Kom godt i gang med GDPR

• Kunder? Kilder? Samarbejdspartnere? Cases? Andre?
• Vær opmærksom på, hvis du handler med enkeltmandsvirksomheder, at virksomhedens oplysninger kan sidestilles med personoplysninger, eftersom man ikke kan skille personen ud fra virksomheden. Til gengæld er oplysninger om myndigheder eller andre typer virksomheder som ApS eller A/S ikke omfattet.

• Første gang du håndterer oplysninger, skal du være sikker på, at du har ret til at behandle oplysninger. Enten via samtykke, aftale, lovgivning, eller fordi du har en berettiget interesse.
• Hvis du skal indhente samtykke, er det vigtigt, at du får det skriftligt. Se mere om samtykke her 

• Er du den eneste, der har adgang til ovennævnte data — og er det forsvarligt sikret? Har du eksempelvis ringbind med kunde- eller kildeinformationer stående frit fremme, så andre kan bladre i dem (no-go), eller har du sikret dine arkiver med lås eller password?
• Har du sikret dig, at uvedkommende ikke har adgang til din computer — og dermed personoplysninger?

• Som omtalt i punktet om adgang til data er det vigtigt at sikre, at ingen uvedkommende har adgang til de data, der bliver behandlet og opbevaret.
• Hvis en tredjepart behandler personoplysninger på dine vegne, skal der udarbejdes en databehandleraftale. Det kan eksempelvis være, hvis virksomheden benytter regnskabsprogrammer, cloudopbevaring, Skype mm. Aftalen skal sikre, at de data, virksomheden leverer til dem, bliver behandlet sikkert.
• Vær særligt opmærksom, hvis du udleverer persondata med internationale organisationer eller såkaldte tredjelande (Et tredjeland er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge)). Det kan eksempelvis være, hvis du opbevarer dokumenter i en cloudtjeneste eller uploader billeder til en database, der er baseret i et tredjeland.

Virksomheden skal kunne redegøre for, hvorfor den behandler og opbevarer persondata. Der skal være en saglig og lovlig grund til, at data skal behandles. Du kan altså ikke bare indsamle og opbevare data ”for en sikkerheds skyld”.

• Persondata må ikke opbevares længere, end der er en saglig grund til, og derefter skal oplysningerne slettes. Det gælder eksempelvis også oplysninger, der kan ligge i mailsystemet, arkiver og lign.
• Det betyder dog ikke, at alt skal slettes med det samme, du ikke længere interagerer med en kunde eller samarbejdspartner. Du kan have en berettiget interesse i at gemme oplysninger, fx til brug for reklamationsret eller for at kunne overholde din oplysningspligt overfor eksempelvis SKAT. 
• Det kan også ske, at oplysningerne kan være ophavsretligt beskyttet, og derfor har du en saglig grund til at gemme det.

• Virksomheden skal udarbejde en politik omkring, hvordan ovenstående punkter håndteres.
• Virksomheden skal også have en handlingsplan for, hvordan alle data om en person findes frem, hvis vedkommende ønsker at få rettet eller slettet persondata om sig selv.

• Med den nye databeskyttelsesforordning følger også et anmeldelseskrav til Datatilsynet, hvis udefrakommende får adgang til de persondata, som virksomheden opbevarer. Eksempelvis gennem tyveri eller hackerangreb. I udgangspunktet skal alle brud på persondatasikkerheden anmeldes med mindre, det er usandsynligt, at der kan være en risiko for personers rettigheder eller frihedsrettigheder, hvis der ikke sker anmeldelse. Anmeldelsen skal ske digitalt hos datatilsynet.dk. Anmeldelsen skal ske uden unødvendig forsinkelse og om muligt senest 72 timer efter hændelsen.
• Det kan også ske, at der bliver sendt en mail med personfølsomme oplysninger til en forkert mail. Det er også et brud på sikkerheden.