Persondata – hvad vi kan hjælpe jer med
Implementering
Processen til at blive compliant med persondatareglerne kan efter vores erfaring være vanskelig at komme i gang med. Vi tilbyder derfor en individuel, praksisorienteret løsning, som passer til netop jeres virksomhed. Om I ønsker en indføring i persondatareglerne eller hele processen, er op til jer.
Oplysningspligt
Når man som f.eks. virksomhed behandler personoplysninger, skal virksomheden som udgangspunkt oplyse de berørte personer derom. Der stilles i persondatareglerne en række krav til oplysningens indhold, ligesom opfyldelsen deraf skal kunne dokumenteres.
Vi har stor erfaring i, hvordan opfyldelse af oplysningspligten kan ske, herunder f.eks. ved udarbejdelse og udlevering af privatlivspolitkker, mailsignaturer, kvitteringsbreve mv. som alt sammen kan bruges som led i opfyldelse af oplysningspligten.
Privatlivspolitik
Mange dataansvarlige benytter en privatlivspolitik på deres hjemmeside til delvist af opfylde oplysningspligten over for de personer, der behandles personoplysninger om. Privatlivspolitikken bidrager desuden til at sende et signal om, at virksomheden tager behandling af personoplysninger seriøst.
Vi har stor erfaring med at udforme privatlivspolitikker til store og små virksomheder inden for mange forskellige brancher.
DPO-service
For nogle organisationer er det et krav at have udpeget en databeskyttelsesrådgiver. Dette gør sig gældende for alle offentlige myndigheder, men også for virksomheder hvis kerneforretning består af overvågning af personer og deres adfærd eller omfattende behandling af følsomme personoplysninger.
Med en aftale om DPO-service hos os, får du stillet en certificeret DPO til rådighed, og du får sikkerhed for at få effektiv opgaveløsning af høj kvalitet på konsulentbasis.
Databehandleraftaler
Det er den dataansvarliges ansvar, at der er indgået databehandleraftaler, og at disse opfylder kravene i persondatareglerne.
Vi udarbejder databehandleraftaler og forhandler dem på plads, ligesom vi gennemgår, vurderer og om nødvendigt tilretter databehandleraftaler.
Er du databehandler, er det vigtigt, at du gennemgår de databehandleraftaler, som du modtager fra dine kunder med henblik på at afklare, om du kan leve op til de krav, som aftalen indeholder. Desuden kan det være relevant, at du får udarbejdet en standard databehandleraftale, som du selv kan udlevere til dine kunder.
Fortegnelser
Det er et krav efter persondatareglerne, at både dataansvarlige og databehandlere udarbejder fortegnelser over behandlingsaktiviteter. En fortegnelse er en oversigt over den håndtering af personoplysninger, der finder sted hos jer. Fortegnelserne skal foreligge skriftligt, herunder elektronisk.
Vi hjælper med klarlægning af jeres behandling af persondata og udarbejder fortegnelser. Vi kan desuden tilbyde implementering af et IT værktøj, der gør udarbejdelsen af fortegnelser og den løbende vedligeholdelse heraf nemmere for virksomheden.
Slettepolitikker
Generelt må personoplysninger ikke opbevares længere, end man har brug for dem. Det er derfor nødvendigt at udarbejde slettepolitikker for de forskellige typer personoplysninger. I den forbindelse skal det vurderes, hvor længe de enkelte personoplysninger må opbevares.
Vi hjælper med vurdering af opbevaringsperiode og udarbejdelse af slettepolitikker, herunder praktisk implementering af sletteprocedurer i virksomheden og dokumentation for sletning.
Samtykker
Kravene til samtykke er skærpet i persondatareglerne. Det er derfor vigtigt, at samtykker formuleres og håndteres på en sådan måde, at de lever op til kravene.
Vi gennemgår, vurderer og udarbejder samtykker, ligesom vi rådgiver om håndteringen deraf.
Medarbejderhåndbøger
Det er vigtigt, at virksomhedens medarbejdere orienteres om og oplæres i korrekt håndtering af personoplysninger. I den forbindelse kan det være hensigtsmæssigt med en medarbejderhåndbog, som også kan udgøre en del af dokumentationen for compliancearbejdet. Vi bistår med udarbejdelse af medarbejderhåndbog målrettet den enkelte virksomhed.
Vurderinger
Ofte er det ikke klart, om en oplysning er en personoplysning, i hvilket omfang den må behandles og hvordan, hvem der er dataansvarlig eller databehandler, om der foreligger en databehandlerkonstruktion, om der så skal indgås en databehandleraftale m.v.
