Ny datalovgivning træder i kraft den 25. maj! Bliv klar med Harba.
Den 25. maj 2018 træder ny datalovgivning fra EU i kraft. Det hedder GDPR, som står for General Data Protection Regulation. På dansk er det kendt som databeskyttelsesforordningen (så vi kalder det for det meste bare GDPR!) Dette blogindlæg handler om GDPR, og hvilke konsekvenser den nye lovgivning får for danske lystbådehavne. Da de fleste havne håndterer information om deres kunder, skal de forholde sig til de nye regler i GDPR, og sørge for at leve op til kravene.
Hvad handler GDPR om overordnet set?
Den danske persondatalov bliver erstattet af databeskyttelsesforordningen (GDPR), som træder i kraft den 25. maj 2018. GDPR er en opstramning af persondataloven som er mere tidssvarende i forhold til de mange digitale platforme, som virksomheder bruger nu om dage til at opbevare persondata. GDPR kommer fra EU og dækker alle borgere, virksomheder og offentlige institutioner i EU. Og det har prioritet over al persondatalovgivning der på nuværende tidspunkt er gældende i de enkelte EU lande.
Hvad er konsekvenserne for ikke at leve op til kravene i GDPR?
Virksomheder i EU som ikke lever op til kravene i GDPR efter 25. maj 2018 risikerer at få store bøder fra EU. Det er op til 4% af omsætningen eller 20 millioner Euro. Men det er svært at sige hvornår EU vil begynde at undersøge om enkelte virksomheder opfylder kravene, eller hvordan. Men under alle omstændigheder er det en god idé at opfylde kravene fra dag 1. Det gør vi i Harba.
Hvad er de vigtigste begreber i GDPR?
Det centrale begreb i GDPR er persondata. Det er data om privatpersoner, som kaldes de registrerede i forbindelse med lovgivningen. Persondata er navn, adresse, telefonnumre, cpr-numre, osv. Det næste begreb er særligt følsomme data (personoplysninger) som race, politisk overbevisning, fagforeningsmedlemskaber, helbredsoplysninger og lignende. Så de særligt følsomme oplysninger er mindre relevante for lystbådehavne, som typisk kun vil opbevare almindelige persondata.
De næste relevante begreber er den dataansvarlige og databehandleren. I samarbejdet mellem en lystbådehavn i Danmark og Harba, vil havnen være den dataansvarlige og Harba vil være databehandleren. Det er fordi at privatpersoner, sejlerne, har givet deres persondata til havnen i forbindelse med et medlemskab, for eksempel. Havnen som bruger HarbaApp eller HarbaMaster vil så opbevare de data i systemerne, og dermed er Harba databehandleren. Den dataansvarlige og databehandleren skal være enige om en databehandleraftale mellem de to parter. Harba har en sådan aftale klar, og vores HarbaMaster kunder vil modtage en mail med link til aftalen og mulighed for at godkende den.
Hvad er de vigtigste krav i GDPR?
De vigtigste krav som virksomheder skal opfylde i forbindelse med GDPR er:
- Persondata skal opbevares sikkert og de må ikke deles med andre virksomheder uden at de registrerede har sagt god for det først.
- Der skal indhentes samtykke fra de personer hvis data man opbevarer. Så havnekunderne skal sige god for at havnen opbevarer deres data, de skal være enige om hvordan det bliver gjort. Dette gøres typisk via en privatlivspolitik (Privacy Policy på engelsk) og en databehandleraftale. Se Harba’s privatlivspolitik her. Vi er i øjeblikket ved at opdatere den, så den lever op til kravene i GDPR.
- Virksomheder skal vide om de opbevarer data om børn, og skal indhente samtykke fra forældremyndighedsindehavere, hvis de gør det. Så man skal spørge om den registreredes alder, når man opbevarer deres data, og hvis den registrerede er under 16 år, skal forældrene (eller værgen) sige god for at barnets persondata bliver opbevaret.
- Den dataansvarlige og databehandleren skal begge have procedurer for at opdage, rapportere og undersøge brud på persondatasikkerheden. Så man skal have dokumenterede procedurer for hvordan man håndterer persondata.
