Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ét år med GDPR – tid til refleksion

Kromann Reumert
28/05/2019
Ét år med GDPR – tid til refleksion
Kromann Reumert logo
Lørdag den 25. maj 2019, er det ét år siden, databeskyttelsesforordningen fik virkning. På 1-årsdagen modtager du sikkert en masse nyhedsbreve og artikler om GDPR-jubilæet. Inden det går løs, giver vi dig ti gode råd til at komme videre i arbejdet med databeskyttelse.

Datatilsynets inspektioner og den nylige sag om Taxa 4x35 viser,  hvor vigtigt det er at holde fokus på databeskyttelse i den daglige drift. Databeskyttelse og compliance er ikke et rent papirprojekt. De krav, som virksomheden har beskrevet – eller burde have beskrevet – i sine databeskyttelsespolitikker og procedurer, skal også efterleves i praksis. Derfor handler compliance også om databeskyttelse blandt de menige medarbejdere i alle afdelingerne i din virksomhed.

Nedenfor har vi samlet ti råd, som kan hjælpe dig og din virksomhed med at sikre overholdelse af databeskyttelsesreglerne i praksis. Brug 1-årsdagen som en anledning til at genbesøge jeres databeskyttelsesarbejde for at se, om indsatsen giver en tilstrækkelig og effektiv compliance.


1. Brugbar dokumentation


Gennemgå jeres databeskyttelsespolitikker og -procedurer for at sikre, at de er tydelige, letforståelige, realistiske og målbare – og at de også kan efterprøves. De skal ikke være for ambitiøse eller have karakter af eventyrlige fortællinger om jeres ambitioner på databeskyttelsesområdet. Og de skal heller ikke være rent "juridiske" dokumenter, som blot gengiver reglerne. Politikkerne og procedurerne skal afspejle virksomhedens virkelighed og modenhed samt hjælpe med at overholde kravene i praksis.


2. Tænk hele virksomheden ind


Inddrag kolleger fra andre afdelinger, f.eks. marketing, HR eller finansafdelingen, ved opdateringen eller udarbejdelsen af dokumentation, politikker og procedurer. Medarbejderne rundt om i virksomheden vil være mere tilbøjelige til at tage ejerskab, hvis de forstår formålet med politikkerne og procedurerne og har deltaget i udarbejdelsen af dem. De kan også medvirke til at sikre, at dokumenterne passer med virksomhedens faktiske forretningsgange.


3. Kom ud af kontoret og rundt i virksomheden


Tal med de personer, som politikkerne og procedurerne er rettet mod. Spørg dem, om dokumenterne er forståelige, om der er ting, der gør det svært at overholde kravene osv. Giv dem eventuelt værktøjer, som kan gøre det lettere for dem at overholde kravene.


4. Gør databeskyttelse til kultur


Arbejd hen imod, at medarbejdere er "databeskyttelsesfokuserede", og sørg for at tilbyde uddannelse og undervisning, som tager højde for virksomhedens specifikke risici. Det kan være fristende at implementere generiske løsninger af omkostningshensyn, men i det lange løb skal virksomheden og medarbejderne instinktivt tænke på databeskyttelse. Gør det personligt og relevant, så medarbejderne forstår betydningen for deres hverdag.


5. Gør databeskyttelse til en del af forretningen


Hvis databeskyttelsesaktiviteterne bygger på en compliancebaseret tilgang, kan det overvejes i højere grad at tilpasse dem virksomhedens aktiviteter, særligt hvis persondata er et kerneområde. Det vil bidrage til at skabe forståelse for værdien af databeskyttelse i hele virksomheden. Inddrag databeskyttelse som et emne, når I næste gang skal revidere virksomhedens samlede forretningsstrategi.


6. Skift ud i toppen


Overvej, om det er tid til udskiftning blandt dem, der er ansvarlige for databeskyttelse i virksomheden (f.eks. hvis I har en styregruppe eller et "dataråd") –  særligt hvis I ønsker større grad af ensretning med forretningen. Udskift medlemmer, der kommer fra koncern- eller HR-funktioner med erfarne medarbejdere fra afdelinger, hvor persondata er af afgørende betydning for forretningen.


7. Klart ansvar


Gennemgå virksomhedsstrukturen for at sikre, at der på alle niveauer er medarbejdere, der er ansvarlige for databeskyttelse. I en del virksomheder kan man finde "ansvarshuller" – typisk på mellemlederniveau – og det kan give problemer med at sikre databeskyttelse i hverdagen.


8. Giv DPO'en råderum


Hvis din virksomhed har udpeget en databeskyttelsesrådgiver (DPO), så vær sikker på, at DPO'ens stilling i virksomheden lever op til lovkravene, og at I også giver DPO'en mulighed for at gøre en forskel. Det er ikke ualmindeligt, at der kan opstå interessekonflikter mellem det daglige arbejde og DPO-rollen, ligesom man også kan opleve manglende intern accept af DPO'ens funktion og uafhængighed.


9. Håndtér databeskyttelse over grænserne


Forstå og tag højde for de kulturelle forskelle i ledelsen af virksomheden – særligt i virksomheder med aktiviteter og lokationer i flere lande. Det er særligt vigtigt på øverste ledelsesniveau, hvor der kan være forskellige opfattelser af risici og prioritetsområder.


10. Løbende tilpasning og forbedring


Gennemgå løbende virksomhedens databeskyttelsespolitikker og -aktiviteter. Hvilke ændringer er der sket internt og eksternt, f.eks. ny lovgivning, nye vejledninger eller ny retspraksis, fusioner, opkøb, ny teknologi, trusler, samfundsmæssige ændringer osv. Overvej betydningen af disse ændringer og eventuelle justeringer i jeres databeskyttelsespolitikker og -aktiviteter.

De ti råd ovenfor er hverken en udtømmende liste eller en facitliste for alle. Håndpluk fra listen, og brug det udvalgte i din virksomhed.

Hvis du ikke er kommet i gang med compliancearbejdet, så kan du stadig finde gode råd i vores sekstrins complianceproces.

Alle medarbejdere i din virksomhed kan også blive klædt på til databeskyttelsesforordningen med vores e-learning-kursus. Kurset er skræddersyet virksomheder, som vil undervise om compliance bredt i virksomheden

 


 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Privat organisation indstilles til bøde på mindst 15 millioner kroner
Privat organisation indstilles til bøde på mindst 15 millioner kroner
01/02/2024
Persondata
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
08/02/2024
Persondata, Kontraktret, Compliance
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
12/02/2024
Persondata, Compliance
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
AI-forordningen er endelig på plads – hvad nu?
AI-forordningen er endelig på plads – hvad nu?
19/02/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted