GDPR
I maj 2018 er General Data Protection Regulation (GDPR) en kendsgerning. GDPR erstatter data beskyttelsesdirektiv fra 1995. Det blev vedtaget den 27 april 2016 og træder i kraft den 25 maj 2018. Fra denne dato gælder die samme privatlivs regler i hele EU. Enhver, der indsamler og behandler personlige data via et websted, en CRM, en intern database osv., vil være forpligtet til at overholde de nye regler.
Hvad er formålet med GDPR?
- Styrkelse og udvidelse af privatlivets rettigheder
- Mere ansvar for organisationer
- De samme tilladelser til alle europæiske private tilsynsførende, for eksempel tilladelsen til at kunne pålægge bøder på op til 20 mio. EUR
Indvirkning på SSL
På grund af GDPR, vil HTTPS være påkrævet. Brug af et SSL certifikat er en del af de foranstaltninger, du skal tage for at overholde forordningen. Til dette er alle typer SSL certifikater tilstrækkelige.
Hvilke skridt skal du tage i henhold til GDPR?
Trin 1: Bevidsthed
Vær opmærksom på, at for eksempel beslutningstagere i organisationen er opmærksomme på de nye regler om privatlivets fred. De skal vurdere indvirkningen på de nuværende processer, tjenesteydelser og varer. Det er også vigtigt, at de er opmærksomme på de justeringer, de har brug for at gøre i henhold til GDPR. Gennemførelsen af GDPR kan tage en masse tid, så start tidligt. Datatilsynet kan hjælpe dig med dette.
Trin 2: Data subjektets rettigheder
Personer, hvis personoplysninger behandles, vil få flere og bedre privatlivsrettigheder på grund af GDPR. Sørg for, at de er i stand til at udøve deres privatrettigheder. De er i stand til at klage til datatilsynet om, hvordan du tager dig af deres personlige data. Datatilsynet er forpligtet til at rapportere disse klager.
Trin 3: Oversigt hele processen
Rapporter dine dataprocesser. Dokumentere hvilke personlige data du behandler og til hvilket formål. Find ud af, hvor du har fået disse data fra. Ifølge GDPR har du en ansvarlighed. Det betyder, at du skal angive, at du arbejder i overensstemmelse med GDPR. En del af ansvaret er, at du skal føre bog om behandlingsaktiviteter. Du kan også have brug for denne dokumentation, når folk bruger deres privatlivsrettigheder. De kan bede dig om at ændre eller slette deres data. Du skal også rapportere dette til myndigheder, som du delte dataene med.
Trin 4: Databeskyttelse konsekvensanalyse
Ifølge GDPR kan du blive pålagt at foretage en konsekvensanalyse af data (DPIA). Dette er et værktøj til at se privatlivsrisici af en bestemt dataproces. Det kan derfor være nødvendigt at måle og reducere risiciene. Det kan være nødvendigt at gøre en DPIA, hvis den påtænkte dataproces har en høj privatlivsrisiko. Du kan allerede estimere, om du skal gøre DPIA i den nærmeste fremtid og endnu vigtigere, hvordan du vil adressere dem. Hvis en DPIA viser, at din dataproces vil have en høj privatlivsrisici, kan du kontakte Datatilsynet. Denne myndighed vil se, om dataprocessen er i konflikt med GDPR. Hvis det er, kan Datatilsynet give dig et skriftligt råd.
Trin 5: Fortrolighed ved design og privatliv som standard
Sørg for, at din organisation er bekendt med udgangspunktet for privatlivets fred ved design og privatliv som standard af GDPR. Hvordan kan du indføre disse punkter i organisationen. Fortrolighed ved design siger, at du tager hensyn til personlige data, når du designer produkter og tjenester, men det siger også, at du ikke vil indsamle og behandle flere data end nødvendigt. Beskyttelse af personlige oplysninger siger som standard, at du træffer tekniske og organisatoriske foranstaltninger for at sikre, at du kun behandler personlige data for det pågældende formål.
Trin 6: Databeskyttelsesansvarlig
Ifølge GDPR er det muligt, at du bliver forpligtet til at have en databeskyttelsesansvarlig. Bestem om dette er nødvendigt for din organisation. Det er også muligt, at din organisation kan frivilligt udpege en databeskyttelsesansvarlig.
Trin 7: Rapportering af datalækager
Betingelserne for at rapportere datalækager vil være de samme under GDPR. GDPR har strenge regler om registrering af datalækager i din organisation. Du skal registrere alle dine datalækager, så Datatilsynet kan kontrollere, om du har opfyldt rapporteringsplikten.
Trin 8: Processoraftaler
Måske gør en processor din databehandling. Følger de eksisterende kontrakter kravene i GDPR?
