Event i november: NIS2-compliance i praksis med erfarne eksperter
1
For at kunne behandle personoplysninger skal du have lovligt behandlingsgrundlag. Det betyder kort sagt, at du er berettiget til at foretage databehandlingen. De lovlige behandlingsgrundlag er listet i databeskyttelsesforordningens artikel 6 og kan være fx samtykke, opfyldelse af kontrakt og legitim interesse. Du skal altid kunne redegøre for, at den databehandling, du foretager, er rimelig og relevant og dermed proportionel.
Lovligt behandlingsgrundlag har til formål at sikre, at personoplysninger ikke behandles uberettiget eller unødigt.
2
Ifølge databeskyttelsesforordningens artikel 30 er du forpligtet til at føre fortegnelse. En fortegnelse er en oversigt over de behandlingsaktiviteter i din organisations, hvor personoplysninger indgår. Både den dataansvarlige og databehandleren skal føre fortegnelse.
Formålet med en fortegnelse er at kunne påvise, at en given behandling overholder forordningens regler. Fortegnelseskravet er altså tænkt som et bidrag til den samlede dokumentation af, hvordan databeskyttelsesreglerne efterleves, og at den dataansvarlige tilegner sig det påkrævede overblik.
3
Den dataansvarliges oplysningspligt fremgår af databeskyttelsesforordningens artikel 13 og 14. Den indebærer, at organisationen skal oplyse, hvordan den registreredes personoplysninger behandles.
For at efterleve oplysningspligten kan organisationen udarbejde persondatapolitikker. En persondatapolitik skal være målrettet specifikke grupper af registrerede og må ikke være generelt udformet. I skal derfor udarbejde flere forskellige persondatapolitikker alt efter målgruppen.
4
En procedurebeskrivelse beskriver de fremgangsmåder, en medarbejder i jeres organisation skal følge, når vedkommende behandler personoplysninger.
Formålet med interne procedurebeskrivelser er, at organisationen skal leve op til lovgivningens krav og håndtere kravene på en effektiv og standardiseret måde. Procedurebeskrivelserne skal også reducere fejl og tidsspild, når I behandler personoplysninger.
I er forpligtede til at kommunikere procedurebeskrivelserne ud til jeres medarbejdere.
5
Som følge af persondataforordningen artikel 4 sondres der mellem dataansvarlige og databehandlere.
En databehandler er en fysisk eller juridisk person, offentlig myndighed mv. der behandler personoplysninger på vegne af den dataansvarlige.
Den dataansvarlige skal have overblik over alle dine databehandlere, og indgå databehandleraftaler med de virksomheder, som behandler personoplysninger på den dataansvarliges vegne.
Datatilsynet har udarbejdet en skabelon til en databehandleraftale som kan læses her.
6
Den dataansvarlige skal løbende føre tilsyn med sine databehandlere.
Kravene til tilsyn stiger i takt med, at databehandleren behandler flere oplysninger, at oplysningerne får en mere fortrolig og følsom karakter, og at behandlingen bliver mere indgribende. Jo større risici, der er ved behandlingen hos databehandlere, jo større krav stilles der til tilsyn med databehandleren.
Datatilsynet har udarbejdet en vejledning om tilsyn med databehandlere her. Vejledningen beskriver en vejledende risikovurdering af databehandlingen hos databehandleren, og dernæst hvordan den dataansvarlige skal føre tilsyn på baggrund af risikovurderingen.
7
Egenkontrol ved behandling af personoplysninger skal omfatte information om behandlingsaktiviteter, analyse og kontrol af overholdelse af databeskyttelsesforordningen med hensyn til organisationens behandlingsaktiviteter samt informere, rådgive og rette henstillinger til brug internt i organisationen.
Formålet med egenkontrol er at dokumentere organisationens overholdelse og efterlevelse af reglerne i databeskyttelsesforordningen.
Det er medarbejderne i organisationen der behandler personoplysningerne i det daglige. Intern awareness om persondatabehandling er derfor afgørende for, at reglerne i databeskyttelsesforordningen overholdes i praksis.
8
Ved at tage hensyn til de grundlæggende principper i databeskyttelsesforordningen, når organisationen udvikler nye, eller ændrer eksisterende, it-systemer, bliver det lettere for jer at efterleve reglerne i databeskyttelsesforordningen.
At indtænke databeskyttelse i it-systemer kaldes databeskyttelse gennem design (privacy by design), og et sådan krav følger direkte af databeskyttelsesforordningen.
Når I behandler personoplysninger, skal I træffe passende tekniske og organisatoriske foranstaltninger for at opfylde kravene i databeskyttelsesforordningen. Hvilke foranstaltninger, som er nødvendige, beror på oplysningernes karakter, mængden af oplysninger, formålet med behandlingen, og hvilke risici en behandling kan indebære for de registreredes rettigheder og frihedsrettigheder.
9
Fordelen ved en risikobaseret tilgang til valg af sikkerhedsforanstaltninger er, at den dataansvarlige skal vælge netop de foranstaltninger, som er relevante ud fra risici.
Formålet med risikovurderinger er at vurdere de aktuelle og relevante risici og for at efterse og sikre, at de implementerede sikkerhedsforanstaltninger afspejler risiciene. En risikobaseret tilgang skaber således en optimering af forbruget af ressourcer samtidig med at det skaber den røde tråd i sikkerheds- og dokumentationsarbejdet.
Genstanden for persondataforordningens risikovurderinger er de registreredes rettigheder og frihedsrettigheder. Der skal laves en vurdering af, hvilke risici organisationen som dataansvarlig udsætter kunder, medarbejdere og andre samarbejdspartnere i form af fysiske personer for.
Risikovurderingen skal indeholde konsekvensvurdering, trusselvurdering, sårbarhedsvurdering og et risikobillede, og udarbejdes efter behov.
Datatilsynet har udarbejdet en gratis skabelon til risikovurdering.
10
Den registreredes rettigheder følger af en række bestemmelser i persondataforordninger, og omfatter blandt andet ret til indsigt og ret til sletning.
Det er som udgangspunkt den dataansvarlige, som skal iagttage den registreredes rettigheder. En databehandler kan ikke tillægges selvstændigt ansvar for at iagttage rettighederne, men kan iagttage rettighederne på den dataansvarliges vegne.
Datatilsynet har udarbejdet vejledning om de registreredes rettigheder. Vejledningen beskriver de processuelle krav ved iagttagelse af de registreredes rettigheder, og hvordan den dataansvarlige skal håndtere henvendelser fra de registrerede.
Du kan producere og vedligeholde din GDPR-dokumentation manuelt. Alternativt kan du implementere et complianceværktøj, som automatiserer det hele. Når du lægger din GDPR-dokumentation ind i en software (som producerer al den dokumentation, du måtte mangle), kan du forenkle og digitalisere jeres arbejde med fortegnelser. Persondatapolitikker, procedurebeskrivelser, risikovurderinger, og juridiske dokumenter om IT-sikkerhed kan genereres på baggrund af simple spørgeskemaer. Det samme gælder henvendelser fra registrerede. Og endelig fører softwaren løbende tilsyn med jeres databehandlere og udfører jeres egenkontroller.
Udfyld formularen