Har du set denne guide til GDPR med handleplan?

Forskellen på de gamle persondatabestemmelser og GDPR er begrænset. Udfordringen er, at langt de fleste mindre og mellemstore virksomheder har et meget lavt kendskab til de gældende regler, som de derfor heller ikke efterlever. Derfor er det nu man skal i gang for at blive klar til EUs persondataforordning træder i kraft til maj 2018. Læs ADVODAN Glostrups guide til GDPR.

Databeskyttelse-Guide-GDPR-

Som virksomhed skal man have 100 procent styr på sine interne processer med håndtering af persondata. Foto: Colourbox

GDPR: Reglerne om håndtering af persondata er relevante for alle virksomheder og organisationer, uanset hvilke typer af personoplysninger virksomheden håndterer.

Reglerne gælder derfor også for en offentlig eller privat virksomheds behandling af almindelige personoplysninger om medarbejdere og kunder, forklarer advokat og specialist i persondata, Karina Lind Bertelsen, ADVODAN Glostrup.

To typer persondata

Overordnet skelnes der mellem to typer af persondata: Følsomme personoplysninger og almindelige personoplysninger. Alle former for følsomme oplysninger er nævnt i forordningen og omfatter fx oplysninger om religion, race, politisk tilhørsforhold, helbred mv.

Almindelige personoplysninger spænder bredt over helt almindelige kontaktoplysninger som fx navn, adresse, telefonnummer mv. til oplysninger om private forhold som gældsforhold og lignende.

- Uanset om ens virksomhed behandler den ene eller den anden slags personoplysninger, så skal man overholde en række grundlæggende regler i persondataforordningen. Fx skal man nu overveje sit formål med behandlingen af personoplysninger, ligesom man også skal tage stilling til, hvor længe oplysningerne skal opbevares. Hvad angår følsomme personoplysninger, gælder der endnu strengere krav til håndtering og opbevaring af oplysningerne, påpeger Karina Lind Bertelsen.

Nye krav i persondataforordningen

Udover krav om formål og periode for opbevaring af persondata indfører Persondataforordningen en række øvrige nye og skærpede krav til virksomheders håndtering og opbevaring af persondata. Fx:

  • Udvidelse af de oplysninger, der skal gives til personer, virksomheden behandler oplysninger om
  • Nye dokumentationskrav for, at virksomheden overholder reglerne
  •  Skrappere krav til databehandleraftaler med leverandører mv.

Som virksomhed skal  man derfor have 100 procent styr på sine interne processer med håndtering af persondata, herunder interne retningslinjer og procedurer, som skal foreligge skriftligt og kunne dokumenteres over for Datatilsynet.

Hvis man overtræder reglerne, risikerer private virksomheder store bøder på op til 4 procent af den årlige (koncern)omsætning.

Fakta: Sådan kommer man godt i gang med GDPR

Både små og store offentlige og private virksomheder er forpligtede til at overholde de nye regler. 

- Min erfaring er, at man skal tage det i steps. Mange strander, fordi de ikke kan overskue de mange forskellige elementer, mener Karina Bertelsen, der har udarbejdet et bud på en handlingsplan, der kan hjælpe virksomhederne i gang med det vigtige arbejde: 

  • Udpeg relevante nøglepersoner som tovholdere
  • Afsæt tid og økonomi til arbejdet
  • Få kortlagt persondata i virksomheden/organisationen, herunder overblik over:
    • Hvilke typer personoplysninger behandles?
    • Hvilke personer behandles der oplysninger om?
    • Hvad er formålet med behandlingen?
    • Er der samtykke eller andet lovligt grundlag for behandlingen?
    • Hvor opbevares personoplysningerne?
    • Deles personoplysninger med tredjemand?
    • Hvor længe gemmes de forskellige typer personoplysninger?
    • Få skriftlige databehandleraftaler på plads, fx med leverandører af lønsystem, it eller lign.
    • Få udarbejdet persondatapolitikker for relevante funktioner, fx personaleadministration, salg/marketing mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav
    • Få gennemgået virksomhedens it-sikkerhed og få implementeret de nødvendige tekniske foranstaltninger
    • Implementér organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata på vegne af virksomheden
    • Få udviklet processer, der sikrer, at de berørte personers  det vil sige medarbejdere kunder mv., rettigheder bliver overholdt. Fx oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke
    • Få udarbejdet en procedure og et beredskab til håndtering af databrud

Ingen kommer og redder virksomhederne

Ifølge Karina Lind Bertelsen er det nu, man skal tage fat på arbejdet.

-Start med at kortlægge data og find ud af, hvad behovet er. Herefter kan man – eventuelt sammen med en advokat – lave en handlingsplan, hvor man tager fat på de forskellige opgaver i prioriteret rækkefølge. På den måde får man skabt overblik og kan komme godt i gang uden at drukne i opgaverne, siger Karina Bertelsen:

- Mange har haft en opfattelse af, at deres brancheforening kommer og redder dem. Men virkeligheden er, at brancheforeninger m.v. ofte kun kommer med overordnede vejledninger, og virksomhederne undervurderer, hvor meget de selv skal gøre internt.