Af Jakob Klint Hee

Den 25. maj 2018 blev databeskyttelsesforordningen – også kaldet GDPR – gældende.

Efter 6 år med GDPR er der stadig mange virksomheder, som ikke har styr på forordningens krav og processer.

Ved I, hvordan I håndterer jeres processer og behandlingsaktiviteter, hvilke personoplysninger I indsamler, og hvordan I imødekommer jeres kunders anmodninger om f.eks. indsigt og sletning m.v.?

Hvis ikke, så træk vejret dybt og læs denne artikel, som giver gode råd til, hvad I skal gøre, og hvordan I skal komme i mål.

Husk, at det vigtigste er, at I får en god kultur omkring behandling af personoplysninger i virksomheden – hvilket for nogle virksomheder vil kræve et opgør med tidligere praksis, hvor personoplysninger er delt og indhentet i et overdrevent omfang. GDPR er alt andet lige et positivt tiltag fra EU, så brug det som et aktivt redskab til at beskytte jeres privatliv.

I har sandsynligvis hørt meget om GDPR allerede nu – det er svært at komme udenom. I er nok også klar over, at manglende overholdelse af GDPR-reglerne kan blive en dyr fornøjelse for din virksomhed!

Men, hvordan bliver I så compliant? Hvad skal I gøre? Det kan synes som en stor udfordring at komme i mål, og der er mange virksomheder, som tilbyder en hurtig løsning til lave priser – det er dog vores erfaring, at det sjældent er den bedste løsning.

Købet af en standardløsning vil ikke ændre på, om du har den nødvendige tekniske og organisatoriske sikkerhed ved behandling af personoplysninger. Standardløsningen vil heller ikke give dig en løsning på, hvordan I fremover sikrer jer, hvilke personoplysninger I må behandle, eller hvor disse gemmes. Standardløsningen vil måske give dig en falsk følelse af tryghed samt illusionen af, at der er styr på tingene – men for at jeres virksomhed skal leve op til GDPR-reglerne, er I nødt til at involvere medarbejdere og gå meget mere i dybden.

Inden du læser videre, er det derfor vigtigt at understrege, at der ikke findes en opskrift på, hvordan man skal håndtere GDPR. Nedenstående er dog et forsøg herpå og giver jer således råd til, hvordan jeres virksomhed takler GDPR og når målet:

Step 1: Dataflowanalysen – Klarlæg dataflow for hver afdeling for sig

–          Hvilke personoplysninger modtages i hver enkelt afdeling, og hvorfra kommer disse?

–          Hvortil sender I personoplysninger, og hvorfor?

–          Tag udgangspunkt i en sædvanlig arbejdsdag, og tænk hele dagens arbejdsprocesser igennem. Alternativt er det en god idé at gøre sig de første overvejelser nu, og bede dine medarbejdere om at tænke persondata og håndtering af disse ind i deres arbejdsdag – du vil blive overrasket over, hvor meget “nyt” det giver, når medarbejderne pludselig fokuserer på behandling af personoplysninger i deres hverdag.

Step 2: Interne og eksterne dokumenter – Forhold dig til jeres dataflow

–          Forhold jer til, hvilke personoplysninger I indsamler, og om I anvender data til det aftalte formål med kunden, medarbejderen              samarbejdspartneren mv.

–          Er alle de indsamlede personoplysninger nødvendige?

–          Lav en plan for, hvordan personoplysningerne bør opbevares, samt hvem der bør have adgang til dem.

–          Udarbejd fortegnelser over jeres behandlingsaktiviteter på baggrund af step 1. Udarbejd retningslinjer for indsamling og behandling af personoplysninger samt sletning heraf. Læs mere her.

–          Udarbejd en privatlivspolitik hvor I oplyser omverdenen om jeres behandlingsaktiviteter, behandlingsgrundlag, kontaktoplysninger. En sammenskrevet light fortegnelse, der kan tåle offentlighedens skue. Det er jeres udstillingsvindue, så brug tid på den. Læs mere om den gode privatlivspolitik her.

Step 3: Databehandlere eller selvstændigt dataansvarlig – Indgå databehandleraftaler

–          Stort set alle virksomheder benytter sig af andre leverandører, f.eks. IT-leverandør, systemleverandør m.v. Hvis en leverandør har adgang til personoplysninger, og har til formål at foretage behandling heraf (f.eks. opbevaring), skal du med overvejende sandsynlighed indgå en databehandleraftale med leverandøren.

–          Det er vigtigt, at I forholder jer til, hvem I skal indgå databehandleraftaler med, og får disse på plads på baggrund af jeres dataflowanalyse.

–          Indhent eller udarbejd databehandleraftaler.

–          Datatilsynet har lavet sit forslag til en databehandleraftale, som du kan finde her. I flere tilfælde vil databehandleren selv have offentliggjort en databehandleraftale på deres hjemmeside eller kan sendes på forespørgsel via mail til databehandleren.

Step 4: Rettigheder – Proces for håndtering af henvendelse fra en registreret

–          Lav en proces for, hvordan din virksomhed håndterer en henvendelse fra en registreret, f.eks. en kunde. Hvem tager sig af henvendelsen? Hvem sørger for at svare kunden?

Stadig i tvivl?

SelskabsAdvokaterne er eksperter i databeskyttelse. Ring eller skriv til os for en uformel snak om GDPR og hvordan I kommer i mål med GDPR-reglerne. Vores nummer er 45 23 00 10 og vores mail er advokat@selskabsadvokaterne.dk