Tilsyn med databehandler

Tilsyn med databehandler

Læs mere
GDPR - Sådan kommer du i gang

GDPR - Sådan kommer du i gang

Læs mere her
Forrige
Næste

GDPR - er DIN virksomhed klar?

Af Selskabsadvokaterne

Den 25. maj 2018 træder den nye databeskyttelsesfordning, som går under navnet GDPR, i kraft. Er din virksomhed klar til forordningen? Har I styr på processer, hvilke data I indsamler, samt hvordan I besvarer en indsigtsanmodning m.v.? 

Hvis ikke, så tag en dyb indånding og læs denne artikel, som indeholder gode råd til, hvad du skal gøre, og hvordan du skal gribe processen an. 

Husk, det vigtigste er, at I, i virksomheden, får en sund kultur omkring behandling af personoplysninger - hvilket for de fleste virksomheder vil indebære et brud med hidtidig adfærd, hvor personoplysninger er delt og indhentet i et unødvendigt omfang. GDPR er godt, og brug det som et aktivt værktøj til at sætte gang i en ny og korrekt behandling/opbevaring af personoplysninger - det er i alles interesse

GDPR - Hvad er det egentlig?

Som beskrevet, er GDPR en betegnelse for databeskyttelsesforordningen, som træder i kraft den 25. maj 2018. Forordningen sætter regler for, i hvilket omfang og under hvilke betingelser, du må behandle personoplysninger, herunder på dine medarbejdere, kunder m.v. Forordningen er vedtaget i EU, og indholdet i den har direkte virkning i medlemslandene, herunder Danmark. 

Forordningen indeholder på en række punkter mulighed for, at det enkelte medlemsland kan lave særregler. I Danmark er der den 25. oktober 2017 fremsat forslag om særregler i Danmark. Lovgivningsprocessen kører stadig, og det forventes, at lovforslaget bliver endeligt vedtaget den 17. maj 2018.

Det er derfor vigtigt, at du allerede nu er opmærksom på, at særreglerne i Danmark endnu ikke er vedtaget, og at du, hvis lovforslaget vedtages den 17. maj 2018, måske skal foretage ændringer af dine nuværende processer i forhold til GDPR.  

Bliv klar til den 25. maj 

Du har formentlig hørt en masse om GDPR allerede nu - det er svært at undgå. Du er sikkert også opmærksom på, at manglende efterlevelse af GDPR-reglerne fra den 25. maj 2018 kan koste din virksomhed dyrt! 

Men, hvordan bliver du så klar? Hvad skal du gøre? Det kan virke som en stor jungle at blive klar, og der er mange virksomheder, der tilbyder dig en hurtig løsning til billige penge - det er dog langt fra altid den bedste løsning! 

Formålet med forordningen er at beskytte det enkelte individs personoplysninger - altså dine og mine personoplysninger i form af navn, adresse, e-mailadresse, IP-adresse m.v.

Købet af en standardløsning vil ikke ændre på, om du har den fornødne tekniske og organisatoriske sikkerhed ved behandling af personoplysninger. Standardløsningen vil endvidere ikke give dig en løsning på, hvordan I fremadrettet sikrer jer, hvilke personoplysninger I kan behandle, eller hvor disse arkiveres. Standardløsningen vil måske give dig en falsk tryghed for, at du har styr på tingene - men skal din virksomhed opfylde GDPR-reglerne, er du nødsaget til at inddrage dine medarbejdere og grave meget dybere. 

Det er vigtigt at understrege, at der ikke findes en manual for, hvordan man skal gribe GDPR an. Nedenstående er dog nogle enkle råd til, hvordan din virksomhed håndterer GDPR og når i mål - eller tæt på - inden 25. maj 2018. 

Step 1: Klarlæg dataflow for hver afdeling for sig

- Hvilke data modtages i hver enkelt afdeling, og hvorfra kommer disse

- Hvortil sender I data, og hvorfor (f.eks. til SKAT) 

- Tag udgangspunkt i en sædvanlig arbejdsdag, og tænk hele dagens processer igennem. Alternativt er det en god idé at gøre sig de første overvejelser nu, og bede dine medarbejdere om at tænke persondata og håndtering af disse ind i deres arbejdsdag - du vil blive overrasket over, hvor meget "nyt" det giver, når medarbejderne pludselig fokuserer på behandling af personoplysninger i deres hverdag.

Step 2: Forhold dig til jeres dataflow

- Forhold jer til, hvilke personoplysninger I indsamler, og om I anvender data til det aftalte formål? 

- Er alle de indsamlede personoplysninger nødvendige? 

- Lav en plan for, hvordan personoplysningerne bør opbevares, samt hvem der bør have adgang til dem. 

- Udarbejd retningslinjer for indsamling og behandling af personoplysninger samt sletning heraf. 

Step 3: Indgå databehandleraftaler

Stort set alle virksomheder benytter sig af andre leverandører, f.eks. IT-leverandør, systemleverandør m.v. Hvis en leverandør har adgang til personoplysninger, og har til formål at foretage behandling heraf (f.eks. opbevaring), skal du med overvejende sandsynlighed indgå en databehandleraftale med leverandøren. 

Det er vigtigt, at I forholder jer til, hvem I skal indgå databehandleraftaler med, og får disse på plads inden 25. maj 2018.

Datatilsynet har lavet sit forslag til en databehandleraftale, som du kan finde her: https://www.datatilsynet.dk/hvad-siger-reglerne/grundlaeggende-begreber/hvornaar-gaelder-databeskyttelsesforordningen-

Step 4: Proces for håndtering af henvendelse fra en registreret

Lav en proces for, hvordan din virksomhed håndterer en henvendelse fra en registreret, f.eks. en kunde. Hvem tager sig af henvendelsen? Hvem sørger for at svare kunden? 

Gode råd

Der findes en række gode værktøjer til at hjælpe dig i mål med GDPR. 

På Datatilsynets hjemmeside ligger en række vejledninger til forordningen. Disse kan findes her: https://www.datatilsynet.dk/

 

 

Derudover har Datatilsynet sammen med Erhvervsstyrelsen lavet en test, der kan oplyse dig om, hvor klar din virksomhed er til GDPR. 

Testen kan du finde her: 

https://startvaekst.virk.dk/privacykompasset/opfylder-I-jeres-dataansvar

 

Stadig i tvivl?

Hos SelskabsAdvokaterne ApS er vi specialister i håndtering af personoplysninger, herunder hvordan din virksomhed opfylder GDPR-reglerne. Du er altid velkommen til at kontakte os for en uformel drøftelse omkring GDPR og personoplysninger. Vi kan kontaktes på tlf. 45 23 00 10 eller mailadressen: advokat@selskabsadvokaterne.dk

 

Morten Hammer

Senioradvokat

45 23 00 10
eller vi kan kontakte dig senere
Ring mig op

Tilmeld dig vores nyhedsbrev her

GDPR: Hvad gør du med personoplysninger på ansøgere, der ikke blev ansat?

Du kender det helt sikkert – glæden og lettelsen ved at fået ansat en ny dygtig medarbejder efter et ...»

GDPR: Billeder af tidligere medarbejder i markedsføringsvideo udløste kritik og påbud om sletning fra Datatilsynet

En tidligere medarbejder på et apotek opdagede efter, at hun ikke længere var ansat på apoteket, at hun ...»

GDPR

GDPR Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske ...»

Selskabsadvokaterne