1. Kortlægning

Du starter med at lave en kortlægning af virksomhedens data. Her kan du bruges TEKNIQ Arbejdsgivernes dokument "Fortegnelse af dataaktiviteter" som hjælp.

Som det første skal virksomheden skabe klarhed over, hvilke personoplysninger virksomheden råder over – og med hvilke formål I har oplysningerne.

Persondataforordningen stiller nemlig krav om, at en dataansvarlig har gennemført en kortlægning over de personoplysninger, som virksomheden behandler.

Personoplysninger skal forstås bredt. Det er både i form af oplysninger om de ansatte og oplysninger om kunder, leverandører, samarbejdspartnere etc.
Alt hvad virksomheden foretager sig med personoplysninger, er en behandling – også det at gemme oplysningerne. 

Afgrænsning og forberedelse

Det første og vigtigste trin er, at alle i virksomheden skal vide og forstå, hvor vigtigt det er at overholde persondataforordningen og de eventuelle konsekvenser ved en overtrædelse. Har du en bestyrelse, skal de informeres og forstå vigtigheden. Det samme gælder dine medarbejdere, eller hvis I er flere om at dele ledelsen af virksomheden.

I bør derfor afholde et indledende møde i virksomheden, hvor den videre proces med arbejdet omkring persondataforordningen præsenteres. Er I en større virksomhed, kan I med fordel sammensætte en arbejdsgruppe på tværs af virksomheden forskellige afdelinger, som hver især kan hjælpe med at afdække, hvilke persondata der flyder igennem virksomheden.

I bør også danne jer et overblik over de love, regler og standarder, som I skal efterleve, for at virksomheden kan blive compliant.

Analyse af datastrømme

I det næste trin skal I danne jer et overblik over, hvilke oplysninger I har, og hvor de ligger. Det kaldes også for data mapping.

Processen skal give jer et overblik over:
  • Hvilke kategorier af persondata indsamles og behandles?
  • Hvilke registrerede personer vedrører dataene?
  • Hvilke systemer bruges til behandling af data – både hos jer selv, og hvis I eksempelvis har outsourcet en del af arbejdet.
I skal også forsøge at følge dataene i deres ”levetid” i virksomheden. For eksempel vil nogle oplysninger bliver indsamlet i forbindelse med jobansøgninger, hvor nogle slettes med det samme, mens andre først slettes, når medarbejderen stopper i virksomheden.

I kan starte med at stille jer selv disse spørgsmål:
  • Hvor kommer personoplysningerne fra?
  • Hvor opbevares oplysningerne?

Hvor opbevarer I persondata?
Persondata kan opbevares mange steder i virksomheden: dit mailsystem, rekrutteringssystemet, HR-systemet, fysiske personalemapper, kundedatabaser, arkiveringssystemer, intranettet, eksterne hjemmesider og så videre. I skal kigge alle fysiske og elektroniske steder igennem for at se, hvor der samler sig persondata.

Det er også vigtigt, at I tager højde for tredjepartssystemer og opbevaringsløsninger, ligesom den enkelte medarbejder kan have sit eget system eksempelvis på computerens skrivebord eller i private mapper. Også oplysninger, som ikke nødvendigvis deles med andre afdelinger eller eksterne parter, skal med.

Hvordan er datastrømmene?
Når I skal skabe et overblik over datastrømmene, kræver det viden om de interne processer. Derfor er det oplagt at holde interne workshops med de relevante medarbejdere – eksempelvis fra den føromtalte arbejdsgruppe.

Som forberedelse kan I lave en spørgeguide til den indkaldt medarbejdere, hvor det beskrives, hvilke informationer I skal bruge for at kunne afdække datastrømmene. Processen kan selvfølgelig gennemføres på mange måder og tilpasses efter din virksomheds størrelse og ressourcer – du kan for eksempel bruge én-til-én-interviews.

Resultatet af analysen skal være en oversigt over virksomhedens datastrømme, hvilke systemer der anvendes, og hvilke data de enkelte systemer indeholder. Oversigten kan derefter bruges som basis for det næste trin, compliance-analysen.

Analyse af compliance

Her skal I undersøge, om I overholder de gældende regler, og hvad I yderligere skal gøre for at overholde de kommende regler.

Det første spørgsmål, I skal stille jer selv, er, om I på nuværende tidspunkt overholder de gældende regler for behandling af persondata. Bagefter skal I se på, hvad der eventuelt skal ændres, så I også kommer til at overholde reglerne efter den 25. maj 2018. 

Overholder I de grundlæggende regler og dokumentationskrav?
I virksomheden skal I foretage en vurdering af, om I på nuværende tidspunkt er compliant i forhold til persondatareglerne, og om de interne regler overholder de grundlæggende krav i Persondatalovens §5, hvor der stilles en række betingelser til, hvornår behandling af persondata er lovlig.

Disse betingelser går igen i Persondataforordningen. Behandlingen af persondata må kun foretages på baggrund af et sagligt og legitimt formål, som skal angives tydeligt, og der må kun indhentes relevante oplysninger. Behandlingen af persondata er også underlagt proportionalitetsprincippet – det betyder, at behandlingen kun må finde sted, hvis den er nødvendig for formålet, og hvis samme resultat ikke kan opnås på en mindre gennemgribende måde. Derudover er man forpligtiget til at slette persondata, når de ikke længere skal bruges. På samme måde skal forkerte oplysninger rettes til efterhånden.

