Nyhed -

GDPR: Er I klar til at fremvise dokumentation, hvis Datatilsynet banker på døren?

Har I kortlagt jeres behandlingsaktiviteter? Og kan I dokumentere, at I overholder lovgivningen for hver behandlingsaktivitet?

Noget af det særlige nye i Persondataforordningen er kravet om, at I skal lave fortegnelser af jeres behandlingsaktiviteter. Samt I skal kunne påvise, at I overholder lovgivningen og være klar til at fremvise dokumentation i tilfælde af at Datatilsynet kommer på besøg. Med andre ord: I skal kunne demonstrere compliance (overholdelse af lovgivningen, red.).

Begrebet behandlingsaktiviteter dækker over de forskellige aktiviteter I har, hvor I behandler persondata. Som medarbejderdata, kundedata, medlemsdata, borgerdata, patientdata mm..

Uanset om I er dataansvarlig eller databehandler (eller begge dele) skal I føre interne fortegnelser over behandlingen af personoplysninger. Fortegnelsespligten fremgår af artikel 30 i Persondataforordningen. Fortegnelseskravet erstatter den hidtil gældende anmeldelsesordning. Det betyder, at håndterer I personhenførbare data, som ikke er personfølsomme, skal I ikke anmelde behandling af persondata til Datatilsynet. I skal derimod være klar til at vise dokumentation, som påviser at du overholder lovgivningen.

Kortlæg jeres behandlingsaktiviteter

For at kunne føre fortegnelse over jeres behandlingsaktiviteter er det en god idé at starte med at kortlægge behandlingsaktiviteterne. Nedenstående er eksempler på aktiviteter og håndtering af personoplysninger som dataansvarlig, som når I behandler oplysninger om medarbejdere og kunder mv.:

Som Dataansvarlig:

Personaleadministration: Håndtering af personoplysninger i forbindelse med medarbejdere, som fx:

  • Ansættelse
  • Løn
  • Personaleforhold

Kunder og/eller medlemmer: Håndtering af personoplysninger vedrørende kunder og medlemmer, som fx:

  • Registrering og opbevaring af oplysninger i kundedatabaser
  • Opkrævning af betaling

Markedsføring: Håndtering af personoplysninger i forbindelse med marketingsføringsaktiviteter, som fx:

  • Tilmelding til nyhedsbrev
  • Brug af personbilleder
  • Tilmelding til events

Ovenstående er blot eksempler og ikke udtømmende.

Som Databehandler:

Husk at du er Databehandler, når du som IT-leverandør leverer systemer, som behandler personoplysninger, hvad enten det er vedrørende sundhedsapps og sundhedsplatforme eller leverandør af CRM systemer mv.. Du skal kortlægge dine løsninger og aktiviteter hermed. Og husk, at du jo også er Dataansvarlig, når det gælder dine medarbejdere og kunder mm. Jvf. ovenover.

Krav til indhold i fortegnelsen

Der er ingen praksis på, hvordan I skal dokumentere og påvise, at I overholder reglerne for jeres behandlingsaktiviteter. Men der er et krav om, at fortegnelsen skal foretages digitalt. Datatilsynet og Justitsministeriet har i januar 2018 udgivet Vejledning om Fortegnelse, som giver indikation om, hvad I skal huske, og den er god at skelne til. Men den er ikke udtømmende. Der er ingen krav til formatet, men I kan eventuelt opstille oversigten over behandlingsaktiviteterne i et skema, som der vises et eksempel på i Vejledningen om Fortegnelse.

Vær opmærksom på, at i nogle tilfælde kan I samle flere behandlingsaktiviteter i én fortegnelse. Det giver mening, hvis behandlingsaktiviteterne kan formuleres under ét samlet, logisk og sammenhængende formål. Eksempelvis kan aktiviteterne ansættelse og løn beskrives i én fortegnelse under formålet personaleadministration. Og ligeledes kan der udarbejdes en fortegnelse over behandlingsaktiviteter vedrørende kunder og en fortegnelse vedrørende medlemmer mv..

I følge stk 3.1 i Vejledning om Fortegnelse, er der følgende minimumskrav til indhold i fortegnelsen over behandlingsaktiviteter for den Dataansvarlige

A. Navn og kontaktoplysninger: I skal angive kontaktoplysninger på den dataansvarlige og evt. dataansvarlige repræsentant samt DPO (Data Protection Officer) (i de tilfælde, at I har sådan en)

B. Formål: Formålet for hver behandlingsaktivitet skal beskrives (husk at I kun må indhente data til det angivne formål, og at de registrerede skal være bekendte med dette formål).

