Det korte svar: For at være klar til et tilsyn fra Datatilsynet skal I sikre, at jeres databehandlingsaktiviteter overholder GDPR. Dette indebærer dokumentation af databehandlingsaktiviteter, implementering af passende sikkerhedsforanstaltninger og forberedelse på at besvare spørgsmål om jeres praksis for at beskytte data.
Forberedelse til datatilsyn
I dag er data en uvurderlig ressource for virksomheder. At samle, behandle og bruge data er centralt for at drive og udvikle en virksomhed. Det er samtidig også et enormt ansvar. Hvert år foretager Datatilsynet både planlagte og uanmeldte tilsyn hos både offentlige myndigheder og private virksomheder. Et datatilsyn kan have alvorlige konsekvenser, hvis man ikke har styr på sin compliance.
Denne blog handler om, hvad I kan forvente af et datatilsyn, og hvordan I kan forberede jer.
Vidste du, at 46% af forbrugerne ikke har tillid til virksomheders bæredygtighedsbudskaber, herunder pålidelig datahåndtering?
- CSR.dk
Sådan foregår et datatilsyn
Bliver jeres virksomhed udvalgt, får I som regel besked på forhånd sammen med en orientering om de primære fokusområder for tilsynet. Under besøget har Datatilsynet ret til at inspicere jeres lokaler, IT-systemer og dokumentation. De kan kræve adgang til alle relevante oplysninger, der er nødvendige for deres kontrol. Dog skal de overholde principperne om proportionalitet og følge gældende procedurer ved inspektion af områder, der ikke er offentligt tilgængelige.
Det er vigtigt at vide, at Datatilsynet ikke kan kræve oplysninger, hvis der er en konkret mistanke om en lovovertrædelse, der kan føre til straf. I har altså ret til ikke at inkriminere jer selv. Hvis Datatilsynet konstaterer brud på GDPR, kan de pålægge jeres virksomhed påtaler, påbud eller bøder – alt afhængigt af overtrædelsens alvor. Skulle I være uenig i deres afgørelse, har I mulighed for at indbringe sagen for domstolene.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Hvad spørger Datatilsynet om ved et datatilsyn?
Datatilsynet kan stille forskellige spørgsmål ved et datatilsyn, afhængigt af virksomhedens aktiviteter og formål med behandling af persondata. Nogle af de spørgsmål, som Datatilsynet typisk vil stille under et datatilsyn, kan omfatte:
- Hvorfor indsamler I personoplysninger og til hvilket formål?
- Hvilken type personoplysninger behandler I?
- Hvordan opbevares og beskyttes persondata?
- Hvornår slettes persondata?
- Hvilken IT-sikkerhed har I til at beskytte personlige data?
- Har I udpeget en GDPR-ansvarlig, og hvilken rolle spiller vedkommende i forhold til håndtering af personoplysninger?
- Har I dokumenteret og vurderet risici ved behandling af personoplysninger, og er der gennemført en databeskyttelseskonsekvensanalyse (DPIA)?
- Hvordan reagerer I på anmodninger om persondata fra jeres kontakter?
- Har I informeret de registrerede personer om deres rettigheder og om, hvordan deres personoplysninger behandles?
- Har I informeret jeres medarbejdere om de interne retningslinjer for databeskyttelse og om deres ansvar og forpligtelser?
- Driver I jeres virksomhed i flere lande?
Disse spørgsmål er ikke udtømmende og kan variere afhængigt af virksomhedens specifikke aktiviteter og databehandlingspraksis. Datatilsynet vil typisk også undersøge virksomhedens dokumentation og politikker for at sikre, at der er overensstemmelse mellem hvad virksomheden gør, og hvad den siger, at den gør.
FAQ om et datatilsyn
Hvad er formålet med et tilsyn fra Datatilsynet?
At sikre, at organisationer overholder databeskyttelsesreglerne og beskytter personoplysninger korrekt.
Hvordan vælger Datatilsynet organisationer til tilsyn?
Valget kan baseres på risikovurderinger, klager eller tilfældige udvælgelser.
Hvad sker der, hvis vi ikke overholder reglerne?
Det kan føre til påbud, bøder eller andre sanktioner afhængigt af overtrædelsens alvor.
Gør dette før Datatilsynet kommer
For at forberede jer bedst muligt på et datatilsyn er det vigtigt at have en klar og sammenhængende plan for, hvordan man håndterer persondata i virksomheden. Her er nogle tiltag, som kan hjælpe med at forberede jer:
- Sæt jer ind i loven Det første skridt i forberedelsen på et datatilsyn er at sikre, at I har en god forståelse af de lovgivninger, der gælder for jer.
- Gennemgå data. Identificer hvilke typer persondata I behandler, hvor data kommer fra, hvordan de behandles, og hvem der har adgang til dem.
- Opdater IT, politikker og procedurer. Gennemgå og opdater virksomhedens IT, politikker og procedurer for databeskyttelse. Identificer sårbarheder og opdater jeres praksis, så det afspejler de gældende lovkrav på området.
- Vurder risici. Identificer og vurder risiciene ved behandling af persondata, og foretag en konsekvensanalyse for databeskyttelse for at sikre, at man har styr på eventuelle risici og konsekvenser ved databrud.
- Uddan medarbejdere. Sørg for, at alle medarbejdere i virksomheden er uddannet i databeskyttelse, og at de forstår deres ansvar og forpligtelser i forhold til behandling af persondata.
- Dokumentation. Dokumenter alle beslutninger, procedurer og aktiviteter i forbindelse med behandling af persondata.
Ved at følge disse skridt, kan I bedre forberede jer på et datatilsyn – og compliance generelt.
Få et komplet overblik over jeres GDPR-risici
En GDPR Risiko-rapport giver jer et komplet overblik over GDPR-risikoen i jeres virksomhed. Rapporten udarbejdes på baggrund af et scan med DataMapper,
Den smarte måde at forberede sig på et datatilsyn
At forberede sig på et datatilsyn er en omfattende opgave. Især for en mindre eller mellemstor virksomhed. GDPR-værktøjer kan hjælpe jeres virksomhed med at opfylde kravene i GDPR og gøre den klar til et datatilsyn langt hurtigere og mere præcist, end hvis I skulle gøre hele arbejdet manuelt. Disse værktøjer kan nemlig automatisere nogle af de processer, der er involveret i at behandle personoplysninger og overholde GDPR-kravene. Læs mere om hvad et GDPR-værktøj kan gøre for jer her. I Safe Online udvikler vi GDPR-værktøjer, der dækker de mest centrale steder en virksomhed behandler persondata. Vores værktøjer er:
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler effektivt
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.