- Hvis man bruger IT systemer til opbevaring af persondata, så skal de også opfylde de ovennævnte krav.
Hvad skal jeg som havnemester / havneansvarlig gøre for at opfylde GDPR?
- Som havnemester / havneansvarlig bør man i første omgang sætte sig ind i reglerne og kravene, og overveje hvilke dele af det overhovedet er relevante for havnen (se links til sidst i indlægget).
- Dernæst må man overveje hvilke persondata havnen opbevarer, og hvordan de bliver opbevaret, samt hvordan man indsamler nye kundeoplysninger i fremtiden.
- Havnen bør også oprette en privatlivspolitik som kunder skal acceptere, før deres data bliver opbevaret (eksisterende kunder skal også godkende politikken). Vi vil indenfor et par uger lave et nyt blogindlæg med en skabelon til en privatlivspolitik, som havne kan anvende.
- Havnens kunder skal kunne se hvilke data i har om dem. Så man skal have overblik over hvilke oplysninger man har, og sørge for at de opbevares sikkert.
- Havnens kunder skal kunne bede om at få slettet al persondata som havnen opbevarer om dem.
- Havnens kunder skal kunne bede om at få udleveret al persondata, som havnen opbevarer om dem, og få det overført til en anden virksomhed.
Hvad gør Harba for at opfylde GDPR?
- Harba har en privatlivspolitik som alle kunder skal godkende før vi opbevarer deres data. Vi er i øjeblikket ved at opdatere privatlivspolitikken så den lever op til GDPR.
- Når vi behandler data på vegne af en havn, så laver vi en databehandleraftale med havnen.
- Harba har udpeget Jens Vallø Christiansen som databeskyttelsesrådgiver (Data Protection Officer på engelsk). I er velkommen til at kontakte Jens på jens@harba.co med spørgsmål om GDPR. Bemærk at det ikke nødvendigvis er et krav for havne at udpege en DPO, men det kan være en god idé for de større havne, eller hvis havnen opbevarer store mængder persondata.
- Harba har tilpasset sine IT systemer så persondata opbevares sikkert, og så vi har overblik over hvad vi opbevarer og hvor.
- Harba har tilføjet funktionalitet til HarbaMaster så havne kan slette data om deres kunder, hvis kunden ønsker.
- Harba har tilføjet funktionalitet til eksport af data fra HarbaMaster, så kunder kan få udleveret deres data og dermed overføre det til en anden virksomhed.
- Harba har sikret at vores IT systemer lever op til de sikkerhedskrav der er for moderne cloud-baserede IT platforme.
Hvad gør man som HarbaMaster kunde for at opfylde GDPR?
Som HarbaMaster kunde skal man:
- Godkende Harba’s databehandleraftale
- Oprette en privatlivspolitik som kunder skal acceptere, før deres data bliver opbevaret (eksisterende kunder skal også godkende politikken). Vi vil indenfor et par uger lave et nyt blogindlæg med en skabelon til en privatlivspolitik, som havne kan anvende.
Så opfylder man kravene i GDPR for de data havnen opbevarer i HarbaMaster.
Hvis havnen også opbevarer persondata udenfor HarbaMaster, skal den havneansvarlige forholde sig til kravene i GDPR som beskrevet ovenfor.
Hvad gør man hvis man endnu ikke er HarbaMaster kunde?
Book et uforpligtende møde med Harba og hør om fordelene ved HarbaMaster, og hvordan vi kan tilpasse den perfekte løsning til din havn!
Links til mere information om GDPR:
- Vores samarbejdspartner E-conomic har en god side om GDPR: e-conomic.dk/gdpr . E-conomic er et online regnskabssystem, som er integreret med HarbaMaster.
- Datatilsynet: https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/ . Datatilsynet er den primære myndighed i Danmark når det kommer til datasikkerhed og opfyldelse af GDPR.
- Wikipedia: https://da.wikipedia.org/wiki/Persondataforordningen
- Europakommissionens GDPR hjemmeside: https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en
For en god ordens skyld skal det siges at dette indlæg ikke skal ses som juridisk vejledning, og Harba tager intet ansvar for eventuelle juridiske konsekvenser der kunne opstå, som følge af handlinger foretaget på baggrund af informationen i indlægget.