Det følger af GDPR reglerne, at man som virksomhed er forpligtet til at vedtage passende organisatoriske og IT-sikkerhedsmæssige tiltag for at beskytte såvel egne som kunders persondata.
Men i forhold til GDPR reglerne er det ikke tilstrækkeligt at vedtage passende tiltag – medarbejderne på virksomheden skal også kende disse tiltag for at kunne efterleve dem.
Derfor kan du med stor fordel udarbejde en organisatorisk datapolitik til medarbejderne på virksomheden, som giver medarbejderne et samlet overblik over og samtidig dermed dokumentation for, hvilke regler, der gælder på virksomheden. Samtidig er den organisatoriske datapolitik også en værdifuld hjælp i dagligdagen til medarbejderne, så de ved hvor de kan finde vigtig information, når de skal kunne forholde sig til konkrete situationer.
Datapolitikken bør i følge GDPR reglerne også indeholde en oversigt over og en gennemgang af indholdet af de relevante definitioner med afsæt i persondataforordningens definitioner, som man som medarbejder skal kunne søge vejledning i, når man læser eller slår op i politikken. Oversigten er udarbejdet med afsæt i persondataforordningens definitioner.
Virksomhedens organisatoriske datapolitik bør indeholde alle relevante informationer om:
Baggrund og formål Gennemgang af formålet med politikken og virksomhedens forpligtelser efter persondataforordningen og databeskyttelsesloven.
|
Definitioner Med afsæt i persondataforordningens definitioner forklares indholdet af begreberne klart og tydeligt og på en helt enkelt måde. |
Dataansvaret overfor kunder Gennemgang af virksomhedens dataansvar overfor kunder generelt og i forhold til de registreredes rettigheder, håndtering af forskellige typer af persondata samt regler om dataminimering.
|
Brud på datasikkerheden Gennemgang af hvad et databrud er, hvordan det håndteres og hvordan den enkelte medarbejder skal forholde sig. |
Virksomhedens dataansvar overfor de ansatte Gennemgang af medarbejdernes rettigheder og af, hvordan uopfordrede jobansøgninger håndteres.
|
Brug af databehandlere Kortlægning af, hvilke databehandlere, virksomheden har, vigtigheden af, at der indgås databehandleraftaler og håndtering af evt. nye databehandlere, som der skal indgås databehandleraftaler med.
|
Fysiske dokumenter Fastlæggelse af, hvordan fysiske dokumenter opbevares på arkiv og i den daglige sagsbehandling samt, hvordan dokumenterne destrueres. |
Grundlæggende IT-sikkerhed Gennemgang af, hvordan virksomheden beskytter data, som er gemt, og hvordan man forholder sig ved modtagelse af data, som ikke skal gemmes/ikke må gemmes. Fastlæggelse af, hvordan nye programmer og USB-disks skal behandles, hvordan hacker/virusangreb håndteres samt fastlæggelse af virksomhedens password politik.
|
Opfølgning og undervisning Gennemgang af, hvordan virksomhedens ledelse løbende vil følge op på udbredelsen af politikken og fastlæggelse af krav til medarbejderne om at prioritere området højt.
|
Spørgsmål Oplysning om, hvem medarbejderne kan henvende sig til med spørgsmål om den organisatoriske datapolitik. |
Har du behov for hjælp?
Hos SelskabsAdvokaterne er vi specialister i håndtering af personoplysninger, herunder hvordan din virksomhed lever op til GDPR-reglerne. Du er altid velkommen til at kontakte os for en uformel drøftelse omkring GDPR og personoplysninger.