C. Kategorier af registrerede: I skal beskrive fra hvem I behandler persondata, om det er kunder, patienter, medlemmer, ansatte olign.

D. Typer af personoplysninger: I skal beskrive hvilke typer af personoplysninger behandlingen drejer sig om. Er det "almindelige" personoplysninger (artikel 6) eller "personfølsomme" oplysninger (også omtalt særlige kategorier af personoplysninger), og hvilke slags, fx helbredsdata, etnicitet etc. (artikel 9), eller strafbare forhold (artikel 10).

E. Kategorier af modtagere: Hvis I videregiver data, skal I huske og angive kategorier af hvem I videregiver dem til, fx IT-leverandører, forældre, kunder mv.

F. Overførsler til tredje lande og internationale organisationer: Hvis I overfører data til tredje lande eller internationale organisationer skal disse angives, samt dokumentation for passende garantier.

G. Slettefrister: I skal oplyse om de forventede slettefrister for hver kategori af oplysninger, som I behandler. Det er vigtigt at huske på, at forordningen stiller krav til, at I som dataansvarlig kun opbevarer data så længe det er nødvendigt for behandlingsformålet.

H. Tekniske og organisatoriske foranstaltninger: I skal beskrive hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, I gør jer. Eksempelvis, at det kun er dem, som skal behandle personoplysningerne, der har adgang med password. Samt at medarbejderne er trænet i lovgivningen. Og at I har procedurer og politikker for behandling og kommunikation af personoplysninger.

De opstillede krav er minimumskrav for den Dataansvarlige, mens punkterne A, F, H er krav for Databehandlerne - samt kravet om at føre fortegnelse over de kategorier af behandlinger, som I som databehandler foretager på vegne af den enkelte dataansvarlige. Se stk 3.2 i Vejledning om Fortegnelse.

Vær opmærksom på, at der er undtagelser til fortegningskravet. At i visse tilfælde skal man ikke føre fortegnelse over behandlingsaktiviteterne. Men det vil nok være i meget sjældne tilfælde. Jvf. Stk 4 i Vejledning om Fortegnelse.

Denne artikel er nr.3 i serien om Persondataforordningen. For artikel nr.1: Har du styr på persondataforordningen? og artikel nr.2: GDPR: Kender du din rolle som enten dataansvarlig eller databehandler?

Hold øje med vores efterfølgende nyheder vedrørende persondataforordningen, som lægges ud på welfaretech.dk. Welfare Tech og seniorkonsulent Jeannette Eis er ikke rådgiver på området. De dokumenter og dem, vi henviser til, er blot eksempler, hvor du kan få hjælp og mere information. Det er ikke anbefalinger af nogle frem for andre.

Foto: Pixabay.com

Emner

  • Videnskab, teknik

Kategorier

  • persondata
  • persondataforordning
  • gdpr
  • databehandler
  • databehandlingslov
  • databehandlingslovgivning
  • data lovgivning
  • jeannette eis
  • dataansvarlig

Kontakt

Mette Thiel

Pressekontakt Kommunikation og markedsføring +45 2058 5138

Relateret media

  • Har du styr på persondataforordningen (GDPR)
  • Licens: Brug i medier
    Materialet kan downloades af journalister, bloggere, meningsdannere etc. Det kan bruges og deles i forskellige sociale medier-kanaler med det formål fremføre, fortælle, kommentere eller redegøre for jeres pressemeddelelser og andre publiceringer - forudsat at materialet er uredigeret og publiceret i sin helhed. Forfatteren eller skaberen af materialet skal krediteres i det omfang, som god skik kræver (det betyder f.eks. at fotografer skal krediteres).
Download
  • GDPR
  • Licens: Brug i medier
    Materialet kan downloades af journalister, bloggere, meningsdannere etc. Det kan bruges og deles i forskellige sociale medier-kanaler med det formål fremføre, fortælle, kommentere eller redegøre for jeres pressemeddelelser og andre publiceringer - forudsat at materialet er uredigeret og publiceret i sin helhed. Forfatteren eller skaberen af materialet skal krediteres i det omfang, som god skik kræver (det betyder f.eks. at fotografer skal krediteres).
Download