Persondata (GDPR) – hvad går det ud på?
Foråret 2018 markerede startskuddet til en ændring af måden vi behandler persondata.
De fleste har i dag hørt om “GDPR” og persondataforordningen, som er EU’s regelsæt, der skal beskytte privatpersoners persondata og retten til privatlivets fred.
Men hvad går det hele ud på? Og hvad betyder det for dig?
Vi har lavet en række videoer, der forklarer dig, hvordan du kommer godt i gang med arbejdet for at blive compliant.
Vil du læse om compliancearbejdet, har vi også beskrevet arbejdet trin for trin nedenfor.
Hvordan kommer jeg videre?
Vejen til at blive compliant er individuel, og der findes ikke en standard løsning, der passer alle. Derfor er det nødvendigt, at du sætter dig ind i virksomhedens individuelle situation, og selv aktivt overvejer, om der bør indarbejdes særlige tiltag.
Hent GDPR guiden
- Forstå reglerne på 10 minutter
- 7 trin til at blive compliant
- GDPR tjekliste
Forstå reglerne på 10 minutter
Trin for trin guide til at blive compliant
Fortegnelse
Det første du skal gøre er at kortlægge, hvilke data virksomheden har og hvor oplysningerne er opbevaret. Dette gør du ved at lave en såkaldt fortegnelse, også kaldet en “datamapping”, hvor du kortlægger alle de persondata virksomheden opbevarer.
Fortegnelsen har det overordnede formål at give et overblik over virksomhedens behandling af personoplysninger. Fortegnelsen skal som minimum indeholde oplysninger om:
- Hvem virksomheden behandler personoplysninger om,
- Hvilke personoplysninger virksomheden har,
- Hvor virksomheden opbevarer personoplysningerne,
- Formålet med virksomhedens behandling,
- Lovgrundlaget for behandlingen,
- Hvor personoplysningerne kommer fra,
- Den forventede opbevaringstid, og
- Hvem personoplysningerne videregives til, herunder hvilke kategorier af personoplysninger, der videregives til de forskellige modtagere.
Det er vores erfaring, at en grundigt udarbejdet fortegnelse danner det bedste udgangspunkt for det videre compliancearbejde. Vi anbefaler derfor, at du investerer en væsentlig mængde tid og energi i at undersøge og besvare ovenstående spørgsmål i fortegnelsen. Dette gør virksomhedens videre arbejde lettere og mere overskueligt.
Vi anbefaler, at fortegnelsen udarbejdes i et Excel ark, da Excel er et simpelt og universalt værktøj, som er velegnet til at danne et overblik. Der findes også andre digitale løsninger på markedet, der kan hjælpe dig med at udarbejde en fortegnelse – typisk mod betaling.
Når du har fået et overblik over virksomhedens persondata, er du klar til at gå videre til det næste trin.
Når de forskellige persondata er kortlagt i fortegnelsen (data mapping), skal der udfærdiges en risikoanalyse, interne og eksterne politikker, samt procedurer og kontroller for virksomhedens behandling af personoplysningerne.
Risikoanalyse
Du skal udfærdige en risikoanalyse for virksomhedens behandling af personoplysninger – er der en lav, mellem eller høj risiko for et databrud ved virksomhedens behandling af personoplysningerne? Analysen tager udgangspunkt i fortegnelsen fra det første trin, og analysen bør udarbejdes i dialog med virksomhedens IT-afdeling/ IT-mand.
Risikoanalysen er et værktøj, som du skal bruge, når der skal udarbejdes de interne tekniske og organisatoriske politikker, som skal være gældende i virksomheden. Med andre ord – du skal kende de risici og IT-svagheder virksomheden har, før du kan indføre tiltag, der mindsker risikoen for databrud.
Derudover skal du foretage en risikoanalyse af de databehandlere, som behandler personoplysninger for dig. Dette er med henblik på at vurdere, om det er sikkert, at persondata videregives til databehandleren samt klarlægge, hvor omfattende kontrollen af databehandleren skal være.
Den interne datapolitik
Den interne datapolitik er det regelsæt, som virksomheden forpligter sig til at følge, når virksomheden behandler personoplysninger.
Det betyder i praksis, at virksomheden skal lave et regelsæt for behandlingen af personoplysninger i virksomheden. Regelsættet skal udleveres til virksomhedens medarbejdere. Den interne datapolitik skal indeholde en beskrivelse af virksomhedens tekniske og organisatoriske regler og procedurer.
