Gå til ecit.no
Gå til forside blogg

Er bedriften din GDPR compliant?

Skrevet av Julie Tønsberg Andresen
mar 19, 2019

En bedrift som er GDPR-compliant har utarbeidet og iverksatt rutiner som gjør at all behandling av personopplysninger gjøres i henhold til GDPR-regelverket. Dette er en sikkerhet både for bedriften og kundene.

Hva må på plass for å være GDPR compliant?

Alle bedrifter må ha på plass:

  • Rutinebeskrivelse
  • Personvernerklæring (på nett)
  • Personvernerklæring for ansatte
  • Oversikt over behandling av personopplysninger
  • Avvikslogg
  • Dokumentert opplæring av ansatte
  • En personvernkontakt

I tillegg må noen bedrifter ha databehandleravtale, og samtykkeerklæringer.

 

 LES MER: Bli GDPR compliant raskt med vår GDPR startpakke

 

Er du en databehandler?

En bedrift som behandler (har tilgang/lagrer) personopplysninger på vegne av en annen bedrift, er databehandler. Som databehandler, må du varsle behandlingsansvarlig dersom behandlingen av personopplysninger ikke er lovlig, rettferdig, transparent eller etter formålet.

Alle databehandlere må ha en signert og oppdatert databehandleravtale med sine kunder. Denne skal beskrive hvordan de sikrer at personopplysningene til din bedrift er trygge og GDPR compliant.

 

Trenger du samtykkeerklæring?

Kunden må samtykke i at du lagrer informasjon om de. I en kjøpssituasjon, anses dette samtykket som automatisk når det er nødvendig for å gjennomføre handelen.

I mange tilfeller, ønsker bedriften å beholde kontakten med kunden i etterkant, f.eks i forbindelse med markedsføring. Da er det nødvendig at kunden samtykker til videre behandling av personopplysninger utover det som var nødvendig for handelen. Det er flere krav til et slikt samtykke. Det må være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt
  • i tillegg bør det gis informasjon om hvor lenge samtykke er tiltenkt å vare, og det bør gis informasjon med jevne mellomrom, om muligheten til å trekke samtykke tilbake.

 

Hva skjer om bedriften ikke er GDPR compliant?

Datatilsynet har med GDPR fått mandat til å ilegge bot til bedrifter som ikke er GDPR compliant. Dette betyr at det for myndighetene er mindre krevende enn tidligere å sørge for at lovverket blir overholdt, og fortløpende straffe de som bryter det.

Boten regnes til 4% av brutto omsetning, maks 20 mill. euro. I konserner beregnes boten for totalen, slik at et datterselskap som bryter med GDPR vil kunne få en bot på størrelse med 4% av bruttoomsetning for hele konsernet. Det å «ha en dårlig GDPR dag» kan nå koste dyrt.

Gratis sjekkliste - 9 steg for å få bedre kontroll på GDPR i ditt selskap. Last ned nå
Temaer:
GDPR
Julie Tønsberg Andresen

Julie Tønsberg Andresen

Julie jobber som markedskoordinator i ECIT. Fra 2018 har hun jobbet både med kundeservice, IT og marked. Hun er spesielt opptatt av gode kundeopplevelser og digitalisering.

Relaterte artikler

Når kan du kreve innsyn i ansattes epost?
Hva kan dine ansatte om GDPR?
Hva er GDPR?
New call-to-action

ECIT-bloggen

ECIT er et av nordens ledende økonomi- og IT-hus. Vi har som mål å gjøre det enklere for deg å drive selskap, og på denne bloggen vil du derfor finne råd og tips som er nyttige for deg som leder.

Besøk ecit.no

Ønsker du å motta nye innlegg på e­post?

Temaer

Se alle

Kontakt oss

ECIT NORGE

TJENESTER

SNARVEIER

2020 © All Rights Reserved. Personvern   Cookies   Generelle betingelser