GDPR-loven - tjek din viden

Har du styr på GDPR-loven? Tjek din viden her

10 minutters læsning
GDPR

GDPR (General Data Protection Regulation) – eller persondataforordningen som den kaldes i almindelig tale – er en databeskyttelseslov vedtaget af EU. Den gælder på tværs af alle organisationer og brancher i både Danmark og EU, og som dataansvarlig er det dit ansvar, at organisationen lever op til loven.

At GDPR-loven overhovedet er en realitet, skyldes, at vi i dag deler personlige oplysninger overalt på nettet. Når vi shopper, logger på netbank eller bruger sociale medier. Hvilke oplysninger du har givet til hvem, kan være svært – for ikke at sige umuligt – at holde styr på. Derfor besluttede EU at udarbejde lovgivning på området.

Databeskyttelsesloven giver altså forbrugeren bedre kontrol over egne oplysninger, ligesom den kræver, at organisationerne strukturerer og systematiserer behandling og opbevaring af personoplysninger.

Den 25. maj 2018 trådte GDPR-loven i kraft. Nedenfor gennemgår vi et udpluk af de vigtigste regler én for én:

  • Fortegnelse over behandlingsaktiviteter
  • Dokumentation for god databehandlingsskik
  • Dokumentation for passende foranstaltninger
  • Samarbejde med databehandlere

Læs med og se, om du har styr på GDPR-loven.  

Fortegnelse over behandlingsaktiviteter

Som organisation skal du ifølge loven føre en intern fortegnelse over alle de handlinger, der foregår i forbindelse med databehandling. Formålet er at have kontinuerlig dokumentation for, at organisationen overholder de forpligtelser, der er i GDPR-loven. Det kan være i forbindelse med overvejelser vedrørende, hvilke personoplysninger I skal behandle, håndtering af indsigtsbegæringer og lignende.

Kort sagt er det altså ikke nok at efterleve reglerne – du skal også kunne dokumentere, at du gør det.

Der findes ingen krav til, hvordan fortegnelsen skal udføres, men den skal dog foreligge både skriftligt og elektronisk. Du kan med fordel investere i software, der hjælper med at strømline behandlingsaktiviteterne, så du får overblik over arbejdet – og ikke mindst så du kan trække en rapport, hvis Datatilsynet kommer forbi.

LÆS OGSÅ: Derfor skal du have en fortegnelse  

Dokumentation for god databehandlingsskik

GDPR-loven kan være lidt af en mundfuld at sætte sig ind i. Det skyldes, at den er skrevet i et kringlet, juridisk sprog, der er vanskeligt at læse og forstå. Når det er sagt, findes der – i Artikel 5 – en overordnet beskrivelse af de principper, man bør behandle data ud fra.

Det drejer sig om:

  • Lovlighed, rimelighed og gennemsigtighed
  • Formålsbegrænsning
  • Dataminimering
  • Rigtighed
  • Opbevaringsbegrænsning
  • Integritet og fortrolighed
  • Ansvarlighed

Princippet om lovlighed, rimelighed og gennemsigtighed

Dette princip definerer vigtigheden af lovlig behandling af persondata. I praksis betyder det, at din organisation skal indhente samtykke hos den pågældende person, hvis persondata I behandler.

Samtidig skal enhver databehandling være rimelig, hvilket betyder, at de aktuelle persondata skal behandles sikkert og med udgangspunkt i best practices.

Sidst men ikke mindst skal det være tydeligt og letforståeligt for den involverede, at data behandles, og hvordan det foregår.

Princippet om formålsbegrænsning

Når organisationen indsamler data om kunder eller medarbejdere, er det essentielt, at det kun sker i det omfang, det er nødvendigt – og det skal være med udgangspunkt i et specifikt formål.

Rent praktisk betyder det, at I kun må behandle persondata til netop dét, der er indhentet samtykke til. Eksempelvis må I ikke videresælge vedkommendes data, medmindre der er oplyst om dette.

Modsat er det lovligt at viderebehandle de aktuelle data i forbindelse med legitime eller saglige formål. For eksempel skal I ikke indhente samtykke for at få lov til at bogføre en faktura eller opbevare en kopi af en købsaftale.

Princippet om dataminimering

Dataminimering handler i høj grad om, at I som organisation skal være bevidste om, hvilke persondata der er nødvendige at indhente for at gennemføre en handling – og ikke indsamle yderligere.

Kort og godt læner dataminimering sig op ad formålsbegrænsningen. I må kun indsamle relevante oplysninger, der passer til formålet.

Princippet om rigtighed

Som dataansvarlig skal din organisation sikre, at de oplysninger, I behandler, er rigtige. I praksis betyder det, at data jævnligt skal ajourføres, så de rettes eller slettes i henhold til det formål, de er indsamlet til.

