Skip to main content

Så I fik en GDPR-skabelon under GDPR-vanviddet (hvis ikke, så få vores GDPR-skabelon her gratis). Efterhånden ved I, at det er et lovkrav at gøre noget ved personlige data som følge af GDPR. Men i stedet for at starte forfra, så kan I benytte en GDPR-skabelon til formålet. Men hvordan skal I bruge en GDPR-skabelon helt præcist? Hvordan indtaster man den rigtige information de rigtige steder? Hvad er det juridiske grundlag for at indsamle personoplysninger? Hvad er en legitim brug af personlige data? På dette tidspunkt er vores gæt, at I hellere vil se hvid maling tørre end at udfylde en GDPR-skabelon. Bare rolig: vi har jeres ryg. I dette indlæg vil vi give vejledning i udfyldelse af en GDPR-skabelon.

Først vil vi starte med nogle generelle introduktioner for at få det fulde billede, og derefter vil vi gå ind i de specifikke skabeloner.

 

1. Implementering af en GDPR-skabelon

Den generelle databeskyttelsesforordning (“GDPR”) er trådt i kraft i hele Europa, og som virksomhed bør I være dedikeret til at overholde alle relevante regler. GDPR handler om persondata og hvordan man beskytter dem, minimerer håndtering af dem og har tilstrækkelige foranstaltninger på plads. Reglerne er vigtige, men de kan virke meget komplekse for det utrænede øje.

 

2. Persondata

Udtrykket “persondata dækker enhver information vedrørende en identificeret eller identificerbar fysisk person (kaldet en “datasubjekt”). Sådanne oplysninger kan være oplysninger om navn, kontaktoplysninger, e-mail, telefonnummer, lokalitetsdata, lønoplysninger eller andet, der kan identificere en registreret.

Grundlæggende betyder det, at alle virksomheder behandler masser af persondata hver dag. Og det er okay, men I bør have den rigtige tilgang til at gøre det.

 

3. Få den rigtige tilgang til GDPR

Vi tager forpligtelsen til at behandle personoplysninger på en velordnet og sikker måde meget alvorligt. Beskyttelse af personoplysninger og enkeltpersoners rettigheder og integritet er af afgørende betydning. Men lad os ikke lade os rive med: For at være meget ærlige ved vi alle, at dette er endnu en byrde, der pålægges jer og jeres virksomhed. Og det er ikke let. Dette kræver virkelig meget arbejde. Meget få virksomheder har setup til at håndtere det, og mange har ikke tiden til det. I har brug for en plan, og I skal fokusere på vigtige spørgsmål – ikke gå efter 100 % compliance. Ingen vil være fuldt ud GDPR-kompatible. Det er simpelthen ikke muligt. Der er altid noget, der kunne gøres bedre. Stræb derfor efter en vis compliance – ikke fuld compliance.

Vores tilgang er at identificere vigtige risikoområder og håndtere dem. Der er også nogle nemme gevinster – for eksempel at få politikker og procedurer på plads. Det er en engangsinvestering, og så har I den. Det er også derfor, vi giver dem væk gratis.

4. Politikkerne og procedurerne bør være tilgængelige i hele jeres virksomhed

Det er vigtigt, at persondata behandles med omhu og en ordentlig risikobaseret tilgang, der er proportional med jeres virksomhed og dens forretning. Alle medarbejdere skal forpligte sig til at overholde disse politikker og procedurer. Sørg for at understrege denne vigtighed. Der er masser af måder at gøre det på, men en meget effektiv er at have en simpel quiz om indholdet af dem. Og det skaber også noget sund konkurrence.

 

5. Databeskyttelsesansvarlig

Overvej, om I skal have en ægte databeskyttelsesrådgiver. I har dog altid brug for en, der er ansvarlig for GDPR i jeres virksomhed. Siden du læser dette, er det sandsynligvis dig. Den databeskyttelsesansvarlige fører tilsyn med overholdelse af databeskyttelsesregler, gennemfører/faciliterer uddannelse af medarbejdere, igangsætter revisioner og håndterer alle spørgsmål vedrørende persondata.

 

6. De anvendte generelle principper

For at sikre en høj standard for behandling af personoplysninger skal I overholde følgende generelle principper:

Lovlighed og retfærdighed: Personoplysninger bør behandles på en lovlig og retfærdig måde og i overensstemmelse med de registreredes rettigheder.

