fbpx

GDPR for byggebranchen

Persondataforordningen i et rimelig forståeligt sprog

GDPR del dine oplysninger sikkert

Sidste time for GDPR?

Sidder du i sidste time og arbejder på at få sikret dine kunders data? Er du ked af at skulle smide tonsvis af mails med følsomme oplysninger ud, som du sandsynligvis alligevel aldrig ville se igen?

Vi har i samarbejde med CIMA.dk udarbejdet en quiz/guide omkring GPDR specifikt til byggebranchen, så du nemt og bekymringsfrit kan opbevare dine kunders data uden at frygte en kæmpe bøde.

For at gøre det så enkelt som muligt at forstå har vi nedenfor lavet en “Det skal du gøre” – guide eller en FAQ efterfulgt af en lille quiz, så du kan teste din viden på området. Du må gerne læse FAQ’en først for at forberede dig på quiz’en. Det er ikke snyd. Du er også velkommen til at læse vores lille blogindlæg om hvilke 9 rettigheder dine kunder har.

GDPR del dine oplysninger sikkert

Grundlæggende viden - Hvad du som minimum bør vide

Hvilke krav er der i den nye persondataforordning (GDPR)?: Begræns indsamlingen til det nødvendige og slet det igen, når du ikke har brug for det længere. Så slipper du også for at opbevare irrelevant information, der bare ligger og fylder. Du må alligevel ikke bruge oplysningerne til andet end det formål de var tænkt til.

Du må kort sagt ikke indsamle, opbevare eller behandle data med mindre du har en usædvanlig god grund til dette og har fået lov af den pågældende person.

Hvis det er dig der bestemmer eller har ansvar i virksomheden, hvad skal du så vide om GDPR?: Du skal vide hvad GDPR betyder for dig og din virksomhed og tage højde for det indenfor dit eget ansvarsområde.

Hvis ikke du er noget særligt må du ikke lege med folks følsomme oplysninger. Hvad gælder som følsomme oplysninger?: a. Hvilken fagforening man har.
b. Om man har sociale problemer.
c. Hvilken seksuel overbevisning man har.
d. Hvad der står på ens straffeattest.
e. Hvilken herkomst man har.
f. Hvilket parti man stemmer på.
g. De helbredsmæssige forhold.

Der findes ni undtagelser for at behandle personfølsomme oplysninger. Hvor mange af disse skal være opfyldt for at behandle personfølsomme data?: Kun en enkelt betingelse skal være opfyldt.

Hvor stor en bøde kan man få for at overtræde reglerne i GDPR?: 4% af omsætningen i virksomheden eller 20.000.000 € alt efter hvad der er mindst. Man skal jo heller ikke ruineres, blot have en lille lærestreg.

Hvis du vil undgå den størst mulige bøde, skal du have styr på følgende:: a. Samtykke fra de registrerede.
b. Mulighed for at dokumentere samtykke fra de registrerede.
c. Ikke pille ved de indsamlede data uden gyldig grund.

Hvis den registrerede er 13-16 år, så kræver det et samtykke fra dennes forældre.: Ja.

Behandling af data - Hvordan du behandler data sikkert?

Hvad har kunderne ret til at få at vide i et klart, kortfattet og tydeligt sprog, når de vil have udleveret deres data?: a. Hvem står som ansvarlig i virksomheden og hvem virksomheden er.
b. Hvorfor de står registreret hos her.
c. Hvor I har fået deres oplysninger fra.
d. Hvem I ellers har delt deres oplysninger med.
e. Hvorfor I har behandlet deres data.
f. At de kan klage til Datatilsynet, hvis der er noget de vil klage over.
g. Hvor længe deres data bliver opbevaret.
h. At de kan få lov til at bekræfte eller slette deres personoplysninger.

Hvad gør du hvis du har forkerte data i din database?: Retter dem og gør andre du har delt disse data med opmærksomme på rettelserne.

Må en kunde bede om at få sine data slettet?: a. Ja, hvis de ikke gider stå i jeres kartotek
b. Ja, hvis de er blevet behandlet ulovligt
c. Ja, hvis det er data der ikke er brugbar til formålet.

En kunde vil have udleveret sine data fra os. Må jeg sende dem på en mail?: Nej, du må ikke sende kundedata med en e-mail. Det er alt for følsomme oplysninger, som sagtens kan blive opsnappet undervejs. Desuden vil oplysningerne stadig ligge i dine sendte mails.

Hvordan udleverer jeg bedst muligt kundens data?: Via et dataportabilitetsmedie.

Hvad er et dataportabilitetsmedie???

Hvem skal udlevere kundernes data?: Det skal den dataansvarlige for GDPR.

Jeg har ikke nået at opstille en plan for hvordan vi udleverer kundernes data på den bedst mulige måde. Hvad gør jeg?: Du laver en hurtigst muligt. Tag gerne fat i <ahref=”http://www.cima.dk/gdpr”>CIMA.dk, som kan hjælpe dig med at udarbejde en plan, samt opbevare dine kunders oplysninger sikkert og fortroligt.

Brud på datasikkerheden - Hvad gør du?

Hvor lang tid må der maksimalt gå fra du opdager et brud på datasikkerheden, til du gør Datatilsynet opmærksom på dette?: 72 timer

Hvad skal du skrive til Datatilsynet om bruddet?: a. Hvad der er sket.
b. Konsekvenserne af det, der er sket.
c. Hvor mange det går ud over.

Hvad skal den registrerede informeres om, hvis der er sket et brud?: a. Hvad der sandsynligvis kan ske som følge af bruddet.
b. Hvad du eller den dataansvarlige foreslår at gøre for at håndtere problemet.

Det er en god ide at opbevare en “impact assessment” konsekvensanalyse i tilfælde af at uheldet er ude. Hvad indeholder sådan en?: a. En generel beskrivelse af databehandlingsmetoder.
b. En evaluering af risici for de registrerede.
c. En beskrivelse af, hvilke metoder der er planlagt for at imødekomme risici, herunder sikkerhedsforanstaltninger og mekanismer til beskyttelse af persondata og dokumentation af overensstemmelse med forordningen. (eller kort sagt: Hvad I skal gøre for at mindske risikoen, samt hvordan I vil beskytte og opbevare data sikkert.