På trods af det den 25 maj er 2 år siden EU’s GDPR lovgivning trådte i kraft, får vi ofte spørgsmål i vores support vedrørende denne lov, og hvordan man nemt og hurtigt anvender den indbyggede GDPR-køsel i WinKompas.

Enhver virksomhed anvender forskellige værktøjer/software til opbevaring af kundedata, og der anvendes igen forskellige værktøjer/ software i de enkelte afdelinger, lige som der er adgang til fælles værktøjer/software på tværs af de forskellige afdelinger i virksomheden.

Fælles for alle disse steder er at der opbevares data på kunderne, i forskelligt omfang.

Isolerer vi antallet af værktøjer/software til omdrejningspunktet i alle virksomheder – økonomisystemet – bør man hele tiden have fokus på at de 7 grundprincipper i persondataforordningen kræver omtanke, ansvarlighed, vedligehold og at værdien af de oplysninger der gemmes på kunden skal have værdi.

Først og fremmest; Hvad er personoplysninger?

Personoplysninger er alle data der oprettes på en kunde der kan føre tilbage til kunden. Dette gælder også indkøbsadfærd, og registrering af lokalitet på kunden.

Herunder gennemgår vi kort hovedtrækkene i de 7 principper i GDPR lovgivningen, resten er i store træk blot udvidelse af disse principper.

1. Formålsbegrænsning:

Når virksomheden indsamler persondata på kunder, må der kun indsamles persondata til specifikke formål, og disse formål skal begrænses.

Man må naturligvis gerne behandle de data man har på kunden til saglige og legitime formål. Hvilket vil sige at man ikke behøver kundens samtykke eller accept for at bogføre en faktura, eller gemme en kopi af en kontrakt.

Hvis man derimod indsamler data til andet end blot en handel med kunden, ser tingene lidt anderledes ud.

Der må gerne indsamles og behandles persondata til flere forskellige formål, hvis der er en god grund til det, og og dette kan gøres via et samtykke fra kunden. Den første gang der indsamles persondata om en kunde til et specifikt formål, skal kunden informeres om det specifikke formål. Eksempelvis hvis man ønsker at sende kunden en gave på dennes fødselsdag, vil en fødselsdato være relevant, og kunden skal derfor informeres om hvorfor man beder om fødselsdato og evt. år.

Når man indsamler persondata som nævnt ovenfor med fødselsdato, der har et specifik formål, så indebærer det også at de indsamlede data ikke må viderebehandles, eller bruges til andre formål.

Hvis man påtænker at videresælge de indhentede kundedata, må dette ikke ske uden kunden er oplyst om at dette er det specifikke formål.

2. Ansvarlighed

Som virksomhed skal man kunne påvise at man efterlever persondataforordningens principper, hvilket er et ret omfattende krav at stille, da det ikke af forordningen klart fremgår HVORDAN man skal bære sig ad med at påvise man efterlever det.

Derfor er det som hovedregel væsentligt at din virksomhed kan dokumentere sine handlinger og håndteringen af persondata, og at der eksempelvis er 2 årlige faste procedurer for en GDPR-kørsel, hvor eksempelvis alle kunder der ikke har været aktive de seneste 5 år slettes fra kunde kartoteket.

3. Dataminimering

Når der indsamles data på en kunde er det vigtigt at tænke “nødvendigt at have” – frem for  “rart at have”. Sælger man eksempelvis profilbrædder er det ikke nødvendigt at have kundens sko størrelse, med mindre man påtænker at udvide gesjæften, og her skal kunden oplyses om formålet med at udlevere sin sko størrelse, så man får et samtykke til at opbevare denne oplysning.

Man skal altså ikke bare starte mejetærskeren, og indsamle al mulig information på kunden, fordi man har haft en marketingskonsulent på besøg, der helt sikkert kan få en masse godt ud af al den data for jer. Der skal derfor kun indsamles relevante persondata, der gør i kan drive jeres forretning.

4. Rigtighed

Du bør som virksomhed sikre at de persondata du og dine medarbejdere behandler er rigtige.

