GDPR: Eiere av små bedrifter må ta hensyn til dette

Spesielt små bedrifter er redde for GDPR - det er fare for alvorlige straffer for manglende overholdelse. I dette praktiske tipset lærer du de viktigste punktene du vil fortsette å drive selskapet ditt i samsvar med loven.

Implementere GDPR riktig - du som eier av en liten bedrift må ta hensyn til det

I utgangspunktet regulerer GDPR behandlingen av personopplysninger og berører derfor nesten alle selskaper uten unntak. Så snart du bruker kundedata til fakturering eller sender ut et nyhetsbrev, for eksempel, må du overholde bestemmelsene i den generelle databeskyttelsesforordningen.

• Først bør du få en oversikt over hvor personopplysninger blir samlet inn, lagret og behandlet i selskapet. Alle disse prosessene er relevante for implementering av GDPR.
• Når du implementerer GDPR, bør du overholde "Privacy by Design" -prinsippet. Dette betyr at du må designe prosessene for datainnsamling på en slik måte at bare de mest nødvendige dataene blir samlet inn fra starten. Hvis du for eksempel vil nå kundene dine via e-post, bør du ikke lagre telefonnummeret.
• Det skilles mellom sensitive og ikke-sensitive personopplysninger. Sensitive data vil være for eksempel medisinske data, politiske meninger, etnisk opprinnelse, religiøs tro eller seksuell legning. Personnummer inngår også i denne kategorien og trenger derfor spesiell beskyttelse. Du trenger også samtykke fra den registrerte for å få lov til å lagre disse dataene i det hele tatt.
• Generelt er det bare å lagre data som virkelig er nødvendige. Det må også være en gyldig grunn til at du oppbevarer disse dataene. Du trenger også uttrykkelig samtykke fra alle registrerte.
• Som gründer er du ansvarlig for sikkerheten til lagrede data. Så du må sørge for at de ikke kan bli stjålet eller i hendene på noen andre. Hvis du overfører data over Internett, må dette være kryptert. Hvis du i tillegg har kundedata lagret eller behandlet av eksterne selskaper, må du sørge for at disse såkalte bestillingsdataprosessorene også opptrer i samsvar med GDPR. Inngå derfor en kontrakt med din entreprenør som garanterer dette.
• Forsikre deg om at du kan slette disse dataene i tide eller på forespørsel fra vedkommende. Det er også viktig at dataene fra eksisterende sikkerhetskopier også forsvinner.

I det neste praktiske tipset lærer du hva nettstedsoperatører må vurdere når de implementerer GDPR.