Vælg os, og kom i mål med databeskyttelsesreglerne.

Den nye persondataforordning (GDPR) trådte i kraft den 25. maj 2018, men regler for at behandle personhenførbare oplysninger er ikke nye. Vi har mange års praktisk erfaring med at implementere reglerne i små som mellemstore virksomheder. Det er netop den praktiske tilgang, som på især dette område er essentiel for at blive compliant på området.

Stort set alle behandler personhenførbare data. Det kan være personoplysninger om (potentielle) kunder, (potentielle) medarbejdere, (potentielle) samarbejdspartnere m.fl.

Vi udfører GDPR-tjek af, om databehandlingen efterlever reglerne om databeskyttelse, og hjælper jer med, at blive compliant på området. 

Vores tjek indeholder følgende faser: 

GDPR-tjek:

1. fase – Kortlægning af datastrømme
2. fase – Fastlægning af behandlingsgrundlag
3. fase – Individuel udvalgte områder
4. fase – Complianceudersøgelse
5. fase – Udarbejdelse af compliancerapport
6. fase – Vores anbefalinger
1. fase – Kortlægning af datastrømme

I f

Det er jer, der ved, hvilke persondata I indsamler, og hvor I opbevarer dem. Derfor er det også jer, som udfører kortlægningen, men vi sørger for, at I er klædt på til opgaven inden I går i gang.

Undervejs står vi fuld ud til rådighed, hvis der opstår udfordringer under denne del af forløbet. Erfaringsmæssigt er det optimalt, at der er mindst én fast kontaktperson under hele forløbet.

Når datastrømmene er kortlagt, sendes materialet til os.

2. fase – Fastlægning af behandlingsgrundlag

I denne fase fastlægges behandlingsgrundlaget også kaldt hjemmelsgrundlaget eller formålet.

Til at starte med, skal I beskrive, hvad I faktisk benytter de enkelte oplysninger til, og hvor lang tid oplysningerne opbevares. Praksis fra Datatilsynet viser, at behandling af hver enkelt persondata skal have et legitimt formål (Taxa 4×35)

Herefter skal behandlingsgrundlaget fastlægges og begrundes.

Af erfaring ved vi, at det vil være en fordel, hvis I deltager i denne fase, så I bliver bekendt med, hvornår og hvorfor I kan behandle de enkelte oplysninger. Dermed, kan I fremadrettet være mere selvkørende.))

3. fase – Individuel udvalgte områder

Afhængig af jeres behov og ønske kan vores tjek omhandle et eller flere af følgende emner:

  • Fortegnelse over behandlingsaktiviteter af personhenførbare oplysninger – foreligger der (tilstrækkelige) interne fortegnelser over behandling af personhenførbare oplysninger?
      • Fordi det er en forlængelse af databeskyttelsesreglernes krav om ansvarlighed. Desuden giver den et overblik over de behandlinger, som er iværksat, og det er en nødvendig forudsætning for at kunne overholde en række forpligtelser i databeskyttelsesreglerne, såsom: overvejelser om, hvilke oplysninger man kan behandle, håndtering af begæringer og anmeldelser af brud på persondatasikkerheden.
  • Om det nødvendige behandlingsgrundlag (forsat) er til stede – behandles personhenførbare oplysninger uden legitimt grundlag?
  • Evnen til at efterleve reglerne om de registreredes rettigheder – er der tilstrækkelige interne procedurer og værktøjer til at opfylde reglerne,
    • Oplysningspligt
    • Retten til indsigt

      • Fordi den registrerede får mulighed for at få indblik i, om der behandles oplysninger om vedkommende og også at kontrollere lovligheden af en eventuel behandling.

    • Retten til berigtigelse af oplysninger
    • Retten til at blive slettet
      • Fordi ét af de grundlæggende principper for behandling af personoplysninger er, at når personoplysningerne ikke længere er nødvendige for, skal oplysningerne slettes. Reglen bidrager til at sikre mod en unødvendig principiel forøget risiko for krænkelse af de registrerede, f.eks. ved at oplysninger kommer uvedkommende i hænde.
    • Retten til begrænsning af behandling
    • Retten til dataportabilitet
    • Retten til indsigelse
    • Forbud mod afgørelser udelukkende baseret på automatisk behandling, hverunder profilering
  • Får indberettet og underrettet om eventuelle brud til Datatilsynet og den registrerede
      • Fordi forpligtelsen er et udtryk for databeskyttelsesforordningens fokus på ansvarlighed og har til formål at tilvejebringe gennemsigtighed og især at sikre, at dataansvarlige reagerer, når der opstår et brud på persondatasikkerheden.  
  • Har tilstrækkelige databehandleraftaler, herunder klassificering som dataansvarlig og/eller databehandler – er der tilstrækkelige aftaler mellem dataansvarlige og/eller databehandlere?
      • Fordi det er meget vigtigt for bl.a. persondatasikkerheden, at der bliver indgået de fornødne databehandleraftaler. Dette skyldes, at det netop er i aftalen, at det skal fastslås, hvilken sikkerhed der skal være hos databehandleren. 
  • Overførsel af personhenførbare oplysninger til tredjelande eller internationale organisationer
  • Behandling af databeskyttelsesrådgiver (DPO).
      • Fordi databeskyttelseesreglerne stiller krav om, at alle offentlige myndigheder og visse private virksomheder skal udpege en databeskyttelsesrådgiver, som bl.a. skal understøtte overholdelse af reglerne, samt skal være kontaktled til Datatilsynet.
  • Er der gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til karakteren af den pågældende behandling, dens omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
      • Fordi personhenførbare oplysninger skal opbevares, så der ikke sker utilsigtede, urimelige eller ulovlige behandlinger, men også at de oplysningerne er tilgængelige og pålidelige.
    • Eksempler:
      • Kryptering af e-mails ved transmission af fortrolige og følsomme personoplysninger

      • Autorisationsordninger af medarbejdere, så medarbejdere kun har adgang til de oplysninger, som de har behov for.

      • Konsekvensanalyse af de påtænkte behandlingsaktiviteter forud for opstart, navnlig ved brug af nye teknologier og som i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

4. fase – Complianceudersøgelse

På baggrund af resultaterne i 1., 2. og 3. fase, kontrollerer vi, at reglerne også efterleves i praksis. 

I vores udvælgelse af temaer, som vi kontrollere, tager vi udgangspunkt i Datatilsynets offentliggjorte udmeldelser. 

I praksis foregår denne fase ved, at vi sender nogle spørgsmål til jer, som I besvarer. Eventuelt med assistance fra os.

Eksempler på kontroltemaer kan bestå af følgende:

  • Persondatasikkerhed
  • Sletning af persondata
  • Anvendelse af databehandlere
  • Databeskyttelsesrådgiver (DPO)
  • Udarbejdelse af (tilstrækkelig) fortegnelse
  • Brud på persondatasikkerheden
  •  Kryptering af e-mails
  •  Autorisation af medarbejdere
  • Den registreredes indsigtsret
  • (Gen)brug af data
  •  Aggregering og sammenstilling af data til brug for videresalg

5. fase – Udarbejdelse af compliancerapport

På baggrund af undersøgelsen udarbejder vi en compliance rapport, så I ved på hvilke af de i fase 3 valgte områder, I efterlever reglerne.

6. fase – Vores anbefalinger

Som afrunding på tjekket vil vi fremlægge vores anbefalinger til på hvilke af de i fase 3 valgte områder, I skal have særlig opmærksomhed på.