Sådan overholder du Persondata-forordningen (GDPR)

Virksomheder, myndigheder og organisationer behandler ofte personoplysninger om kunder, medarbejdere, samarbejdspartnere og leverandører. Disse personer kaldes i fagsprog for “de registrerede”. En "behandling" kan fx være indsamling, opbevaring, videregivelse, sletning eller sågar kopiering og se-adgang til personoplysninger. Altså er en "behandling" som udgangspunkt alt, hvad du foretager dig med personoplysninger. 

Med GDPR er der defineret tre forskellige typer af personoplysninger, som du skal være opmærksom på. De tre typer personoplysninger er:

1) almindelige (såsom kontaktoplysninger)

2) følsomme (en udtømmende liste, der bl.a. indeholder oplysninger om en persons sygdomme, politiske eller religiøse overbevisning eller seksuelle orientering)

3) fortrolige omhandlende straffedomme og lovovertrædelser. 

Vi har lavet en tjekliste, som kan give dig et overblik over de væsentligste krav i GDPR-lovgivningen, og hvad du konkret kan gøre for at overholde GDPR:

• Få et overblik over din virksomheds datastrømme. Hav styr på hvilke personoplysninger, du behandler, med hvilket formål du behandler dem, og om der sker videregivelse af personoplysningerne til andre parter. Dette overblik skal hjælpe dig med at udarbejde en oversigt over jeres behandlingsaktiviteter, såsom personaleadministration, kundeservice og markedsføring. Dokumentet er internt.
• Udarbejd en privatlivspolitik, der beskriver jeres behandling af personoplysninger. Dokumentet skal “gives” til de registrerede, hvor I indsamler deres personoplysninger.
• Lav procedurer for håndtering af de registreredes rettigheder i form af deres ret til indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse.
• Lav procedurer for håndtering af brud på persondatasikkerheden. Et brud på persondatasikkerheden skal anmeldes til Datatilsynet 72 timer efter, at det er blevet opdaget. Et brud kan f.eks. være, hvis en mail med CPR-numre er sendt til en forkert modtager, eller hvis en computer med personoplysninger bliver stjålet, og personoplysningerne ikke er beskyttet med kryptering.
• Få styr på din behandlingssikkerhed i relation til behandlingen af personoplysninger. Det indebærer bl.a., at du udarbejder risikovurderinger og tilhørende konsekvensanalyser.
• Gennemgå din liste over databehandlere og indgå databehandleraftaler, hvis du ikke allerede har indgået dem.
• Før tilsyn med dine databehandlere.
• Overhold cookiereglerne.
• Undervis dine medarbejdere, der behandler personoplysninger i GDPR-reglerne, herunder især de registreredes rettigheder og brud på persondatasikkerheden.
• Lav et årshjul, der indeholder oversigt over, hvordan du løbende vil overholde GDPR med udgangspunkt i ovenstående aktiviteter. 

Det vil altid være en fordel at kontakte en rådgiver, som kan hjælpe dig med at få et overblik over, hvordan din virksomhed overholder GDPR. Derudover har Datatilsynet, som er den myndighed, der fører tilsyn med GDPR og den danske implementering i form af databeskyttelsesloven, på deres hjemmeside en række vejledninger og skabeloner, der kan bruges til at komme i gang med at overholde reglerne.