Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

De 10 vigtigste GDPR-opgaver at få styr på og hvordan du får det

Focus Advokater
17/07/2018
De 10 vigtigste GDPR-opgaver at få styr på og hvordan du får det
Der kan efterhånden ikke være mange tilbage, der endnu ikke har hørt om databeskyttelsesforordningen, også kaldet ”persondataforordningen” eller ”GDPR”. Særligt de seneste uger op til reglernes håndhævelse fra 25. maj 2018 har medierne tildelt reglerne stor opmærksomhed, og der er nok også mange, der oplever, at deres indbakke bugner med mails om opdaterede privatlivspolitikker og fornyelse af samtykker.

For de virksomheder, som er gået i gang med opgaven, vil man formentlig allerede have konstateret, at det for mange er en tung og tidskrævende opgave. Mange undersøgelser har da også vist, at størstedelen af de danske virksomheder ikke nåede i mål inden 25. maj 2018. Dette kan der være mange forklaringer på, gode såvel som dårlige.

Målet med dette indlæg er at give et bud på de 10 vigtigste områder at få styr på hurtigst muligt. Som følge af persondatareglernes omfang og kompleksitet, er det ikke muligt at komme omkring samtlige krav i et skema. Vi har derfor foretaget en prioritering af, hvad vi anser for at være de mest kritiske områder, og prioriteringen er bl.a. foretaget ud fra følgende præmisser:

  • Selvom persondataforordningen indeholder mange nye krav, er mange af reglerne de samme, som dem vi kender fra persondataloven. Der er således tale om forpligtelser, som alle virksomheder burde have haft styr på siden persondataloven blev vedtaget i år 2000.

  • Datatilsynet har i deres hidtidige praksis og tilsynsbesøg haft særligt stort fokus på sikkerhed, databehandleraftaler og kontrol med datatabehandlere.

  • Det er et grundlæggende princip i de nye regler, at virksomheder ikke blot skal overholde reglerne, men de skal også være i stand til at dokumentere, at de gør det.

  • Både det danske datatilsyn og tilsyn fra andre EU-lande har indikeret, at de langt hellere vil komme ud til en virksomhed, som måske ikke er helt i mål d. 25. maj, men som til gengæld arbejder proaktivt med at overholde reglerne og har afsat relevante interne og eksterne ressourcer til formålet.



Top 10: GDPR-opgaver


På baggrund heraf følger således vores bud på de 10 vigtigste opgaver at få styr på samt links til vejledninger, skabeloner og andre værktøjer, som kan hjælpe dig med at få opgaverne gennemført. For de mange virksomheder, som er godt i gang med arbejdet, kan listen også fungere som en tjekliste over, at man er godt på vej med sit arbejde.


Erkend og fordel din virksomheds ansvar (= ansvarlighed)


Persondataforordningen er baseret på et grundlæggende princip om ansvarlighed, der kort sagt går ud på, at virksomheden åbent erkender sit ansvar og afsætter de nødvendige ressourcer hertil. I en større virksomhed bør ansvaret og fordelingen heraf beskrives i en intern persondatapolitik. Det anbefales at føre en form for referat eller protokol over både gennemførte og planlagte tiltag for herved at kunne dokumentere sin indsats over for Datatilsynet.


Udfyldning af fortegnelser over behandlingsaktiviteter


Langt de fleste virksomheder er forpligtede til at udarbejde et overblik over, hvilke personoplysninger der behandles i virksomheden. De indholdsmæssige krav til fortegnelserne er uddybet i denne vejledning, og man kan anvende skemaet bagest i vejledningen til at udarbejde fortegnelserne.


Få styr på sikkerheden


Det er vigtigt, at I som virksomhed forholder jer konkret til, hvordan I teknisk og organisatorisk indretter jer bedst muligt for at sikre, at personoplysninger ikke ender i de forkerte hænder. Beslutningen om, hvilke tiltag der er nødvendige, skal træffes på baggrund af en risikovurdering. Når risikovurderingen er foretaget, vil det ofte være relevant at revidere eller udarbejde en IT-sikkerhedspolitik, som beskriver virksomhedens tiltag og procedurer ift. sikkerhed. I kan læse mere om kravene til sikkerhed i Erhvervsstyrelsens PrivacyKompasset.


