mulig, når:
- Der foreligger samtykke fra den registrerede
- Behandlingen er nødvendig for opfyldelsen af en kontrakt med den registrerede
- Behandlingen er nødvendig for at opfylde en retlig forpligtelse
- Behandlingen er nødvendig for at beskytte en registrerets eller en anden persons vitale interesser
- Behandlingen er nødvendig for udførelsen af en opgave, der udføres i almenhedens interesse eller som led i udøvelsen af offentlig myndighed, der er tillagt den dataansvarlige
- Behandlingen er nødvendig for at varetage den registeransvarliges eller en tredjeparts legitime interesser, medmindre den registreredes interesser, rettigheder og frihedsrettigheder går forud for disse interesser
Hvis du er usikker på, om din virksomhed er på rette vej til GDPR-overholdelse, kan du kontakte os for at finde ud af, hvordan vi kan hjælpe dig. MetaPrivacy er specielt designet til at give dig den bedste praksis for overholdelse af databeskyttelse.
