Viden
//tirsdag d. 1.05.18

Guide: Sådan bør du forholde dig til GDPR – EU’s nye persondataforordning

Del artiklen

Af Julie Maria Schandorph

Det varer ikke længe, før EU’s nye persondataforordning træder i kraft. Skæringdatoen lyder d. 25. maj, men en ny undersøgelse fra Dansk Erhverv viser, at kun 41% af danske virksomheder forventer at være klar, når de nye regler træder i kraft. Ligeledes har 42 procent svaret, at de ikke kender til GDPR, ikke mener at den er relevant for virksomheden eller ikke ved, om den er relevant. GDPR påvirker alle brancher og virksomheder. GDPR påvirker således også abonnementsvirksomheder. Så spørgsmålet er, om din virksomhed er klar med en plan for, hvordan persondata skal håndteres?

Hvad er GDPR?
GDPR står for General Data Protection Regulation og er EU’s databeskyttelseslov for forbrugerne. Forordningen handler kort sagt om at beskytte personlige data og sikre, at disse data ikke bliver misbrugt af andre. Både indsamling, behandling og lagring af data skal ske under strenge krav og kun til lovligt formål.

Grunden til indførelsen af GDPR, skal ses i lyset af, at EU ønsker at skabe ét samlet fælles digitalt marked ved at harmonisere medlemslandendes individuelle digitale markeder. Ifølge EU vil det være med til at skabe tusindvis af nye arbejdspladser og vil kunne tilføre 415 billioner til EU’s samlede økonomi. Når medlemslandende har deres egen individuelle digitale markeder, kan det skabe større barrierer for handel indenfor EU, end hvis det var ét fælles marked. Ifølge EU er det kun 7% af de små- og mellemstore virksomheder, der sælger til andre lande ud over deres eget. Meningen er, at GDPR skal afhjælpe dette og skabe et digitalt fælles marked, hvilket vil gøre det lettere for virksomhederne at nå ud til andre lande indenfor EU.

Hvis en virksomhed ikke lever op til disse stramme krav, kan den risikere at få strenge bøder eller sanktioner. I henhold til forordningen kan virksomheder betale bøder på op til 20 mio. EUR eller 4 procent af de globale indtægter, alt efter hvilken, der er størst. Og det er bare for de “alvorlige brud”. Sådanne ting som undladelse af at holde ordentlige overtrædelseslogfiler eller at mangle at rapportere en overtrædelse inden for en fastsat tidsplan, vil give bøder på op til 10 mio. EUR eller 2 procent af de globale indtægter. Derudover får enkeltpersoner også mulighed for at gøre krav på erstatning.

GDPR i din abonnementsvirksomhed
Data bruges og lagres hver dag hos abonnementsvirksomheder i adskillige sammenhænge. Vi har valgt at fokusere målrettet på den data, der kommer fra dine kunder. Medarbejderdata, er altså en anden snak. Et eksempel på kundedata kan være, når abonnenten har lavet sin egen personlig profil, koblet sit betalingskort op til medlemskabet eller blot tilmelder sig abonnementet. De mange data hjælper med at få indsigt i kundeadfærd, som er enormt meget værd for at kunne være i stand til at skræddersy abonnementstilbud og drive abonnementsforretning i dag.

I henhold til forordningen skal abonnenterne udtrykkeligt give tilladelse til, at virksomhederne beholder data om dem. Men dette samtykke skal også kunne bevises, derfor skal virksomheder også fremlægge bevis for, at dette samtykke er givet. Dette kan have afgørende indvirkning på, hvordan abonnementsvirksomheder håndterer automatisk fornyelse af abonnementer og abonnementsbetalingsprocesser.

Det er ikke længere tilladt at gemme abonnentens personoplysninger, selvom det kan vise sig nyttigt i fremtiden for virksomheden. Og dermed må de heller ikke videregives til tredjepartsvirksomheder uden videre. Fra nu af vil ansvaret ligge hos din virksomhed for at retfærdiggøre, hvorfor du beholder kundeoplysninger om dine abonnenter, ellers kan det være nødvendigt at slette dem.

Hvad bør man være opmærksom på?
Der er mange forbehold, som er nødvendige at tage sig, og det kan være svært lige at finde rundt i, hvordan disse skal håndteres. Men som udgangspunkt er det vigtigt at indføre nye virksomhedspolitikker, som sikrer kundens hensyn. Derudover er det vigtigt at skabe et struktureret overblik over, hvor data er indsamlet og hvilke data, man har på de enkelte abonnenter. Således er det let at finde frem til de kilder, hvor data er indhentet, og de kan dermed lettere slettes eller overføres. Det vil være en god idé at slette personlige data, for hvilke der ikke er noget retsgrundlag for opbevaring.

