GDPR gælder for alle
GDPR er en forordning, som gælder for alle. Det betyder altså, at alle skal efterleve forordningen.
Kravene til hvad der kræves kan dog variere.
Tag GDPR-testen
Hvis en virksomhed eller en forening behandler personoplysninger, eksempelvis opbevaring af e-mailadresser online, skal dette registreres. Det kaldes altså for registrering af behandlingsaktiviteter.
Alle der har et CVR-nummer skal altså registrere behandlingen af personoplysninger. Det kan gøres ved at notere i et system, hvilke oplysninger virksomheden eller foreningen behandler, hvilket formål behandlingen har og hvem behandlingen vedrører.
Svaret på om GDPR gælder for dig findes altså i, om du har et CVR-nummer for din virksomhed eller forening.
Foruden registrering af behandlingsaktiviteter skal virksomheder og foreninger også lave fortegnelser over behandlingsaktiviteter.
Undtagelser
Nogle virksomheder og foreninger kan være undtaget for at lave fortegnelser. Det er dog i sjældne tilfælde, hvor man kan sige ja til følgende:
- Behandlingen af personoplysninger sker kun lejlighedsvis
- Behandlingen omfatter kun almindelige personoplysninger
- Organisationen har færre end 250 ansatte
- Behandlingen medfører ikke en risiko for rettighederne for den som behandlingen vedrører
Vær især opmærksom på, at de fleste behandlinger af personoplysninger ikke er lejlighedsvise. Personaleadministration og kontingentbetaling er ikke lejlighedsvise, fordi oplysningerne opbevares hele tiden.