GDPR for små virksomheder
Mange små virksomheder tror fejlagtigt, at GDPR kun gælder for store koncerner. Sandheden er, at forordningen gælder for enhver virksomhed, der behandler personoplysninger om EU-borgere, uanset størrelse. Den gode nyhed er, at GDPR anlægger en proportional tilgang: kravene til en lille frisørsalon er mindre omfattende end til en multinational tech-virksomhed.
De vigtigste krav for små virksomheder
Som lille virksomhed skal du først og fremmest have styr på det grundlæggende: en privatlivspolitik, der fortæller kunder og medarbejdere, hvordan du behandler deres data; et lovligt grundlag for hver type databehandling (typisk samtykke, kontrakt eller legitim interesse); passende sikkerhedsforanstaltninger som stærke adgangskoder, opdateret software og kryptering af følsomme data; og en procedure for at håndtere henvendelser fra registrerede, der ønsker indsigt, berigtigelse eller sletning af deres data.
Typiske faldgruber
De mest almindelige GDPR-fejl blandt små virksomheder er: at bruge en generisk privatlivspolitik kopieret fra internettet uden at tilpasse den til virksomhedens faktiske databehandling; at sende markedsføringsmails uden gyldigt samtykke; at opbevare kundedata på usikrede enheder eller i personlige e-mailkonti; at mangelfuldt håndtere medarbejderdata, herunder opbevaring af ansøgninger og personalemapper længere end nødvendigt; og at glemme at indgå databehandleraftaler med leverandører, der har adgang til persondata.
Prioriteret tjekliste
Start med disse fem trin: 1) Kortlæg hvilke personoplysninger du indsamler og behandler, og til hvilke formål. 2) Udarbejd eller opdater din privatlivspolitik, så den er specifik for din virksomhed. 3) Gennemgå dine samtykker, især til nyhedsbreve og markedsføring. 4) Sikr dine systemer med opdateret software, stærke adgangskoder og backup. 5) Indgå databehandleraftaler med alle leverandører, der behandler persondata på dine vegne (webhost, e-mailservice, regnskabsprogram, etc.).
Fortegnelsespligten
Virksomheder med færre end 250 ansatte er som udgangspunkt fritaget for at føre en skriftlig fortegnelse over behandlingsaktiviteter. Dog gælder fritagelsen ikke, hvis behandlingen indebærer en risiko for de registreredes rettigheder, hvis behandlingen ikke er lejlighedsvis, eller hvis behandlingen omfatter særlige kategorier af data eller straffedomme. I praksis behandler næsten alle virksomheder data regelmæssigt (fx kundedata og medarbejderdata), så fortegnelsespligten vil ofte gælde uanset størrelse.
Hovedpointer
- GDPR gælder for alle virksomheder der behandler personoplysninger
- Start med at kortlægge dine databehandlingsaktiviteter
- Tilpas din privatlivspolitik til din faktiske virksomhed
- Indgå databehandleraftaler med alle relevante leverandører
- De fleste små virksomheder er i praksis omfattet af fortegnelsespligten