Modul 2: Dokumentation for håndtering af data

Dokumentation for virksomhedens håndtering af persondata

Som noget nyt indeholder GDPR krav om, at virksomheden skal dokumentere sin håndtering af persondata. Det betyder, at du skal have et dokumentationsgrundlag bestående af de elementer, der er vist i oversigten nedenfor.

1. Fortegnelse over behandlingsaktivitet

Persondataforordningen stiller krav om, at virksomheden skal udarbejde en fortegnelse (oversigt) over behandlingsaktiviteten, dvs. de persondata den registrerer og håndterer. Det drejer sig typisk om data om medarbejdere, både egne og indlejede, samt kunder. Virksomheden kan dog også behandle have andre personlige data om f.eks. samarbejdspartnere, leverandører, etc. I så fald skal de også med i fortegnelsen.

2. Databehandler og databehandleraftaler

Databehandler er leverandøren af den software virksomheden bruger til at behandle persondata, f.eks. Microsoft, eller leverandøren af virksomhedens økonomi- og personalesystemer, eller virksomheder, som behandler eller opbevarer virksomhedens persondata. Det kan f.eks. være et lønbureau, en IT-virksomhed, som "hoster" virksomhedens data, virksomhedens revisor, advokat eller andre, som du videregiver persondata til.

Når du har kortlagt, hvilke systemer virksomheden opbevarer persondata i, skal du lave en databehandleraftale med disse virksomheder, som dokumentation for, at data opbevares korrekt.

Da disse virksomheder selv er underlagt reglerne i GDPR om håndtering af persondata, vil de ofte have udarbejdet færdige databehandleraftaler, som du kan rekvirere.

3. Oplysninger til den registrerede

Persondataforordningen stiller krav om, at virksomheden orienterer de personer, som man indsamler data om. Orienteringen skal gives før virksomheden starter behandlingen af personoplysningerne.  

4. Samtykke

Hvis virksomheden behandler data som kan bruges til at identificere enkeltpersoner, skal der i nogle tilfælde indhentes samtykke fra de registrerede personer. Indsamling af data om personers race, etnisk oprindelse, religion, helbredsforhold, fagforeningsforhold, biometriske og genetiske forhold kræver altid samtykke.

5. Interne forretningsgange og politikker

For at sikre at virksomheden fastholder fokus på efterlevelse af reglerne om behandling af persondata, skal den udarbejde interne forretningsgange og politikker for, hvordan behandlingen af persondata foregår. Det svarer i princippet til den måde virksomhederne dokumenterer deres kvalitetsstyring på gennem politikker og forretningsgange i KS/KLS.

 

De vigtigste læringspunkter i modul 2

  • Den dataansvarlige, dvs. virksomheden, skal dokumentere, hvilke persondata den behandler, og hvordan behandlingen foregår
  • Virksomheden skal kortlægge sine databehandlingsaktiviterer, og lave en elektronisk fortegnelse over alle de typer af persondata, som den behandler (dvs. indsamler, opbevarer, bearbejder eller videregiver)
  • Virksomheden skal lave databehandler-aftaler med softwareleverandører, lønbureauer, leverandører af IT-hosting, revisorer, advokater og andre private, eksterne parter, der behandler virksom-hedens persondata
  • Virksomheden skal informere de personer, hvis data den indsamler og behandler, og om nødvendigt indhente samtykke
  • Virksomheden bør udarbejde forretningsgange, procedurer og politikker for, hvordan den behandler persondata, så indsatsen kan dokumenteres og fastholdes

TEKNIQ Arbejdsgiverne er en organisation med klart fokus på teknik-og installationsbranchen samt industri. Som medlem får du en lang række fordele, der er tilpasset netop dine behov.