Siden 2018 har alle virksomheder og organisationer skulle efterleve databeskyttelsesforordningen – også kaldet GDPR. Det betyder, at alle virksomheder og organisationer, som indsamler og anvender personoplysninger, skal følge disse regler for beskyttelse og behandling af data.
1. Lovligt behandlingsgrundlag
For at kunne behandle personoplysninger skal du have lovligt behandlingsgrundlag. Det betyder kort sagt, at du er berettiget til at foretage databehandlingen. De lovlige behandlingsgrundlag er listet i databeskyttelsesforordningens artikel 6 og kan være fx samtykke, opfyldelse af kontrakt og legitim interesse. Du skal altid kunne redegøre for, at den databehandling, du foretager, er rimelig og relevant og dermed proportionel.
Lovligt behandlingsgrundlag har til formål at sikre, at personoplysninger ikke behandles uberettiget eller unødigt.
2. Fortegnelser
Ifølge databeskyttelsesforordningens artikel 30 er du forpligtet til at føre fortegnelse. En fortegnelse er en oversigt over de behandlingsaktiviteter i din organisations, hvor personoplysninger indgår. Både den dataansvarlige og databehandleren skal føre fortegnelse.
Formålet med en fortegnelse er at kunne påvise, at en given behandling overholder forordningens regler. Fortegnelseskravet er altså tænkt som et bidrag til den samlede dokumentation af, hvordan databeskyttelsesreglerne efterleves, og at den dataansvarlige tilegner sig det påkrævede overblik.
3. Persondatapolitikker
Den dataansvarliges oplysningspligt fremgår af databeskyttelsesforordningens artikel 13 og 14. Den indebærer, at organisationen skal oplyse, hvordan den registreredes personoplysninger behandles.
For at efterleve oplysningspligten kan organisationen udarbejde persondatapolitikker. En persondatapolitik skal være målrettet specifikke grupper af registrerede og må ikke være generelt udformet. I skal derfor udarbejde flere forskellige persondatapolitikker alt efter målgruppen.
4. Interne procedurebeskrivelser
En procedurebeskrivelse beskriver de fremgangsmåder, en medarbejder i jeres organisation skal følge, når vedkommende behandler personoplysninger.
Formålet med interne procedurebeskrivelser er, at organisationen skal leve op til lovgivningens krav og håndtere kravene på en effektiv og standardiseret måde. Procedurebeskrivelserne skal også reducere fejl og tidsspild, når I behandler personoplysninger.
I er forpligtede til at kommunikere procedurebeskrivelserne ud til jeres medarbejdere.
5. Databehandlere og databehandleraftaler
Som følge af persondataforordningen artikel 4 sondres der mellem dataansvarlige og databehandlere.
En databehandler er en fysisk eller juridisk person, offentlig myndighed mv. der behandler personoplysninger på vegne af den dataansvarlige.
Den dataansvarlige skal have overblik over alle dine databehandlere, og indgå databehandleraftaler med de virksomheder, som behandler personoplysninger på den dataansvarliges vegne.
Datatilsynet har udarbejdet en skabelon til en databehandleraftale som kan læses her.
6. Kontrol med databehandlere
Den dataansvarlige skal løbende føre tilsyn med sine databehandlere.
Kravene til tilsyn stiger i takt med, at databehandleren behandler flere oplysninger, at oplysningerne får en mere fortrolig og følsom karakter, og at behandlingen bliver mere indgribende. Jo større risici, der er ved behandlingen hos databehandlere, jo større krav stilles der til tilsyn med databehandleren.
Datatilsynet har udarbejdet en vejledning om tilsyn med databehandlere her. Vejledningen beskriver en vejledende risikovurdering af databehandlingen hos databehandleren, og dernæst hvordan den dataansvarlige skal føre tilsyn på baggrund af risikovurderingen.
7. Løbende egenkontrol og intern awareness
Egenkontrol ved behandling af personoplysninger skal omfatte information om behandlingsaktiviteter, analyse og kontrol af overholdelse af databeskyttelsesforordningen med hensyn til organisationens behandlingsaktiviteter samt informere, rådgive og rette henstillinger til brug internt i organisationen.
Formålet med egenkontrol er at dokumentere organisationens overholdelse og efterlevelse af reglerne i databeskyttelsesforordningen.
Det er medarbejderne i organisationen der behandler personoplysningerne i det daglige. Intern awareness om persondatabehandling er derfor afgørende for, at reglerne i databeskyttelsesforordningen overholdes i praksis.
8. IT-sikkerhed
Ved at tage hensyn til de grundlæggende principper i databeskyttelsesforordningen, når organisationen udvikler nye, eller ændrer eksisterende, it-systemer, bliver det lettere for jer at efterleve reglerne i databeskyttelsesforordningen.
At indtænke databeskyttelse i it-systemer kaldes databeskyttelse gennem design (privacy by design), og et sådan krav følger direkte af databeskyttelsesforordningen.
Når I behandler personoplysninger, skal I træffe passende tekniske og organisatoriske foranstaltninger for at opfylde kravene i databeskyttelsesforordningen. Hvilke foranstaltninger, som er nødvendige, beror på oplysningernes karakter, mængden af oplysninger, formålet med behandlingen, og hvilke risici en behandling kan indebære for de registreredes rettigheder og frihedsrettigheder.
9. Risikovurderinger
Fordelen ved en risikobaseret tilgang til valg af sikkerhedsforanstaltninger er, at den dataansvarlige skal vælge netop de foranstaltninger, som er relevante ud fra risici.
Formålet med risikovurderinger er at vurdere de aktuelle og relevante risici og for at efterse og sikre, at de implementerede sikkerhedsforanstaltninger afspejler risiciene. En risikobaseret tilgang skaber således en optimering af forbruget af ressourcer samtidig med at det skaber den røde tråd i sikkerheds- og dokumentationsarbejdet.
Genstanden for persondataforordningens risikovurderinger er de registreredes rettigheder og frihedsrettigheder. Der skal laves en vurdering af, hvilke risici organisationen som dataansvarlig udsætter kunder, medarbejdere og andre samarbejdspartnere i form af fysiske personer for.
Risikovurderingen skal indeholde konsekvensvurdering, trusselvurdering, sårbarhedsvurdering og et risikobillede, og udarbejdes efter behov.
Datatilsynet har udarbejdet en gratis skabelon til risikovurdering.
10. Registreredes rettigheder
Den registreredes rettigheder følger af en række bestemmelser i persondataforordninger, og omfatter blandt andet ret til indsigt og ret til sletning.
Det er som udgangspunkt den dataansvarlige, som skal iagttage den registreredes rettigheder. En databehandler kan ikke tillægges selvstændigt ansvar for at iagttage rettighederne, men kan iagttage rettighederne på den dataansvarliges vegne.
Datatilsynet har udarbejdet vejledning om de registreredes rettigheder. Vejledningen beskriver de processuelle krav ved iagttagelse af de registreredes rettigheder, og hvordan den dataansvarlige skal håndtere henvendelser fra de registrerede.
Skal vi hjælpe dig med at overholde alle 10 regler?
Vi tilbyder databeskyttelses-software og et inhouse-advokatfirma, som specialiserer sig i GDPR
Få en demo