10 væsentlige GDPR-pointer - og krav virksomheder skal leve op til:

• Databeskyttelsesforordningen trådte i kraft den 25. Maj 2018. Samtidig blev den tidligere danske persondatalov ophævet.
• Virksomheder skal informere de registrerede (dvs. alle personer, der har afgivet oplysninger til jeres virksomhed – fx kunder og medarbejdere) om indsamling, behandling og opbevaring af personoplysninger.
• Registrerede har krav på indsigt i og berigtigelse af de oplysninger, der behandles.
• Der er skærpede krav til samtykke fra den registrerede, når der er tale om behandling af oplysninger om medarbejdere eller jobansøgere.
• Der er øgede dokumentationskrav til at personoplysninger behandles i overensstemmelse med reglerne i databeskyttelsesforordningen.
• Der stilles krav om, at personoplysninger skal beskyttes ved en sikkerhedspolitik med tekniske, organisatoriske foranstaltninger fx retningslinjer og regler, der vedrører tilgang og viden om data. Foranstaltningerne skal være passende i forhold til risikoen for de registrerede ved behandlingen af personoplysninger.
• Der er fastsat et højt bødeniveau for overtrædelse af lovgivningen eller ved konkrete sikkerhedsbrud.
• Der er krav om Privacy by design ved udvikling af nye systemer. Det betyder, at der allerede i forberedelsesfasen skal tages stilling til, hvordan systemerne kan udvikles med bedst mulig privatlivsbeskyttelse.
• Hvis behandlingen af personoplysninger indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal der foretages en konsekvensanalyse.
• Alle offentlige myndigheder skal udpege en databeskyttelsesansvarlig (DPO). I private virksomheder skal der kun udpeges en DPO hvis:

1. Virksomheden har behandling af personoplysninger i et stort omfang som kerneaktivitet
2. Behandlingen af personoplysninger består i regelmæssig og systematisk overvågning af personer
3. Behandlingen vedrører følsomme oplysninger – herunder oplysninger om helbred, fagforeningsforhold, strafbare forhold eller andre følsomme oplysninger.