Få overblik over og indgå (gyldige) aftaler med dine databehandlere


Når en virksomhed vælger at benytte en ekstern virksomhed til at udføre opgaver, som indebærer behandling af personoplysninger, er det vigtigt at have styr på aftalegrundlaget med den pågældende leverandør. Find ud af hvem der er virksomhedens databehandlere (se Datatilsynets vejledning) og brug evt. Datatilsynets skabelon som grundlag for udarbejdelsen af den konkrete aftale.


Ryd op i arkiverne og hold data ajour


Langt de fleste virksomheder har gemt alt for mange data alt for længe. Du kan læse mere om kravene til sletning, og hvordan de opfyldes i praksis i Focus Advokaters vejledning om Slettepligten. Det er også et vigtigt budskab, at de persondata, man vælger at beholde, skal holdes ajour, således at de til enhver tid er korrekte og retvisende - jo mere man sletter, jo mere overkommelig bliver ajourføringsopgaven.


Opfyld din oplysningspligt


De personer, som du behandler oplysninger om, har krav på at blive informeret herom, og der er en del krav til hvilke informationer, der skal gives og hvornår. Du kan læse mere i afsnit 3 i Datatilsynets vejledning, benyt evt. deres skabelon til at udarbejde/revidere jeres eksterne privatlivspolitik(ker). Husk, at oplysningerne skal gives kortfattet og i et sprog, der er let at forstå – uden at udelade væsentlige detaljer.


HR og persondata


I mange virksomheder vil de fleste af de personoplysninger virksomheden behandler relatere sig til jobansøgere eller ansatte. Hertil kommer, at der på netop dette område findes en række ansættelsesretlige særregler, som man også skal være opmærksomme på. Focus Advokater har udarbejdet en samlet vejledning om HR og persondata, som forsøger at give et samlet overblik over reglerne og det praktiske arbejde forbundet hermed.


Samtykke til nyhedsbreve


Når din virksomhed sender nyhedsbreve ud, vil der være tale om behandling af personoplysninger (typisk navn og mail), som skal overholde persondatareglerne. Men herudover vil et nyhedsbrev som udgangspunkt også være omfattet af markedsføringslovens krav om samtykke ved udsendelse af elektronisk markedsføring. Som følge heraf skal man både sikre, at man overholder kravene til samtykke (du kan læse mere herom i Forbrugerombudsmandens pressemeddelelse her), og at man i forbindelse med indhentelse af samtykke opfylder sin oplysningspligt (se punkt 6 ovenfor).


Udbred budskabet i organisationen


I langt de fleste virksomheder vil der være adskillige personer, som arbejder med personoplysninger i deres daglige arbejde. Det kan både være oplysninger om slutkunder, forretningsforbindelser, ansøgere, ansatte osv. Det er meget vigtigt, at virksomhedens ledelse tager aktive skridt med henblik på at sikre, at de enkelte dele af organisationen har tilstrækkelig viden og forståelse for reglerne, til at de kan overholde de forpligtelser, som netop deres arbejde relaterer sig til.


Løbende vedligeholdelse og compliance


Når din virksomhed er i mål med punkt 1-9 ovenfor, er det meget vigtigt, at det udførte arbejde vedligeholdes, og at man som virksomhed overholder de krav, der stilles til håndteringen af persondata i den løbende drift. Som eksempler herpå kan nævnes:

 

 

 




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Focus Advokater logo
Odense
Cortex Park Vest 3
5230 Odense M
63 14 20 20
mail@focus-advokater
Kolding
Toldbodgade 10, 4
6000 Kolding
Svendborg
Havnepladsen 3 A
5700 Svendborg
København
Amaliegade 40 B, 2
1256 København K
Hamborg
Grimm 8
D-20457 Hamburg
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted