Tjekliste til persondataforordningen

Hvad skal vi have styr på for at overholde persondataforordningen?

In Nyheder by Karsten OlsenLeave a Comment

Skrevet af Advokat Daniella Maria Hedehøj og Datalog Karsten Olsen

En virksomhed spurgte fornylig, om en oversigt over hvad virksomheden skal have styr på i forbindelse med den kommende persondataforordning. Det skulle helst være et executive summary, som kunne være på en enkelt side i en powerpoint præsentation, til brug på det næste bestyrelsesmøde.

Vi forstår godt ønsket om en kortfattet tjekliste. Der er i disse dage mange bestyrelser, der skal træffe valg i forbindelse med de forpligtigelser, som persondataforordningen pålægger virksomhederne. Der skal allokeres penge og ressourcer til compliance projekter, og bestyrelserne har naturligvis brug for at vide, hvad det er, der skal bruges penge på, hvorfor og, måske aller vigtigst, hvilken værdi udskrivningen giver forretningen.

I det lys vil vi selvfølgelig gerne hjælpe, men vi må også være realistiske og sige, at de nye regler kun meget overordnet kan forklares på en one-pager, og det der er gældende for en virksomhed, er ikke nødvendigvis relevant for en anden. Hvis virksomheden udleverer data til andre, skal den eksempelvis gøre en række tiltag, hvis den indsamler informationer fra børn, skal den gøre noget andet, og hvis den databehandler informationer i særlige kategorier, som f.eks. sundhedsoplysninger, så er der nogle helt tredje krav. Hver enkelt virksomhed skal gøre noget forskelligt.
En one-pager må nødvendigvis blive meget overordnet og meget lidt konkret, og den kan ikke stå alene.

Vi vil gerne henvise til Datatilsynets 12 spørgsmål. Spørgsmålene er et godt udgangspunkt for virksomhedens eller organisationens indledende interne debat. Du finder Datatilsynets pjece her:
Forberedelser forud for EU’s databeskyttelsesforordning 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til.

10 spørgsmål de fleste virksomheder bør have styr på:

  1. Må I opbevare og behandle data. Ved I præcis hvor længe I må opbevare
    oplysningerne? – og har I dokumentation for at I har overvejet dette? Er der
    specielle regler på jeres områder der betyder at I har ret til at behandle
    informationerne?
  2. Har I samtykke fra de registrerede der, hvor det er krævet? Er dette
    dokumenteret skriftligt med den nødvendige information?
  3. Har I passende arbejdsgange der understøtter kravene i forordningen?
    Kan I dokumentere det? Oplyser I de registrerede om at I databehandler
    oplysninger om dem?
  4. Udleverer eller modtager i persondata fra andre? Ved I hvem der er
    databehandler og hvem der er dataansvarlig? Er databehandlingen sket
    lovligt hos tredjepart? Sker der udlevering udover EU / EØS grænser?
  5. Er medarbejderne undervist i hvordan de skal behandle informationerne
    lovligt? Har I dokumentation på interne instrukser. Har I en it-politik eller en
    it-sikkerhedspolitik? Ved medarbejderne hvad de skal gøre, hvis de får en
    sletteanmodning? En anmodning om indsigt? Spørgsmål om dataportabilitet
    eller andre spørgsmål i forbindelse med de registreredes rettigheder?
  6. Er medarbejderne bundet til forpligtigelserne nævnt i forordningen,
    som f.eks. fortrolighed? Er dette noteret i ansættelseskontrakter og/eller
    personalepolitiker?
  7. Har I passende tekniske tiltag til at sikre data? Har I dokumentation?
    Arbejder I med det løbende?
  8. Har I uddelegeret ansvaret for it-sikkerhed? Ved medarbejderne hvem der
    er ansvarlig for bestemte dele af it-sikkerheden? Har I funktions-adskillelse?
    Er det kun relevante medarbejdere der har adgang til data?
  9. Har I regelmæssig audit eller it-revision? Hvad gør I for at måle,
    kontrollere og undersøge om I har en passende it-sikkerhed?
  10. Har I et passende beredskab? Ved I eksempelvis hvad I skal gøre hvis
    I er udsat for f.eks. datatyveri? Ved medarbejderne det også?

Listen er ikke udtømmende. I en senere artikel skriver vi om, hvilken risiko der er ved ikke at overholde forordningen samt, hvilken værdi organisationen kan få ved at overholde lovgivningen.

Du kan evt. se mere om, hvordan I kommer i mål her: https://www.sanocast.dk/360-graders-gennemgang-ifm-persondataforordningen/

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.