Det indebærer at i ajourfører jeres data, og og kontrollerer at de oplysninger i har er korrekte. Som virksomhed skal man gøre en betydelig indsats for at slette og rette persondata, der ikke er rigtige i forhold til det formål de skal anvendes til. Uagtet om man har en fast procedure for denne kontrol, eller gør det løbende, bør det stå i dokumentationen hvornår, hvordan og hvor ofte man gør det.

Indsatsen her skal vurderes ud fra en rimelighedsbetragtning.

5. Lovlighed, rimelighed og gennemsigtighed

Alle former for behandling af persondata skal naturligvis være lovlige. Din virksomhed skal have hjemmel i lovgivningen til at behandle persondata, foreksempel ved et samtykke fra kunden.

Enhver form for behandling af persondata skal være rimelig. Det er rimeligt over for kunden at behandle deres persondata sikkert, og med udgangspunkt i den bedste praksis. Det vil sige at computere hvor data opbevares er sikret med kode, og at man har klare mangement standarder. Disse bør ligeledes være skrevet ned i dokumentationen.

Endvidere skal man være opmærksom på at man i tilfælde af ønske om aktindsigt fra kunden,  ikke må slette i de gemte oplysninger. Dette udløser politianmeldelse fra datatilsynet.

Som virksomhed skal du give gennemsigtig information til kunderne, om hvordan i behandler deres persondata. Dette skal gøres i et letforståeligt og lettilgængeligt sprog. Information til kunderne skal altså være klar og tydelig for målgruppen, og man bør bestræbe sig på ikke at bruge juridisk sprog.

6. Fortrolighed og integritet

Som virksomhed har du pligt til at sikre at de persondata du opbevarer behandles fortroligt. Dette vil sige at uvedkommende ikke skal have adgang til kundernes persondata. Uvedkommende kan både være hackere og identitetstyve, men også medarbejdere internt i virksomheden, der ikke har grund til at have adgang til alle data på kunden.

Du har ligeledes pligt til at sikre de opbevarede persondata med integritet, hvilket betyder de skal opbevares troværdigt og korrekt, og ud fra de muligheder teknologien giver af muligheder. Herved blandt ved at sikre dig hvor dine data opbevares, om det er på en server i en bambushytte, eller et godkendt hostingcenter der lever op til EU-kravene.

Internt i virksomheden er det væsentligt at der er implementeret en tilstækkelig sikkerhed vedrørende persondata, og dette afhænger af jeres situation. Hermed menes at i skal tage en risikovurdering af hvordan, og hvem der behandler persondata.  Med en sådan vurdering kan i så efterfølgende vurdere på hvor der i virksomheden eventuelt bør sættes ind med ekstra sikkerhedsforanstaltninger.

Formålet med risikovurderingen, er at i ud fra denne kan sætte ind de rigtige steder, både organisatorisk og teknologisk, så i har de rette foranstaltninger der skal give jer den nødvendige beskyttelse imod:

  • Uautoriseret brug af virksomhedens persondata, da disse ikke er for uvedkommende.
  • Tilintetgørelse af data, herunder hvad der må betegnes som hændelige uheld, og beskadigelse af de persondata der opbevares i vrksomheden.
  • Ulovlig behandling af persondata.

Denne vurdering bør ligeledes være skrevet ind i dokumentationen for hvordan i håndterer persondataforordnigen.

7. Opbevaringsbegrænsning

Som virksomhed bør man kun opbevare personoplysninger så længe det er nødvendigt, hvilket vil sige at i som virksomhed stadig har et formål med at opbevare oplysningerne, evt. i forhold til skattelovgivningen, eller der fortsat er en relation til kunden. Er dette formål ikke længere til stede bør oplysningerne slettes. Anvend med fordel en fast procedure for gennemgang af kunder til sletning, og undgå at tænke, det er nemmere bare at lade dem være.

Ønsker man af en eller anden årsag at beholde oplysningerne bør de anonymiseres, så kunden ikke umiddelbart er identificerbar, men blot er en oplysning, om et eventuelt salg af en bestemt vare.

Husk at i ved kontrol eventuelt i forbindelse med tab af data, hacking ect. skal kunne dokumentere i har overholdt forordningen. Er dette ikke tilfældet falder hammeren.

Har du spørgsmål til hvordan du får ryddet op i dine persondata i WinKompas med den indbyggede GDPR-kørsel, så kontakt vores support på:

TLF: 4422 4411