GDPR gælder også for lager- og logistikbranchen
#### Hvad er meningen med GDPR, og hvorfor skal virksomheder nu bruge tid på at vide noget om det? Det er gode spørgsmål, som afføder nogle endnu bedre svar.
Når kalenderen siger d. 25. maj 2018, træder den nye databeskyttelsesforordning i kraft. Den stiller en lang række krav til hvordan virksomheder opbevarer og beskytter personlige data på kunder og ansatte. Lager- og logistikbranchen går naturligvis ikke fri af at overholde de nye regler, så vigtigheden af at få styr på GDPR nu, bliver kun højere jo tættere vi kommer på skæringsdatoen.
GDPR er en forkortelse af General Data Protection Regulations, og gælder for alle virksomheder, der håndterer data om EU-borgere. Det gælder altså også for virksomheder, som holder til i et ikke-EU-land.
Det er umuligt at tænke sig en hvilken som helst dansk virksomhed, der ikke opbevarer personlige data i en eller anden form. Det er ligeledes svært at forestille sig en virksomhed i lager- og logistikbranchen, der ikke også benytter et system til at knytte virksomhedens forskellige arbejdsprocesser sammen. Et sådan system vil uundgåeligt indeholde en mængde data om kunder, virksomhedens ansatte eller leverandører. Dette gør at GDPR bør være top of mind hos alle med ansvar for data, især i den næste par måneder, hvis man skal nå at leve op til kravene, der træder i kraft d. 25. maj.
Det kan betale sig at have styr på GDPR, da misligholdelse af data kan resultere i meget høje straffe. Ved grelle misligholdelser af databeskyttelsesforordningen kan en virksomhed blive dømt til at betale bøder på op til 4% af virksomhedens globale omsætning - eller helt op til 20 millioner euro!
Hvilke typer data er persondata?
Al data, der kan føres tilbage til en specifik person, er persondata. Dvs. at eksempelvis navn, e-mail-adresse, lokation, bank-informationer, cookies og IP-adresser hører ind under begrebet persondata.
Hvad det kræver af virksomheden
Håndterer virksomheden førnævnte persondata, er det vigtigt at IT og processer er på plads.
Først og fremmest er det vigtigt, at virksomheden beskriver præcis hvor og hvordan persondata indsamles, opbevares og anvendes. Derudover kræves der også, at der udarbejdes datapolitikker og -processer for hvordan data håndteres. Disse skal opfylde de nye krav. Brug af ERP-, CRM- eller andre systemer, som fx et CMS, der kan gemme persondata, skal også beskrives i virksomhedens plan.
Dertil skal personer, der gemmes data om, have kontrol over deres data. Det skal altså være transparent for de berørte personer, hvordan de får indsigt i egen data, hvad virksomheden bruger persondata til, samt viden om hvordan og hvornår data slettes igen.
En definition af arbejdsprocesser, beskrivelser af procedurer, brug, opbevaring og løbende overvågning af persondata og selvfølgelig IT-systemernes sikkerhed, skal dermed være på plads, for at virksomheden kan være klar til når GDPR træder i kraft. Men det er ikke bare klaret med det, for datapolitikker skal løbende justeres og revideres, og det kan i visse tilfælde være nødvendigt også at udnævne eller ansætte en Data Protection Officer.