Arbejdet vedrørende rigtighed skal vurderes ud fra en rimelighedsbetragtning, men du kan med fordel overveje, om en software-løsning kan give dig de redskaber, der er nødvendige for at overholde princippet om rigtighed.

Princippet om opbevaringsbegrænsning

En af de grundlæggende regler i GDPR-loven er, at din organisation ikke bør opbevare persondata længere end højest nødvendigt. Så længe formålet kræver, at de aktuelle data er tilgængelige, kan de opbevares, men herefter skal de slettes.

Er der overordnet data, I ønsker at beholde, kan du overveje, om det er muligt at anonymisere dem. I så fald er der ikke længere tale om personfølsomme oplysninger, men bare personoplysninger.

Princippet om integritet og fortrolighed

Integritet betyder, at organisationen skal sikre de aktuelle datas troværdighed og korrekthed over tid – jf. punktet om rigtighed.

Fortrolighed betyder, at persondata skal behandles på en måde, så uvedkommende ikke har adgang til de respektive data. Det gælder eksternt – for eksempel i forbindelse med hacking og tredjeparter – men også internt i organisationen, hvor medarbejderadgangen skal begrænses.

For at leve op til princippet om integritet og fortrolighed, skal organisationen implementere tilstrækkelige sikkerhedsforanstaltninger. Det gøres bedst ved at udarbejde en risikovurdering af jeres databehandling. Resultatet vil vise, hvilke områder der kræver yderligere sikkerhed.

Princippet om ansvarlighed

Dette princip omhandler kravet om at kunne dokumentere, at organisationen efterlever GDPR-lovens regler. Det er ikke angivet, hvordan dokumentationen skal udformes, og derfor er det op til den enkelte organisation.

Mange har valgt at starte arbejdet med GDPR i tekstbehandlingsprogrammer eller Excel. Her kan det være svært at føre handlingslog, ligesom rapporter ikke kan trækkes automatisk.

Vil du strømline processerne og sikre, at organisationen efterlever retningslinjerne, kan du med fordel overveje software målrettet GDPR.

LÆS OGSÅ: 6 grunde til IKKE at bruge Excel, når du skal skabe overblik over GDPR

Dokumentation for passende foranstaltninger

Én ting er at leve op til GDPR-loven – en anden ting er at dokumentere, at du gør det. Her vil det være en god idé at udarbejde en databeskyttelsespolitik og bruge den som udgangspunkt for dokumentationen. Hvad skal dokumenteres, hvordan det skal gøres, og hvem der har ansvaret for dokumentationen.

Her er det essentielt at huske, at det ikke kun er organisationens interne arbejde med databehandling, der skal kunne dokumenteres. Det gælder også for eksterne samarbejdspartnere, der på den ene eller anden måde har adgang til jeres data.

Fører organisationen fortegnelse over behandlingsaktiviteterne i forskellige regneark på tværs af afdelinger, bør I vide, at det ikke er en hensigtsmæssig måde at gribe det store dokumentationsarbejde an på. Der kan nemlig hurtigt opstå mangler i forhold til GDPR-lovens mange krav. Yderligere er det svært at udarbejde rapporter i løbet af 24 timer, hvis Datatilsynet beder om indsigt.

Samarbejde med databehandlere

Som organisation, der behandler personfølsomme data, er du såkaldt dataansvarlig. Det betyder – som ordet antyder – at det er dig, der har ansvaret for behandlingen af personoplysningerne. Det gælder både internt og eksternt.

Med eksternt menes, at det er dit ansvar, at eventuelle tredjeparter – altså databehandlere – følger reglerne i GDPR-loven, når det kommer til arbejdet med dine data. Rent praktisk skal du udarbejde en databehandleraftale, der dokumenterer, at dine samarbejdspartnere efterlever instrukserne.

Du skal blandt andet sikre dig, at:

  • Databehandleren ved, hvordan dine data skal behandles
  • Databehandleren forpligter sig til fortrolighed
  • Databehandleren sikrer et passende sikkerhedsniveau
  • Du får besked ved eventuelle brud på sikkerheden.

En databehandleraftale er en bindende kontrakt, som skal udfærdiges skriftligt og opbevares elektronisk. Din samarbejdspartner er desuden forpligtet til årligt at redegøre for, hvordan organisationen overholder kravene og følger retningslinjerne.

LÆS OGSÅ: Sådan kommer du i gang med at blive ISO 27001-certificeret

Download Nyhedsbrev fra Plesner

Har du styr på GDPR-loven? Tjek din viden her

Udfyld formular for at downloade

Andre artikler

Få best practices og ekspertviden

Hold dig opdateret med best practices, nyheder og viden om governance, risikostyring og compliance og få invitationer til events og webinarer. Du kan til enhver tid afmelde dig.

Tilmeld nu