Eftersom de fleste abonnementsvirksomheder anvender adfærdsdata til at lave kundeprofiler, kan det blive et krav at indføre en såkaldt Data Protection Officer (DPO). En DPO kan være en fra virksomheden, som har fået tildelt ansvaret for at håndtere GDPR og sørge for, at virksomheden efterlever de lovmæssige krav. Det gør det også lettere for virksomheden selv at vide, hvem man skal gå til for at få hjælp med håndteringen af data.

GDPR berører også betalingsoplysninger, som i høj grad anvendes i abonnementsvirksomheder. Men her kan du med få tiltag, let få en bekymring mindre. Det er nemlig muligt at blive kompatibel med GDPR i forhold til betaling ved at indføre den nye kreditkortautentificeringsstandard PCI DSS 3.2, som blev sat i drift i februar tidligere i år.
For eksempel bliver multifaktorautentificering (MFA) obligatorisk i PCI DSS 3.2, hvilket giver virksomheden en enkel måde at beskytte kundens personlige betalingsoplysninger på.

Smart skabelon til databehandleraftaler
Det er også nødvendigt at kontrollere alle leverandører for at se, om de lever op til de lovmæssige krav. Dette gælder især de leverandører, der er baseret udenfor EU. Mange abonnementsvirksomheder anvender og er afhængige af SaaS-løsninger til eksempelvis Customer Relationship Management (CRM), og der vil det være en god idé at tjekke disse virksomheders politikker.

Men det er ikke nok blot at tjekke, om disse lever op til GDPR-standarder. Det bliver et krav at indgå en aftale med disse om, hvordan de må behandle dine kundeinformationer. Der er i forvejen et krav om dette, men der stilles yderligere krav til indholdet af aftalen ved indførelsen af GDPR.

Datatilsynet har udviklet en smart skabelon for databehandleraftaler. Den er let at anvende, og du skal blot udfylde de markerede områder. Du kan downloade den lige her.

De 10 vigtigste huskeregler
GDPR træder i kraft d. 25. maj 2018, men inden da kræves det, at der lægges en grundig plan for, hvordan data skal håndteres fremover. Derfor har Subscrybe opstillet de 10 vigtigste huskeregler, så du let kan komme i gang med at få lavet en plan for jeres håndtering af data, hvis du endnu ikke er i gang:

  1. Sørg for at indhente eksplicit samtykke til at lagre personlige data. Det skal gøres aktivt og for alle kunder. Dette betyder også, at indskrevne samtykke ikke længere er gældende, og der skal vælges en opt-in.
  2. Dokumenter hvilke personlige data du opbevarer, hvor de kommer fra, og hvem du deler data med. Det er vigtigt at kunne dokumentere, hvad der er givet samtykke til.
  3. Identificer det lovlige grundlag for din databehandlingsaktivitet i GDPR og dokumenter det. Der er seks lovlige grundlag til behandling af data under GDPR: samtykke, kontrakt, juridisk forpligtelse, vitale interesser, offentlig opgave eller legitime interesser. Det grundlag du bruger vil påvirke den rettighed, du har til at anvende persondata på dine abonnenter, så dette skal gøres klart i den besked, du giver kunden.
  4. En abonnent har rettighed til at blive ”glemt”, når det ønskes i nogle tilfælde, og derfor skal dette udtrykkes tydeligt. Det skal være ligeså let at trække sine oplysninger tilbage, som det er at give samtykke.
  5. Det er vigtigt at have styr på sikkerheden, og derfor bør gode sikkerhedssystemer installeres. I tilfælde af hacking, skal dette rapporteres inden for 72 timer efter opdagelsen.
  6. Udarbejd en konsekvensanalyse (DPIA), hvis I behandler følsomme oplysninger i et stort omfang, eller hvis man beskæftiger sig med profilering.
  7. I nogle tilfælde har abonnenten også ret til at få overført sine oplysninger gratis og uden forsinkelse. Derfor er det nødvendigt at forberede sig på dette ved at opdatere din virksomheds procedurer og planlægge, hvordan disse skal håndteres indenfor en vis tidsramme.
  8. Der er forbud mod at overføre data til lande uden for EØS * uden tilstrækkelige sikkerhedsforanstaltninger. * EØS inkluderer EU-lande og Island, Liechtenstein og Norge.
  9. Hvis din organisation opererer i mere end én EU-medlemsstat (dvs. du udfører grænseoverskridende behandling), skal du bestemme din tilsynsførende myndighed for overordnet databeskyttelse. Artikel-29-gruppen hjælper med dette.
  10. Data inkluderer både fysiske og digitale – derfor henvender GDPR sig ikke kun til din kundedatabase, men også de fysiske papirer, som du har liggende om din abonnent.

Selvom GDPR kan virke som en begrænsning på digitaliseringen kan den sikre en gennemsigtighed, hvilket vil skabe en større kundetilfredshed og tillid, som din virksomhed i sidste ende kan drage nytte af. Så hvis du endnu ikke har en plan for, hvordan GDPR skal implementeres i din virksomhed, er det vigtigt at starte nu, før det er for sent!