Persondataforordningen; GDPR stiller en række krav til virksomhederne - især til dokumentationen.
Har din virksomhed styr på den?
Det kan have store økonomiske konsekvenser, hvis du ikke har styr på den lovpligtige dokumentation omkring GDPR.
En overtrædelse af bestemmelserne kan straffes med helt op til 10.000.000 Euro eller 2% af din virksomheds samlede årlige omsætning.
Hvad er et GDPR dokumentationsgrundlag?
GDPR (General Data Protection Regulation) er en EU-forordning, som alle virksomheder i EU skal følge.
Alle arbejdsgange i en virksomhed der involverer persondata, skal kunne dokumenteres. I Danmark er det Datatilsynet, der fører kontrol med at forordningen overholdes.
Dokumentationsgrundlaget er en række dokumenter, der tilsammen udgør hele din virksomheds lovpligtige GDPR-dokumentation. Det kan for eksempel være: Datastrømsanalyse, fortegnelse, konsekvensanalyse, beredskabsplan, personale- og sikkerhedspolitik.
Dokumentationen kan variere i størrelse og omfang afhængig af din virksomheds processer og kerneområder.
Sådan får du styr på din lovpligtige GDPR dokumentation
Der er mange krav og regler til, hvordan persondataforordningen bør håndteres af virksomheden.
Du skal have styr på:
Datastrømsanalyse: Afdækker hvilke data der behandles og hvordan. Datastrømsanalysen afdækker procedurer samt eventuelle mangler.
Fortegnelse: Bruges af datatilsynet ved kontrolbesøg. Dokumentet danner overblik over, hvordan din virksomhed behandler personoplysninger og over grundlaget for at behandle disse data.
Konsekvensanalyse: Skal foretages når datastrømsanalysen/risikovurderingen afslører en høj risiko for personers rettigheder. Bruges også hvis der implementeres ny teknologi, der behandler personoplysninger.
Beredskabsplan: Beskriver processen for håndtering af et eventuelt datalæk. Dokumentet bruges desuden til at vurdere, om der skal bruges en fortrolighedserklæring.
Privatlivspolitik: Orienterer kunder, brugere, leverandører m.fl. omblandt andet brug af data og opbevaring.
Sikkerhedspolitik: Giver retningslinjer for brug af it og sikrer fx opdatering af software. Instruerer desuden medarbejdere, definerer kontrol af sikkerheden og beskriver fysiske forhold - fx alarm, adgangskontrol mv.
Databehandleraftaler: Dette dokument udgør en standard databehandler-aftale.
Persondatapolitik: Oplyser medarbejdere om rettigheder og hvilke data der behandles. Dokumentet synliggør, hvordan der orienteres om grundlaget for at behandle data. Det dokumenterer også formålet med at behandle data, og hvem der er ansvarlig for videregivelse og sletning af data.