Formålsbegrænsning: Personoplysninger bør kun indsamles til specificerede, eksplicitte og legitime formål. Yderligere bør personoplysninger udelukkende bruges til de formål, som dataene oprindeligt blev indsamlet til.

Gennemsigtighed: Når I indsamler personoplysninger fra registrerede eller via tredjeparter, skal I sikre jer, at den eller de pågældende registrerede vil få de oplysninger, der kræves i henhold til gældende lovgivning. Endvidere har registrerede til enhver tid ret til at anmode om oplysninger om, hvilke personoplysninger der indsamles om dem.

Dataminimering: Alle personoplysninger skal være fyldestgørende, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, de behandles til, dvs. ikke indsamle navnet på en registrerets hund, hvis det ikke er nødvendigt.

Nøjagtighed: Alle personoplysninger, der behandles, skal være nøjagtige og, hvor det er nødvendigt, holdes ajour.

Opbevaringsbegrænsning og opbevaring: Personoplysninger bør kun behandles på en måde, der er nødvendig, dvs. gem dem ikke på steder, hvor de ikke hører hjemme eller i flere kopier. Det bør ikke tillade identifikation af registrerede i længere tid, end det er nødvendigt for de formål, hvortil personoplysningerne indsamles og behandles. Hver af os skal sikre, at personlige data slettes på en korrekt måde.

Fortrolighed: Alle personoplysninger, der behandles, betragtes som fortrolige oplysninger og skal altid behandles med særlig omhu.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    7. Træning

    I bør gennemføre træning (webinarer, quizzer, seminarer osv.) af jeres medarbejdere vedrørende gældende databeskyttelsesregler og disse politikker og procedurer. I kan finde en masse gode (og gratis) online ressourcer til dette og husk at proportionalitet også gælder her. Er I en lavrisikovirksomhed, så er uddannelse mindre nødvendig.

    8. Revisioner

    Processer for regelmæssige datarevisioner med henblik på styring og afbødning af risici bør være på plads. Som udgangspunkt skal alle politikker og procedurer revideres mindst én gang om året. Det samme gælder for test af behandlingen af personoplysninger i virksomheden for at identificere eventuelle risici eller manglende overholdelse.

    9. De dokumenter, der udgør en del af vores GDPR-skabelon

    Følgende dokumenter er en del af vores “GDPR-pakke”. Hvert eneste dokument i denne pakke er vigtigt og bør nøje overvejes af jer. Det er måske ikke relevant for jer at implementere dem alle i jeres organisation. For eksempel behøver I ikke en cookiepolitik, hvis I ikke bruger cookies eller overhovedet har en hjemmeside.

    Nedenfor finder I en kort beskrivelse af hver skabelon, og hvorfor de er en del af vores pakke:

    Interne behandlingsprocedurer: jeres organisation skal tilpasses, og det rette beredskab og medarbejderuddannelse er nøglen til en vellykket implementering på jeres vej til GDPR-overholdelse. I har alle brug for at vide, hvad vi kan gøre med indgående og eksisterende persondata, adgangsniveauer, slettepolitikker osv. Denne behandlingsprocedure kan opdeles i flere procedurer for ikke at gøre det for kompliceret. Dette kan være tilfældet, hvis I har flere afdelinger, der håndterer meget forskellige data (det er forklaret mere i skabelonen).

    Databrudsprocedurer: Ved I hvornår I skal informere om et databrud? I skal alle vide, hvad et “databrud” er, og hvem I skal gå til i tilfælde af et brud. Desuden skal jeres databeskyttelsesansvarlige vide, om hun/han skal informere tilsynsmyndigheden og/eller de registrerede i tilfælde af et brud.

    Databrudslog: En log over alle brud, store som små, er lovpligtige og skal holdes opdateret af den databeskyttelsesansvarlige. Det er lige meget, om I ikke skal informere nogen om bruddet – det skal stadig være i loggen.

    Skabelon for anmeldelse af databrud: Nogle databrud skal rapporteres til myndighederne inden for 72 timer. Dette dokument angiver nogle vejledninger om disse tilfælde samt de oplysninger, der skal inkluderes. Dette dokument er primært til den databeskyttelsesansvarlige.

