Databeskyttelse er afgørende for at beskytte personlige oplysninger i en digital verden. Det omfatter regler og bestemmelser, der styrer, hvordan data indsamles, behandles og opbevares. GDPR (General Data Protection Regulation) er en central lovgivning i dette område.
Hvornår trådte GDPR i kraft?
GDPR – eller persondataforordningen som den kaldes i almindelig tale – er en lov om databeskyttelse, som trådte i kraft den 25. maj 2018. Den gælder på tværs af alle organisationer og brancher i både Danmark og EU, og som dataansvarlig er det dit ansvar, at organisationen lever op til forordningen.
At GDPR overhovedet er en realitet, skyldes, at vi i dag deler personlige oplysninger overalt på nettet. Når vi shopper, logger på netbank eller bruger sociale medier. Hvilke oplysninger du har givet til hvem, kan være svært – for ikke at sige umuligt – at holde styr på. Derfor besluttede EU at udarbejde lovgivning på området.
Databeskyttelsesforordningen giver altså forbrugeren bedre kontrol over egne oplysninger, ligesom den kræver, at organisationerne strukturerer og systematiserer behandling og opbevaring af personoplysninger.
Nedenfor gennemgår vi et udpluk af de vigtigste regler én for én:
- Fortegnelse over behandlingsaktiviteter
- Dokumentation for god databehandlingsskik
- Dokumentation for passende foranstaltninger
- Samarbejde med databehandlere
Hvem skal overholde GDPR?
Enhver organisation, uanset dens størrelse eller aktiviteter, skal overholde GDPR, når den opererer inden for EU's grænser eller behandler data fra EU-borgere. Dette gælder, uanset om du driver en start-up eller arbejder i en veletableret virksomhed - GDPR-compliance er afgørende.
Det er vigtigt at bemærke, at GDPR's indvirkning på en organisation kan variere betydeligt. Dette afhænger af flere faktorer, herunder organisationens type, størrelse og mængden af følsomme personoplysninger, de behandler. Derfor er det afgørende for enhver organisation at forstå, hvordan GDPR påvirker deres specifikke forretningsmodel og træffe de nødvendige foranstaltninger for at opfylde de europæiske lovkrav.
Fortegnelse over behandlingsaktiviteter
Som organisation skal du ifølge forordningen føre en intern fortegnelse over alle de handlinger, der foregår i forbindelse med databehandling. Formålet er at have kontinuerlig dokumentation for, at organisationen overholder de forpligtelser, der er i GDPR. Det kan være i forbindelse med overvejelser vedrørende, hvilke personoplysninger I skal behandle, håndtering af indsigtsbegæringer og lignende.
Kort sagt er det altså ikke nok at efterleve reglerne – du skal også kunne dokumentere, at du gør det.
Der findes ingen krav til, hvordan fortegnelsen skal udføres, men den skal dog foreligge både skriftligt og elektronisk. Du kan med fordel investere i software, der hjælper med at strømline behandlingsaktiviteterne, så du får overblik over arbejdet – og ikke mindst så du kan trække en rapport, hvis Datatilsynet kommer forbi.
LÆS OGSÅ: Artikel 30 fortegnelse: derfor skal du have en
GDPR artikel 5: Dokumentation for god databehandlingsskik
GDPR kan være lidt af en mundfuld at sætte sig ind i. Det skyldes, at den er skrevet i et kringlet, juridisk sprog, der er vanskeligt at læse og forstå. Når det er sagt, findes der – i Artikel 5 – en overordnet beskrivelse af de principper, man bør behandle data ud fra.
Det drejer sig om:
- Lovlighed, rimelighed og gennemsigtighed
- Formålsbegrænsning
- Dataminimering
- Rigtighed
- Opbevaringsbegrænsning
- Integritet og fortrolighed
- Ansvarlighed
Princippet om lovlighed, rimelighed og gennemsigtighed
Dette princip definerer vigtigheden af lovlig behandling af persondata. I praksis betyder det, at din organisation skal indhente samtykke hos den pågældende person, hvis persondata I behandler.
Samtidig skal enhver databehandling være rimelig, hvilket betyder, at de aktuelle persondata skal behandles sikkert og med udgangspunkt i best practices.
Sidst men ikke mindst skal det være tydeligt og letforståeligt for den involverede, at data behandles, og hvordan det foregår.
Princippet om formålsbegrænsning
Når organisationen indsamler data om kunder eller medarbejdere, er det essentielt, at det kun sker i det omfang, det er nødvendigt – og det skal være med udgangspunkt i et specifikt formål.
Rent praktisk betyder det, at I kun må behandle persondata til netop dét, der er indhentet samtykke til. Eksempelvis må I ikke videresælge vedkommendes data, medmindre der er oplyst om dette.
Modsat er det lovligt at viderebehandle de aktuelle data i forbindelse med legitime eller saglige formål. For eksempel skal I ikke indhente samtykke for at få lov til at bogføre en faktura eller opbevare en kopi af en købsaftale.