Vi anbefaler, at man i tvivlstilfælde får vurderet den enkelte situation og gemmer vurderingen som en del af dokumentationen for compliancearbejdet med persondata. Vi bistår gerne dermed.
Relevante vurderinger omhandler bl.a. følgende:
- Hvorvidt der foreligger en databehandlerkonstruktion
- Hvorvidt der er tale om behandling af personoplysninger
- Hvorvidt virksomheden skal have en DPO
- På hvilket retlig grundlag man må behandle personoplysningerne, herunder om der skal indhentes samtykke
Review
Er I allerede igennem complianceprocessen på egen hånd, kan det være en god ide at få det udarbejdede materiale gennemgået og om nødvendigt tilrettet. Ofte er der sket noget siden, processen blev gennemført, så der er behov for justeringer. Det kan være ændringer i jeres virksomhed, men også ændringer i praksis på området.
Derudover anbefaler vi, at man løbende følger op på compliancearbejdet og minimum én gang om året får det gennemgået og vurderet ved et review.
Vi udarbejder reviews med skriftlig tilbagemelding, som I kan bruge som en del af jeres dokumentation.
Databrud
Databrud er ofte menneskelige fejl, som f.eks. når en mail sendes til en forkert modtager. Hvis mailen indeholder personoplysninger, er det et databrud, som skal registreres. Derudover skal der måske ske anmeldelse til Datatilsynet og underretning af den eller de registrerede, hvis personoplysninger er sendt til en forkert modtager.
Vi bistår med implementering af en systematisk registrering af sikkerhedsbrud, herunder udarbejdelse af retningslinjer for håndtering af databrud, ligesom vi bistår med vurdering af databruddet og om nødvendigt anmeldelse til Datatilsynet samt underretning af de registrerede.
GDPR-årshjul
Et GDPR årshjul har til formål at skabe overblik over de aktiviteter, som virksomheden skal udføre for at sikre løbende GDPR compliance. Dette kan bl.a. omfatte intern kontrol, tilsyn med databehandlere samt opdatering og revision af relevante dokumenter.
Afhængig af virksomhedens behov udarbejder vi skriftlige årshjul eller automatiserede årshjul i samarbejde med en softwareleverandør, som vi har indgået et samarbejde med.
GDPR-certificering
Mange virksomheder ønsker at kunne dokumentere deres informationssikkerhed og persondatahåndtering via en certificeringsordning. En certificeringsordning bidrager til, at virksomheden får indarbejdet nogle operationelle processer og et ledelsessystem, der løbende sikrer et passende niveau af sikkerhed og compliance samt sender et tydeligt signal til kunder og andre interessenter om, at virksomheden har styr på sikkerheden i forhold til persondata.
En certificering kan desuden bidrage til at dokumentere en databehandlers overholdelse af de indgåede databehandleraftaler.
ISO/IEC 27001 er en anerkendt certificeringsordning inden for informationssikkerhed og giver et rigtig godt fundament for at sikre et passende organisatorisk og teknisk sikkerhedsniveau for informationer, som behandles i virksomheden. En ISO/IEC 27001 certificering sikrer dog ikke overholdelse af GDPR, da der en række GDPR krav, som ikke behandles i ordningen, ligesom der er fokus på informationer generelt set og ikke persondata som sådan.
Der findes andre certificeringsordninger inden for GDPR, som kan implementeres i kombination med en ISO/IEC 27001 certificering eller anvendes alene. Vi har bl.a. erfaring med certificering under Bureau Veritas Data Protection Certification Scheme og holder os opdateret på andre certificeringsordninger samt relevante erklæringer som ISAE 3000.
Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller advokat Marcus Gangdal på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk for nærmere information.
Må en forening behandle CPR-nr., når den modtager gaver og bidrag?
Af Kristine Mølgaard Mogensen CPR-nummer er en almindelig personoplysning i Persondataforordningens forstand. Der er i Danmark vedtaget særregler om behandling af CPR-nummer i Databeskyttelsesloven, som trådte i kraft samtidig med Persondataforordningen. I...
Relaterede artikler
- Må man offentliggøre billeder på internettet
- Fonde og GDPR
- Samtykke til behandling af personoplysninger
- Whistleblower-direktivet: Styrkelse af whistleblower-beskyttelse i EU
- 10 typiske spørgsmål om whistleblowers og whistleblowerordninger
- Sådan kan whistleblowerordninger styrke din virksomheds integritet og effektivitet
- Hulgaard Advokater i samarbejde med Whistleblower Software
- Fokus på cookieløsninger
- GDPR på hjemmearbejdspladsen