Få styr på persondata-papirarbejdet
af Mia Storm, Advokat
Det har stået på to do-listen længe. Lige siden det personalemøde, hvor du med wienerbrød i mundvigen kom til at påtage dig opgaven, fordi du tænkte, at så svært kunne det da ikke være at strikke et par dokumenter sammen. Nu er dagene gået, og kalenderen siger maj, og du er ikke helt i mål endnu. Måske er du slet ikke begyndt. I så fald er du ved at have travlt, for der er – trods alt – lidt arbejde, der skal på plads, inden EU’s nye persondataforordning træder i kraft. I det følgende giver vi et par tips til det papirarbejde, du – som minimum – bør kaste et blik på.
Hvis virksomheden anvender eksterne databehandlere, altså hvis I på nogen måde sender data ud af huset og beder nogle andre opbevare, anvende, samle, kontrollere eller på anden måde behandle dataen, skal I have en databehandleraftale. Den fastlægger omfanget og varigheden af samarbejdet, typen af data, der skal behandles, databehandlerens forpligtelser, den dataansvarliges ansvar, samt bestemmelser om sikkerhed, overholdelse af instruks, brug af data etc. De fleste virksomheder, der agerer som databehandlere, vil allerede have standardaftaler liggende til underskrift – i så fald er det blot at kontakte dem og bede om en kopi til underskrift, hvis de ikke allerede har kontaktet jer. Skal I have udarbejdet en aftale fra bunden, kan I få hjælp af os.
Derudover skal I have et dataarkiv – eller en fortegnelse, som det også kaldes. Det er en oversigt over jeres behandlingsaktiviteter, herunder kontaktoplysninger på jeres DPO (hvis I har én), redegørelse for jeres sikkerhedsforanstaltninger, tidsfrister for sletning af data, typer af data, der behandles etc. Husk, at I skal have en fortegnelse for hver aktivitet - f.eks. én fortegnelse for behandlingsaktivtet relateret til kunder, én fortegnelse for behandlingsaktiviteter relateret til medarbejderadministration, etc. Dataarkivet kan med fordel udarbejdes som et skema, på den måde kan I samle flere behandlingsaktiviteter i ét dokument.
Næste step er at få givet datasubjekterne besked om, at I behandler deres data. Har I en hjemmeside, hvor I indsamler data – f.eks. en webshop – kan det ske via en persondatapolitik eller en Privacy Notice, som I lægger på hjemmesiden og henviser til. Den skal være nemt tilgængelig og nem at forstå, og den skal bl.a. indeholde oplysninger om jeres formål og hjemmel for at behandle data. Herudover skal I redegøre for datasubjektets rettigheder, ligesom I skal oplyse identitet og kontaktoplysninger på jeres virksomhed.
Det kan være en god idé at lave en risikovurdering – dvs. en beskrivelse af den behandling af data, som I foretager jer, konsekvenserne ved et muligt databrud, samt en oplistning af de konkrete tiltag, som I har anvendt for at reducere risikoen. På den måde får I en idé om, hvor I eventuelt skal være særligt opmærksomme fremover.
Ud over ovenstående kan det anbefales at lave én eller flere interne dokumenter, hvor I fastsætter spillereglerne for jeres håndtering af data, dvs. en datapolitik. Her kan medarbejderne se, hvornår de skal slette data, hvordan de håndterer anmodninger om sletning eller berigtigelse, hvem der skal kontaktes i tilfælde af databrud etc., ligesom I kan fastsætte fælles regler for brug af udstyr, aflåsning af lokaler og lignende. På den måde får I forhåbentlig rene linjer for hvordan I som virksomhed håndterer både intern og ekstern data, hvilket giver øget sikkerhed og en markant bedre mavefornemmelse, hvis Datatilsynet en dag banker på døren.
EU’s nye persondataforordning træder i kraft den 25. maj 2018. Som optakt hertil sætter vi øget fokus på forordningen ved at udgive en række blogindlæg om udvalgte emner. Læs mere her: Er du klar til den nye persondataforordning?
Har du spørgsmål til ovenstående eller har du brug for hjælp med persondataforordningen generelt, kan du kontakte advokat og CIPP/E Mia Storm på ms@otello.dk.