Princippet om dataminimering
Dataminimering handler i høj grad om, at I som organisation skal være bevidste om, hvilke persondata der er nødvendige at indhente for at gennemføre en handling – og ikke indsamle yderligere.
Kort og godt læner dataminimering sig op ad formålsbegrænsningen. I må kun indsamle relevante oplysninger, der passer til formålet.
Princippet om rigtighed
Som dataansvarlig skal din organisation sikre, at de oplysninger, I behandler, er rigtige. I praksis betyder det, at data jævnligt skal ajourføres, så de rettes eller slettes i henhold til det formål, de er indsamlet til.
Arbejdet vedrørende rigtighed skal vurderes ud fra en rimelighedsbetragtning, men du kan med fordel overveje, om en software-løsning kan give dig de redskaber, der er nødvendige for at overholde princippet om rigtighed.
Princippet om opbevaringsbegrænsning
En af de grundlæggende regler i GDPR er, at din organisation ikke bør opbevare persondata længere end højest nødvendigt. Så længe formålet kræver, at de aktuelle data er tilgængelige, kan de opbevares, men herefter skal de slettes.
Er der overordnet data, I ønsker at beholde, kan du overveje, om det er muligt at anonymisere dem. I så fald er der ikke længere tale om personfølsomme oplysninger, men bare personoplysninger.
Princippet om integritet og fortrolighed
Integritet betyder, at organisationen skal sikre de aktuelle datas troværdighed og korrekthed over tid – jf. punktet om rigtighed.
Fortrolighed betyder, at persondata skal behandles på en måde, så uvedkommende ikke har adgang til de respektive data. Det gælder eksternt – for eksempel i forbindelse med hacking og tredjeparter – men også internt i organisationen, hvor medarbejderadgangen skal begrænses.
For at leve op til princippet om integritet og fortrolighed, skal organisationen implementere tilstrækkelige sikkerhedsforanstaltninger. Det gøres bedst ved at udarbejde en risikovurdering af jeres databehandling. Resultatet vil vise, hvilke områder der kræver yderligere sikkerhed.
Princippet om ansvarlighed
Dette princip omhandler kravet om at kunne dokumentere, at organisationen efterlever GDPR's regler. Det er ikke angivet, hvordan dokumentationen skal udformes, og derfor er det op til den enkelte organisation.
Mange har valgt at starte arbejdet med GDPR i tekstbehandlingsprogrammer eller Excel. Her kan det være svært at føre handlingslog, ligesom rapporter ikke kan trækkes automatisk.
Vil du strømline processerne og sikre, at organisationen efterlever retningslinjerne, kan du med fordel overveje software målrettet GDPR.
LÆS OGSÅ: 6 grunde til IKKE at bruge Excel, når du skal skabe overblik over GDPR
Dokumentation for passende foranstaltninger
Én ting er at leve op til GDPR – en anden ting er at dokumentere, at du gør det. Her vil det være en god idé at udarbejde en databeskyttelsespolitik og bruge den som udgangspunkt for dokumentationen. Hvad skal dokumenteres, hvordan det skal gøres, og hvem der har ansvaret for dokumentationen.
Her er det essentielt at huske, at det ikke kun er organisationens interne arbejde med databehandling, der skal kunne dokumenteres. Det gælder også for eksterne samarbejdspartnere, der på den ene eller anden måde har adgang til jeres data.
Fører organisationen fortegnelse over behandlingsaktiviteterne i forskellige regneark på tværs af afdelinger, bør I vide, at det ikke er en hensigtsmæssig måde at gribe det store dokumentationsarbejde an på. Der kan nemlig hurtigt opstå mangler i forhold til GDPR mange krav. Yderligere er det svært at udarbejde rapporter i løbet af 24 timer, hvis Datatilsynet beder om indsigt.
Samarbejde med databehandlere
Som organisation, der behandler personfølsomme data, er du såkaldt dataansvarlig. Det betyder – som ordet antyder – at det er dig, der har ansvaret for behandlingen af personoplysningerne. Det gælder både internt og eksternt.
Med eksternt menes, at det er dit ansvar, at eventuelle tredjeparter – altså databehandlere – følger reglerne i GDPR, når det kommer til arbejdet med dine data. Rent praktisk skal du udarbejde en databehandleraftale, der dokumenterer, at dine samarbejdspartnere efterlever instrukserne.
Du skal blandt andet sikre dig, at:
- Databehandleren ved, hvordan dine data skal behandles
- Databehandleren forpligter sig til fortrolighed
- Databehandleren sikrer et passende sikkerhedsniveau
- Du får besked ved eventuelle brud på sikkerheden.
En databehandleraftale er en bindende kontrakt, som skal udfærdiges skriftligt og opbevares elektronisk. Din samarbejdspartner er desuden forpligtet til årligt at redegøre for, hvordan organisationen overholder kravene og følger retningslinjerne.