Hvad er det nye?
Som et nyt krav indeholder den nye Persondataforordning et krav om, at I skal kunne bevise, at I overholder de ovenstående krav i jeres behandling af persondata.

I skal derfor i virksomheden tage stilling til, hvordan I kan begrænse indsamlingen af persondata, og hvordan selve datamængden kan minimeres. Derudover skal I have procedurer for, hvordan en regelmæssig ajourføring og den nødvendige sletning foregår, og beskrive hvilke tiltag I gør for at sikre, at de persondata, I måtte have i virksomheden, ikke behandles ulovligt eller går tabt.

I kan starte allerede nu:

  • Vurdér formålene med jeres behandling af persondata,
  • Kig på indsamlede datamængder og vurdér dem i forhold til deres formål, og om de er nødvendige.
  • Ryd op i oplysninger, der er for gamle, irrelevante eller ikke længere har et formål.
  • Dokumentér, at I overholder de grundlæggende principper. For eksempel ved at udarbejde retningslinjer for indsamling og behandling af data.

Overfører I data til udlandet?
Overfører I data til andre lande inden for EU, kræver det ikke særlige forholdsregler. Men sender I data til lande uden for EU, må det kun ske, hvis der er et tilstrækkeligt beskyttelsesniveau i forbindelse med overførslen. I bør derfor tage stilling til, om I overfører persondata til lande uden for EU, og på hvilket grundlag overførslen sker.

Den hurtigste og mest foretrukne løsning er at benytte sig af EU-Kommissionens standardkontrakter. Hvis I ikke ændrer i kontrakternes ordlyd, skal de ikke godkendes af Datatilsynet. Hvis I laver overførsler til USA, kan det være relevant at anvende Privacy Shield-aftalen, som er godkendt af EU-Kommissionen. De amerikanske virksomheder, som ønsker at anvende aftalen og dermed blive certificeret, har kunnet tilslutte sig den siden den 1. august 2016.

Der er også andre aftalegrundlag, der kan anvendes. For eksempel Binding Corporate Rules inden for en koncern eller ved at indhente et udtrykkeligt samtykke fra den registrerede person. Under alle omstændigheder bør I sikre, at overførslerne allerede i dag sker på et lovligt grundlag.

Udarbejd en compliance-rapport
Når I har analyseret og fået et overblik over alle jeres datastrømme og kunnet vurdere, om jeres nuværende behandling af persondata er lovlig, kan I lave en compliance-analyse. I analysen skal det kortlægges, hvilke tiltag I skal foretage for at kunne overholde persondataloven i dag og den kommende persondataforordning. Resultatet skal være en compliance-rapport, som til dels også kan fungere som den fremtidige dokumentation på, at I behandler persondata ansvarligt.

Som dataansvarlig i virksomheden (klik for at læse mere om den dataansvarliges rolle), er det dit ansvar at finde de relevante oplysninger. Måske må du interviewe personalet i din virksomheds bogholderi eller administration, hvis det er i de afdelinger, personoplysningerne bliver opbevaret.

TEKNIQ Arbejdsgiverne har lavet en skabelon, som du kan benytte som inspiration, når du skal kortlægge, hvilke data jeres virksomhed behandler og med hvilke formål og grundlag. Du finder dokumentet "Fortegnelse af dataaktiviteter" i højre side eller ved at klikke her. Du kan læse en forklaring til dokumentet længere nede på denne side. 


Bemærk, at dokumentet skal foreligge elektronisk.

TEKNIQ Arbejdsgiverne påtager sig ikke ansvaret for korrekt anvendelse af dokumentet og dets indhold.



Forklaring til dokumentet "Fortegnelse af dataaktiviteter"
Dokumentet er et forslag til en kortlægning af de persondata, jeres virksomhed råder over. Dokumentet skal udfyldes og tilpasses de konkrete forhold i virksomheden.  
  • Den første del beskriver hvilke data, der behandles. 
  • Den anden del beskriver formål og grundlag for behandling af data. 
  • Den tredje del beskriver modtagelse og behandling af oplysninger. 
  • Den fjerde del kortlægger, hvem I videregiver oplysninger til.
  • Den femte del beskriver opbevaring og sletning af data.
  • Den sjette del beskriver hvilke tekniske og organisatoriske foranstaltninger, der skal foretages.

NÆSTE SKRIDT

Når du har udfyldt dokumentet "Fortegnelse af dataaktiviteter", så har du også kortlagt virksomhedens data. Derfra er næste skridt at foretage en GAP-analyse, som du kan læse mere om her.


Senest opdateret 23-08-2019


Persondata - FAQ
Kim Koch

Kim Koch

Konsulent og advokat

kko@tekniq.dk

7741 1592

Preben Meinecke-Søes

Preben Meinecke-Søes

Advokat(L)
og mediator

7741 1567

TEKNIQ Arbejdsgiverne er en organisation med klart fokus på teknik-og installationsbranchen samt industri. Som medlem får du en lang række fordele, der er tilpasset netop dine behov.