GDPR træder i kraft om 7 dage
Det er svært at tro, at GDPR efter to års forberedelse officielt træder i kraft på denne dag i næste uge. GDPR har været et modeord på alles læber i månedsvis nu, og organisationer over hele verden har gennemgået deres data med en tættekam for at sikre, at de overholder den nye lovgivning.
På trods af den toårige overgangsperiode og det væld af GDPR-informationer, der er til rådighed, er der stadig virksomheder, der søger vejledning og rådgivning om, hvad de skal gøre for at overholde GDPR.
Uanset hvor i verden din virksomhed befinder sig, skal du overholde GDPR, hvis du kontrollerer, indsamler eller deler personoplysninger om EU-borgere.
Du kan følge nedenstående trin for at sikre, at din virksomhed er på rette vej til GDPR-overholdelse:
1. Bliv opmærksom - Identificer potentielle områder, der kan give problemer med overholdelse af GDPR.
2. Bliv ansvarlig - Lav en opgørelse over alle de personoplysninger, som din organisation har.
3. Kommunikér med personale og brugere - Gennemgå dine nuværende meddelelser om databeskyttelse, der gør enkeltpersoner opmærksomme på indsamlingen af deres data. Identificer huller mellem niveauet af dataindsamling og behandling af data, som din virksomhed deltager i.
4. Rettigheder til beskyttelse af personlige oplysninger - Gennemgå dine procedurer for at sikre, at de dækker alle enkeltpersoners rettigheder, herunder hvordan man sletter personlige oplysninger eller leverer oplysninger elektronisk.
5. Hvordan vil adgangsansøgninger ændre sig? - Gennemgå og opdater dine procedurer og planlæg, hvordan din organisation vil håndtere anmodninger inden for de nye tidsrammer. Alle anmodninger skal indgives inden for en måned.
6. Hvad menes der med "retsgrundlag " - Se på de forskellige typer databehandling, du foretager, og identificer dit retsgrundlag for at gøre dette og dokumentér det. Dette er meget vigtigt, når samtykke påberåbes som det eneste retsgrundlag for behandling af data.
7. Brug af kunders samtykke som begrundelse for at behandle data - Hvis du bruger kunders samtykke ved registrering af personoplysninger, skal du gennemgå, hvordan du søger, indhenter og registrerer dette samtykke, og vurdere, om du skal foretage ændringer.
8. Behandling af børns data - GDPR vil indføre en række særlige beskyttelsesforanstaltninger for at beskytte børns data. Hvis din organisation behandler data om mindreårige personer, skal du sikre dig, at du har de rette systemer til at verificere den individuelle alder og indhente samtykke fra værger.
9. Rapportering af databrud - Sørg for at have de rigtige procedurer på plads til at opdage, rapportere og undersøge et brud på persondatasikkerheden. GDPR kræver, at organisationer skal videregive brud på persondatasikkerheden til den relevante tilsynsmyndighed inden for 72 timer efter opdagelsen.
10. Konsekvensanalyser vedrørende databeskyttelse (DPIA) og databeskyttelse ved design og standardisering - En DPIA er en proces, hvor man overvejer den potentielle indvirkning, som et projekt eller initiativ kan have på privatlivets fred for en enkeltperson. Den giver organisationer mulighed for at identificere potentielle problemer med privatlivets fred og finde en måde at afbøde dem på.
11. Databeskyttelsesansvarlige - GDPR kræver, at nogle organisationer udpeger en databeskyttelsesansvarlig (DPO). Disse organisationer vil omfatte offentlige myndigheder og organisationer, der overvåger registrerede personer eller behandler følsomme personoplysninger i stor skala.
12. Internationale organisationer og GDPR - GDPR indeholder en bestemmelse, som vil hjælpe organisationer, der opererer i forskellige EU-medlemsstater. Multinationale organisationer vil være berettiget til at handle med én databeskyttelsesmyndighed, kaldet en ledende tilsynsmyndighed (LSA), som vil fungere som deres fælles regulerende organ i det land, hvor de primært er etableret.
Hvis du vil have flere oplysninger om, hvordan din organisation kan forbedre sin tilgang til GDPR-overholdelse, kan du klikke her for at finde ud af, hvordan MetaCompliance kan hjælpe dig.
DISCLAIMER: Indholdet og udtalelserne i denne blog er kun til oplysningsformål. De er ikke ment som juridisk eller anden professionel rådgivning og bør ikke anvendes eller behandles som erstatning for specifik rådgivning, der er relevant for særlige omstændigheder, databeskyttelsesloven eller anden nuværende eller fremtidig lovgivning. MetaCompliance påtager sig intet ansvar for eventuelle fejl, udeladelser eller misvisende udtalelser eller for tab, der måtte opstå som følge af tillid til materialet i denne blog.