GDPR – en uhåndterbar størrelse

GDPR eller Persondataforordningen er for mange en uhåndterbar størrelse, der ‘vist nok’ handler om enorme bødestørrelser. Det er de færreste små og mindre virksomheder, der har ressourcer til at sætte sig ind i Persondatalovens 31§§, Persondataforordningens 99 artikler eller Justitsministeriets betænkning på over 1.ooo sider. 

Det handler ikke om bødestørrelser, men om respekt…

Men det handler om meget mere end bødestørrelser! Det handler om, at vi som virksomhed eller forening behandler vore kunder, medlemmer og medarbejderes data med respekt og omgærder dem med den sikkerhed, de har krav på.

Hvad er så kravene til persondata?

1.  et overblik over de persondata I opbevarer/behandler (kortlægning og risiko-vurdering)
2. Udarbejd fortegnelse over behandlingsaktiviteter/tjek om I opfylder betingelserne for at undlade dette
3. Du/I skal kunne leve op til de(n) registreredes rettigheder
4. Etabler og beskriv de passende tekniske og organisatoriske sikkerhedsforanstaltninger
5. Definer det retlige grundlag for virksomhedens behandling af persondata
6. Sørg for databehandleraftale(r) med virksomhedens databehandler(e)
7. Før tilsyn med databehandler(e)
8. Du/I skal sikre jer, at persondata er ajourførte og korrekte – også data, der er videregivet til databehandler(e)
9. Slet persondata, hvortil der ikke længere er retligt grundlag/sagligt formål
10. Minimér indsamling af persondata
11. Leve op til forpligtelser ved sikkerhedsbrister
12. Afklaring af om virksomheden skal have en databeskyttelsesrådgiver tilknyttet
13. Dokumentér at virksomheden/foreningen overholder persondataloven(e)
14. Anmelde brud på persondatasikkerheden
15. Udføre konsekvensanalyser hvis behandling vil indebære en høj risiko for de(n) registrerede

Der er underpunkter til en hel del af de ovenstående punkter, som er relevante i nogle, men ikke alle tilfælde.

GDPR og små eller mindre virksomheder og foreninger

Og hvad gør en enkeltmandsvirksomhed så for at leve op til disse 15 krav:

1. Får lavet et overblik over de persondata virksomheden har i sine arkiver/systemer (se nedenfor)
2. Får lavet en risiko-vurdering
3. Får etableret passende sikkerhedsforanstaltninger
4. Får udarbejdet politikker for de forskellige aspekter (overordnet sådan gør vi her i virksomheden)
5. Får udarbejdet instrukser (detaljerede beskrivelser af arbejdsgange)
6. Får udarbejdet tjeklister (punktformede vejledninger)

Alt starter med overblikket, først når virksomheden/foreningen har et overblik over:

A. hvilke data behandler I? (almindelige/følsomme/fortrolige)
B. hvad bruger I disse data til? (sagligt formål)
C. hvorfor behandler I disse data? (det retlige grundlag)
D. hvor ligger disse data? (inden- eller udenfor EØS/hos databehandler eller på egen adresse)
E. hvem har adgang til disse data? (sikkerhed)
F. hvem har leveret disse data til jer? (har betydning for informationspligten)
G. hvordan opbevarer og sikrer I disse data?
H. hvordan sletter/fjerner I disse data? (sikkerhed)
I. hvornår sletter I disse data? (hænger sammen med det retlige grundlag)

Er det muligt at:

a. Lave en risikovurdering
b. Vurdere om virksomheden er forpligtet til at have en databeskyttelsesrådgiver tilknyttet
c. Vurdere hvilke sikkerhedsforanstaltninger, der er ”passende”
d. Vurdere om virksomheden er omfattet af eventuelle undtagelser

Har du brug for sparring?

Hvis du vil have vished for, om du og din virksomhed lever op til gældende love og regler, så book en start-up-session hos TD Consult på +45 40 25 46 26 eller tove@tdconsult.dk og bliv klogere på, hvad der forventes af din virksomhed.