Trin 9: Administrerende vejleder
Har din organisation filialer i forskellige EU medlemsstater? Eller har din databehandling effekt i forskellige medlemsstater? Ifølge GDPR har du kun rn privacy vejleder; den administrerende vejleder.
Trin 10: Tilladelse
For nogle databehandlingsoperationer skal du have tilladelse. GDPR har strenge krav til at give tilladelse. Det er vigtigt, at du vurderer, hvordan du spørger, får og registrerer tilladelse. Juster om nødvendigt vejen. Ifølge GDPR skal du vise, at du har fået tilladelse til at behandle personlige data. Folk kan give og slette tilladelse meget nemt.
Nedenfor finder du nogle ekstra oplysninger om ovennævnte vilkår.
Hvad er personlige data
Med personlige data kan du identificere en person, f.eks. Navn og adresse, e-mail-adresse, pasfoto, fingeraftryk, IP-adresser. Nogenes IQ er også personlig data.
Hvad er særlige personlige data
Særlige personlige data kan alvorligt påvirke andres privatliv. Disse data må kun behandles under meget strenge forhold.
Hvad er et databehandlingsregister
Dette register indeholder oplysninger om behandling af personoplysninger. GDPR kan hjælpe dig med de oplysninger, du bør nævne. Hvis Datatilsynet anmoder om det, skal du straks vise dette register. Fastlægger din organisation formålet med og midlerne til personoplysningerne? Hvis ja, er din organisation ansvarlig for processen. Loven indikerer, at registret indeholder følgende oplysninger:
- Organisationens navn og kontaktoplysninger og eventuelle repræsentanter for andre organisationer
- Oplysninger om den data beskyttelses ansvarlige
- Alle andre internationale organisationer, du deler dine personlige oplysninger med
- Formål med behandlingen af de personlige data
- Beskrivelse af de kategorier for hvem du behandler personoplysninger
- Beskrivelse af persondata kategorierne
- Kategorier af modtagere for hvem du behandler personlige data
- Oplysninger om de generelle tekniske og organisatoriske foranstaltninger, du har taget for at sikre persondata processen
Hvordan kan jeg bevise at jeg har modtaget tilladelse?
Har du brug for tilladelse til dataprocessen fra de involverede personer? Ifølge GDPR skal du kunne vise Datatilsynet, at du faktisk har denne tilladelse. Det er en del af ansvaret. To af tilladelseskravene fra GDPR er "informerede" og "specifikke". Spørger du online om tilladelse til at få de personlige data? Så kan du fange informationen om kundens hjemmesidebesøg og hvor de gav tilladelse. Du kan kombinere disse oplysninger med dokumentationen om den proces, som du har nævnt, hvordan du optager og modtager tilladelse. Henvis til automatisk registrering af tilladelse på din hjemmeside er utilstrækkelig til at vise gyldig tilladelse, fordi oplysningerne om de involverede personer mangler. Endelig skal du sikre dig, at du har tilstrækkelige data, så du kan lave et link, der viser behandling og tilladelse fra de involverede personer. Bemærk venligst, at du må ikke indsamler flere data end nødvendigt for at vise gyldig tilladelse.
Hvad skal der være i en databeskyttelsespolitik
I GDPR er det ikke præcist skrevet, hvilke data der skal være i en databeskyttelsespolitik. Politikken skal vise, på hvilken måde du møder GDPR. Det er en del af ansvaret. Ifølge GDPR skal du tilføje følgende oplysninger:
- En beskrivelse af de personoplysninger, du behandler
- En beskrivelse af de formål, som du behandler personlige data med, og hvad er retsgrundlaget.
- Hvordan du kan overholde principperne om behandling af personoplysninger, såsom forpligtelsen til ikke at behandle flere data end nødvendigt
- Hvilke rettigheder er der, som f.eks. Retten til at indsende en klage hos Datatilsynet, men også retten til at inspicere, ændre, slette og modtage alle registrerede data.
- Hvilke organisatoriske og tekniske foranstaltninger har du gjort for at sikre personlige data
- Hvor længe opbevarer du personlige data
Konklusion
På grund af GDPR vil vigtigheden af websikkerhed vokse endnu mere. Fra slutningen af maj 2018 vil det være påkrævet at bruge et SSL certifikat. Hollandsk lov om beskyttelse af personlige oplysninger krævede allerede før GDPR brugen af HTTPS til webshops, men ikke at overholde GDPR vil have væsentlig større betydning. Overholdelse af GDPR vil være nødvendigt for at undgå den maksimale sanktion på 20.000.000 euro eller op til 4% af din årlige omsætning på verdensplan.
De juridiske oplysninger på denne hjemmeside er informative og tjener til at give et indtryk af de juridiske spørgsmål. Ingen rettigheder kan udledes af indholdet.
Har du brug for hjælp?
Ring til os +45 898 719 39
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.