GDPR: Sådan kommer du godt i gang
07. december 2017

GDPR: Sådan kommer du godt i gang

Store som små virksomheder og organisationer er forpligtede til at overholde de nye regler om persondata. Reglerne træder i kraft i maj 2018, så tiden er inde til at overveje, hvilke persondata du gemmer.

Ifølge Karina Lind Bertelsen er det nu, man som virksomhed skal tage fat på arbejdet. Hun er advokat og specialist i persondata hos ADVODAN i Glostrup og har udarbejdet et bud på en handlingsplan, der kan hjælpe virksomhederne i gang med det vigtige arbejde.

"Start med at kortlægge data, og find ud af, hvad behovet er. Herefter kan man – eventuelt sammen med en advokat – lave en handlingsplan, hvor man tager fat på de forskellige opgaver i prioriteret rækkefølge. På den måde får I skabt overblik og kan komme godt i gang uden at drukne i opgaverne."

Forslag til en handlingsplan fra ADVODAN i Glostrup

  • Udpeg relevante nøglepersoner som tovholdere
  • Afsæt tid og økonomi til arbejdet
  • Få kortlagt persondata i virksomheden/organisationen, herunder overblik over:
    • Hvilke typer personoplysninger behandles?
    • Hvilke personer behandles der oplysninger om?
    • Hvad er formålet med behandlingen?
    • Er der samtykke eller andet lovligt grundlag for behandlingen?
    • Hvor opbevares personoplysningerne?
  • Deles personoplysninger med tredjemand?
  • Hvor længe gemmes de forskellige typer personoplysninger?
  • Få skriftlige databehandleraftaler på plads, fx med leverandører af lønsystem, it eller lignende
  • Få udarbejdet persondatapolitikker for relevante funktioner, fx personaleadministration, salg/marketing mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav
  • Få gennemgået virksomhedens it-sikkerhed og få implementeret de nødvendige tekniske foranstaltninger
  • Implementér organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata på vegne af virksomheden
  • Få udviklet processer, der sikrer, at de berørte personers, det vil sige medarbejdere, kunder mv., rettigheder bliver overholdt. Fx oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke
  • Få udarbejdet en procedure og et beredskab til håndtering af databrud.

Husk, det er virksomhedens eget ansvar

"Min erfaring er, at man skal tage det i steps. Mange virksomheder/organisationer strander, fordi de ikke kan overskue de mange forskellige elementer," mener Karina Bertelsen og fortsætter:

"Mange har haft en opfattelse af, at deres brancheforening eller lignende kommer og redder dem. Men virkeligheden er, at brancheforeninger mv. ofte kun kommer med overordnede vejledninger, og virksomhederne undervurderer, hvor meget de selv skal gøre internt."