03. april 2018

GDPR i advokatvirksomheder

Som advokatvirksomhed behandler du ofte meget følsomme data, og der hersker næppe tvivl om, at advokatvirksomheder skal passe overordentligt godt på, at disse data ikke falder i de forkerte hænder. Men når EU's skærpede regler i forbindelse med persondataforordningen (GDPR) træder i kraft, skal du også have øget fokus på de måske lidt oversete øvrige persondata, du behandler – herunder eksempelvis data om dine medarbejdere.

 

Kortlæg din databehandling

Sammenlignet med den gældende persondatalov skal du især være opmærksom på GDPR's ansvarlighedsprincip. Kort fortalt er det fremover ikke længere nok at behandle data ansvarligt – du skal blandt andre ting også kortlægge din databehandling og påvise din ansvarlighed ved fx at beskrive procedurer, løbende forholde dig til risici ved databehandlingen og undervise dine medarbejdere.

GDPR skelner tydeligt mellem den dataansvarlige og databehandleren, og med ansvarlighedsprincippet understreger de nye regler, at du som virksomhed skal være bevidst om dit dataansvar.

Som dataansvarlig skal du som virksomhed især huske, at viden om databehandlingsaktiviteter er en forretningsmæssig opgave, som ikke nødvendigvis har noget med it at gøre. Selvom du har en it-afdeling, en it-leverandør og et it-system, kan det aldrig være nogen garanti for, at de oplysninger, du lægger ind i it-systemet, er lovligt indsamlet og opbevaret, og det er din virksomheds eget ansvar at slette data på de rigtige tidspunkter og at bruge dataene til de rigtige formål.

En systematisk kortlægning af data vil vise, hvilke persondata I behandler – og i den forbindelse kan der også dukke data op, der ikke behandles i AdvoPro. Vi anbefaler derfor, at I har stor fokus på disse data. Det gælder fx MUS-skemaer og ansættelseskontrakter. Her kræver reglerne, at der findes procedurer for, hvor disse data er placeret, hvem der har adgang, og hvornår data slettes igen.

Du kan hente vejledning og skabelon til databeskyttelsesforordningen her.