Interne datapolitikker kan variere fra virksomhed til virksomhed, og du skal derfor altid lave en individuel vurdering af, om de løsninger du har indarbejdet i virksomhedens interne datapolitik, er tilstrækkelige til at opfylde forordningens krav.
Den eksterne datapolitik
Hvis oplysninger om en person indsamles, skal der udleveres en række oplysninger om bl.a. virksomhedens kontaktoplysninger, formålene med indsamlingen, den registrerede persons rettigheder, modtagerne af oplysningerne, klageadgang m.v.
Datapolitikken skal skrives i et lettilgængeligt sprog, som virksomheden skal udlevere til de personer, som virksomheden behandler oplysninger om.
Ofte er der behov for at udarbejde flere forskellige datapolitikker, da datapolitikkens indhold vil variere afhængigt af, hvem (er det medarbejdere, kunder, samarbejdspartnere eller andre?) virksomheden behandler oplysninger om og til hvilket formål behandlingen sker.
Samtykke
Det er ikke alle typer persondata virksomheden må behandle uden at spørge den registrerede om lov først. Dette er typisk tilfældet, hvis virksomheden behandler “følsomme personoplysninger”. Du bør allerede have taget stilling til, om virksomheden behandler følsomme personoplysninger i fortegnelsen fra det første trin. Du bør også i første trin have undersøgt virksomhedens lovgrundlag for behandlingen. Såfremt virksomheden ikke har et lovgrundlag for behandlingen, må virksomheden anmode den registrerede om et samtykke, såfremt behandlingen i øvrigt findes saglig og nødvendig.
Derudover skal der i de fleste tilfælde udfærdiges en samtykkeerklæring til virksomhedens medarbejdere, hvis virksomheden bruger billeder af medarbejdere til markedsføring på internettet, eksempelvis på virksomhedens hjemmeside.
Det er meget vigtigt, at samtykket udformes korrekt, da det ellers ikke er gyldigt. Derfor anbefaler vi, at samtykket udfærdiges af en advokat.
Databehandleraftaler
Virksomheden skal have en databehandleraftale med de af virksomhedens samarbejdspartnere, hvor virksomheden overfører persondata til. Det kunne f.eks. være virksomhedens lønbureau eller det firma, der opbevarer eller laver backup af virksomhedens data.
For at undgå faldgruber anbefaler vi, at eksisterende databehandleraftaler gennemgås af en advokat. Skal der udfærdiges en ny databehandleraftale, er det vigtigt, at denne opfylder kravene i forordningen samt tager højde for, om virksomheden er dataansvarlig eller databehandler. Vi anbefaler derfor, at en advokat udfærdiger disse aftaler. Derudover skal sikkerheden være tilstrækkelig beskrevet, hvorfor det i mange tilfælde er nødvendigt, at der udfærdiges et bilag til aftalen om de tekniske krav til databehandleren, hvilket et IT-sikkerhedsfirma kan være behjælpelig med.
Som dataansvarlig skal du ligeledes kontrollere dine databehandlere. Dette skal typisk ske én gang om året, men afhænger bl.a. af mængden af persondata, databehandleren behandler for dig samt følsomheden heraf.
En kontrol af en databehandler vil typisk bestå i indhentelse og gennemgang af en ISAE3000 eller lignende erklæring, et fysisk kontrolbesøg hos databehandleren eller kontrol via en række spørgsmål til databehandleren samt indhentelse af dokumentation.
Har du spørgsmål til kontrol af databehandlere eller behov for hjælp til kontrol af databehandlere, er du meget velkommen til at kontakte os.
Undervisning
Det er derudover et krav i persondataforordningen, at virksomheden løbende underviser/træner medarbejdere i persondata og beskyttelse heraf. Denne del kan med fordel varetages af en advokat og/eller et IT-sikkerhedsfirma, så både de juridiske og sikkerhedsmæssige forhold blive formidlet til medarbejderne. Du kan læse mere om, hvordan vi kan hjælpe via dette link.
Har du brug for hjælp?
WTC advokaterne er godt klar over, at det ikke er nemt, hverken at forstå eller arbejde med persondataforordningen.
WTC advokaterne har specialiseret sig i persondatalovgivningen, og har allerede hjulpet mange både store og små virksomheder med at få helt styr på persondataforordningen.
Derfor tager vi gerne hånd om din virksomheds compliancearbejde.
