Gå til ecit.no
Gå til forside blogg

Er bedriften din GDPR compliant?

Skrevet av Tine Holm-Hansen
mar. 19, 2019

En bedrift som er GDPR-compliant har utarbeidet og iverksatt rutiner som gjør at all behandling av personopplysninger gjøres i henhold til GDPR-regelverket. Dette er en sikkerhet både for bedriften og kundene.

Hva må på plass for å være GDPR compliant?

Alle bedrifter må ha på plass:

  • Rutinebeskrivelse
  • Personvernerklæring (på nett)
  • Personvernerklæring for ansatte
  • Oversikt over behandling av personopplysninger
  • Avvikslogg
  • Dokumentert opplæring av ansatte
  • En personvernkontakt

I tillegg må noen bedrifter ha databehandleravtale, og samtykkeerklæringer.

 

 LES MER: Bli GDPR compliant raskt med vår GDPR startpakke

 

Er du en databehandler?

En bedrift som behandler (har tilgang/lagrer) personopplysninger på vegne av en annen bedrift, er databehandler. Som databehandler, må du varsle behandlingsansvarlig dersom behandlingen av personopplysninger ikke er lovlig, rettferdig, transparent eller etter formålet.

Alle databehandlere må ha en signert og oppdatert databehandleravtale med sine kunder. Denne skal beskrive hvordan de sikrer at personopplysningene til din bedrift er trygge og GDPR compliant.

 

Trenger du samtykkeerklæring?

Kunden må samtykke i at du lagrer informasjon om de. I en kjøpssituasjon, anses dette samtykket som automatisk når det er nødvendig for å gjennomføre handelen.

I mange tilfeller, ønsker bedriften å beholde kontakten med kunden i etterkant, f.eks i forbindelse med markedsføring. Da er det nødvendig at kunden samtykker til videre behandling av personopplysninger utover det som var nødvendig for handelen. Det er flere krav til et slikt samtykke. Det må være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt
  • i tillegg bør det gis informasjon om hvor lenge samtykke er tiltenkt å vare, og det bør gis informasjon med jevne mellomrom, om muligheten til å trekke samtykke tilbake.

 

Hva skjer om bedriften ikke er GDPR compliant?

Datatilsynet har med GDPR fått mandat til å ilegge bot til bedrifter som ikke er GDPR compliant. Dette betyr at det for myndighetene er mindre krevende enn tidligere å sørge for at lovverket blir overholdt, og fortløpende straffe de som bryter det.

Boten regnes til 4% av brutto omsetning, maks 20 mill. euro. I konserner beregnes boten for totalen, slik at et datterselskap som bryter med GDPR vil kunne få en bot på størrelse med 4% av bruttoomsetning for hele konsernet. Det å «ha en dårlig GDPR dag» kan nå koste dyrt.

Gratis sjekkliste - 9 steg for å få bedre kontroll på GDPR i ditt selskap. Last ned nå

Temaer:

Tine Holm-Hansen

Tine Holm-Hansen er vår Content manager. Hun har jobbet med markedsføring for regnskapskontorer i ECIT siden 2012. Spesielt engasjert i godt innhold for kundene, gode kundereiser og digitalisering.

https://www.ecit.com/no/

Kontakt oss