    Privatlivspolitik: Hvis I indsamler personlige data, skal I opdatere jeres privatlivspolitikker med de nye GDPR-standarder. Skabelonen indeholder en GDPR-kompatibel skabelontekst, men nogle oplysninger skal I selv udfylde, f.eks. hvilken slags personoplysninger I behandler og til hvilke formål. Dette skal til enhver tid holdes opdateret. Dette er især vigtigt, hvis I opretter hjemmesider, landingssider eller lignende til marketing- og salgsformål. Husk sondringen mellem ikke-følsomme og følsomme personoplysninger. Hvis I ikke behandler sidstnævnte, er der en smule tekst, der kan slettes (det fremgår tydeligt af politikken). Hvis I er i tvivl om, hvad I skal skrive i bestemte afsnit, kan I altid skrive til os, så hjælper vi. Vi anbefaler også at kigge på velrenommerede hjemmesider og få inspiration fra deres politikker og dens indhold. Kopier det ikke – kom bare ind i tankerne. Denne politik bør være tilgængelig på dit websted.

    Cookiepolitik: Indeholder alle nødvendige oplysninger om cookies. Hvad de er og hvilke typer, herunder oplysninger om, hvordan I sletter eller undgår visse typer cookies. I denne skabelon finder I en komplet GDPR-kompatibel tekst, men en egentlig cookie-software (kan være en god idé at se nærmere på) er ikke inkluderet. Besøgende på jeres hjemmeside skal vide, hvilke cookies I bruger og gemmer om dem og skal udfyldes af jer. Dette skal til enhver tid holdes opdateret. Dette er især vigtigt, hvis I opretter hjemmesider, landingssider eller lignende til marketing- og salgsformål. En tjeneste som cookiebot.com kan hjælpe jer med at identificere jeres cookies – og det er gratis. Denne politik bør være tilgængelig på dit websted.

    Databehandleraftale: En komplet skabelon på en databehandleraftale (“DPA”). Hvis I skal behandle data for en anden, eller hvis I beder nogen om at behandle data for jer, skal I have en DPA til at sikre, at rollerne er hugget i sten. DPA er et GDPR-krav.

    Adgangsanmodningsprocedure: I skal vide præcis, hvad I skal gøre i tilfælde af en “dataadgangsanmodning”, dvs. når en registreret beder om deres data eller noget i relation til deres data. Denne politik indeholder retningslinjer for, hvordan I kan håndtere sådanne anmodninger.

    Medarbejderdatasamtykke-formular: I som virksomhed håndterer også personoplysninger om alle medarbejdere for at opfylde ansættelsesforholdet. For at informere alle medarbejdere på en ensartet måde, har vi lavet en skabelon til at informere alle medarbejdere om jeres behandling af personoplysninger om medarbejdere.

     

    10. Hvordan udfylder man en GDPR-skabelon?

    Fordi hver virksomhed er forskellig, er der nogle oplysninger, som vi simpelthen ikke kan inkludere i vores skabeloner. Dette skal I selv udfylde. Alle steder er markeret med gule og skarpe parenteser “[XX]”. Vær opmærksom på, at I nogle steder skal slette den informationstekst, som vi har indsat. I de tilfælde skal det oplyses, at I skal slette teksten. Når I har udfyldt skabelonerne, bør I gøre dem tilgængelige internt i jeres virksomhed og sikre jer, at alle medarbejdere kender (og har læst) dem. Ikke en nem opgave, men meget nødvendig.

    Hvis I har problemer eller spørgsmål om at udfylde GDPR-skabeloner, så lad os det vide, og vi er klar til at hjælpe jer. Hvad I skal gøre er at kommentere nedenfor, og vi vil være sikre på at give jer det svar, I har brug for.

     

    Hvordan vi kan hjælpe

    DataMapper får jer en del af vejen til at blive compliant ved at fjerne den kedelige opgave med manuelt at finde personlige data i dokumenter. Dette er dokumenter, der er placeret på tværs af menneskestyrede lokationer, såsom e-mail- og filplaceringer. I stedet for at finde data manuelt, kan I gøre det ved at klikke på en knap. Dette begrænser mængden af kontrolstyring, der skal udføres, da hver person skal klikke på en knap, og administratoren får et automatisk overblik over, hvor personlige data i dokumenter er placeret.

     

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR