Alle virksomheder og organisationer skal have en GDPR og Persondata politik. Hvis du driver et website skal dette dokument være offentligt tilgængeligt på dit website. Som med mange af andre, af den slags dokumenter, kan det virker uoverskueligt og kompliceret at få lavet. Men på denne side kan du via den enkle GDPR og Persondata Politik skabelon udarbejde din egen, der for mange vil være tilstrækkeligt.
GDPR og Persondata krav
Den generelle forordning om databeskyttelse (GDPR) er en forordning fra Den Europæiske Union (EU), der trådte i kraft den 25. maj 2018. Den styrker og bygger videre på EU’s nuværende databeskyttelsesramme, og den generelle databeskyttelsesforordning (GDPR) erstatter databeskyttelsesdirektivet fra 1995.
GDPR kræver, at organisationer og virksomheder, der behandler personoplysninger, respekterer den enkeltes rettigheder og sikrer, at deres personoplysninger behandles på en retfærdig, gennemsigtig og konsekvent måde.
GDPR fastlægger reglerne for behandling af personoplysninger af registeransvarlige og registerførere i EU. Den fastsætter de enkeltpersoners rettigheder med hensyn til deres personoplysninger og fastlægger forpligtelser for registeransvarlige og registerførere.
Forordningen indeholder også bestemmelser om overførsel af personoplysninger til tredjelande og om oprettelse af en databeskyttelsesmyndighed for hele EU.
Har du en databeskyttelsesansvarlig (DPO)?
I henhold til GDPR skal alle dataansvarlige udpege en databeskyttelsesansvarlig (DPO) og skal gennemføre risikostyringsprocesser og udarbejde en plan for reaktion på hændelser. Disse skal hjælpe organisationer med at håndtere databrud, beskytte enkeltpersoners personlige oplysninger og sikre overholdelse af GDPR.
Organisationer, der behandler personoplysninger, skal give enkeltpersoner en meddelelse med angivelse af de formål, hvortil deres personoplysninger vil blive behandlet. De skal også indhente den enkeltes samtykke, før de behandler deres personoplysninger.
Databehandlerne skal gennemføre tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod uautoriseret adgang, ødelæggelse, ændring eller videregivelse. Disse foranstaltninger omfatter kryptering, pseudonymisering og regelmæssig sikkerhedskopiering.
Hvis der sker brug på din datasikkerhed
Organisationer, der behandler personoplysninger, skal oplyse den relevante tilsynsmyndighed om eventuelle brud på datasikkerheden senest 72 timer efter, at de har fået kendskab til bruddet. De skal også underrette de personer, hvis personoplysninger er blevet berørt af bruddet, hvis der er risiko for, at deres rettigheder og frihedsrettigheder påvirkes negativt.
I henhold til GDPR skal organisationer, der behandler personoplysninger, føre fortegnelser over deres behandlingsaktiviteter. Disse optegnelser skal indeholde oplysninger om formålet med behandlingen, kategorierne af personoplysninger behandles, modtagerne af personoplysningerne og de sikkerhedsforanstaltninger, der er truffet.
Organisationer, der behandler personoplysninger, skal oplyse deres kontaktoplysninger til den pågældende person. De skal også give den enkelte information om retten til at få adgang til sine personoplysninger, retten til at få rettet urigtige oplysninger, retten til sletning, retten til begrænsning af behandlingen, retten til at gøre indsigelse mod behandlingen og retten til dataportabilitet.