Databeskyttelsesforordningens artikel 5, stk. 2
Databeskyttelsesprincippet om ansvarlighed
Kort sagt betyder princippet om ansvarlighed, at den dataansvarlige (virksomheden) er ansvarlig for at sikre, at virksomheden overholder databeskyttelsesprincipperne ved behandling af personoplysninger. De syv databeskyttelsesprincipper gennemsyrer hele GDPR. Principperne danner grundlag for alle bestemmelser i retsakten.
GDPR - princippet om ansvarlighed
Virksomheder har pligt til at dokumentere, at de overholder bestemmelserne i den generelle forordning om databeskyttelse (GDPR). Det er med andre ord ikke de registrerede eller databeskyttelsesmyndighederne, der skal bevise, at virksomhederne gør det.
Dette følger af det grundlæggende princip om ansvarlighed, som er en central del af GDPR. Databeskyttelsesforordningens artikel 5, stk. 2, regulerer princippet om ansvarlighed.
Tilsynsmyndigheden kan anmode om dokumentation
Husk, at tilsynsmyndigheden kan anmode om adgang til hele eller en del af virksomhedens dokumentation, registerliste mv. Derfor er det vigtigt at være forberedt og have god orden i sit interne og praktiske GDPR-arbejde og tilhørende dokumentation.
Her er nogle eksempler på, hvad virksomheder kan gøre
Informere
Virksomheder, der behandler personoplysninger, skal informere de registrerede forud for behandlingen. Oplysningerne skal være klare. F.eks. hvem den dataansvarlige er, formålet med behandlingen, hvor længe virksomheden har brug for at behandle personoplysningerne, og hvilke risici behandlingen indebærer for de registrerede osv.
Dokument
Virksomheder bør dokumentere deres behandling, begrundelser for beslutninger og andre oplysninger, der kan vise, at virksomheden overholder GDPR. Hvis en virksomhed f.eks. mener, at den har en legitim interesse, skal den gøre det og dokumentere en interesseafvejning. Desuden skal virksomhederne gennemføre konsekvensanalyser for visse behandlinger.
Procedurer og retningslinjer
Virksomhederne bør have interne databeskyttelsesprocedurer og retningslinjer, som medarbejderne bør følge. F.eks. skabeloner til, hvordan medarbejdere skal besvare spørgsmål om behandling af personoplysninger fra registrerede. Et andet eksempel er interne procedurer for, hvordan medarbejdere kan opfylde de rettigheder, som registrerede har i henhold til GDPR. Eller procedurer for, hvordan medarbejdere skal slette personoplysninger, som virksomheden ikke længere skal behandle.
Flere eksempler
Uddannelse
Personalet kan have brug for uddannelse i GDPR for at organisationen kan overholde reglerne. Det er almindeligt for virksomheder at sende visse medarbejdere til uddannelseskurser. Derudover har nogle større virksomheder flere medarbejdere i f.eks. forskellige afdelinger i virksomheden, som har brug for viden om GDPR og derfor får lov til at gå på uddannelse.
Dokumentation af brud på persondatasikkerheden (artikel 33, stk. 5, i GDPR)
Et brud på persondatasikkerheden er en sikkerhedshændelse, der f.eks. opstår, når en uautoriseret person får adgang til personoplysninger. Derudover er der tale om et brud på persondatasikkerheden, hvis persondata går tabt eller ændres på uautoriseret vis. Hvis der sker et brud på persondatasikkerheden, bør virksomheden dokumentere hændelsen og forsøge at minimere konsekvenserne. Dette gælder, uanset om hændelsen skal anmeldes til tilsynsmyndigheden eller ej.
Offentliggør meddelelse om beskyttelse af personlige oplysninger på webstedet (artikel 12 i GDPR)
Det er almindeligt for virksomheder at offentliggøre deres meddelelse om beskyttelse af personlige oplysninger på webstedet. En meddelelse om beskyttelse af personoplysninger indeholder oplysninger og en beskrivelse af behandlingen af personoplysninger. F.eks. informationsformål og retsgrundlag for behandlingen. Derudover inkluderer virksomheder, der har en databeskyttelsesrådgiver, normalt deres kontaktoplysninger i privatlivsmeddelelsen. Virksomheder bør ikke medtage privatlivsmeddelelsen i deres vilkår og betingelser, men bør have dem separat.
Samtykkeboks (artikel 7 i GDPR)
Virksomheder, der behandler personoplysninger på grundlag af retsgrundlaget samtykke, kan indsamle samtykke på forskellige måder. I nogle tilfælde kan dette gøres via et afkrydsningsfelt i en formular, en formular eller lignende. Det er vigtigt at huske på, at der ikke må sættes kryds i samtykkefeltet. Dette skyldes, at det ikke er et aktivt samtykke og dermed ikke bliver gyldigt.
Gyldigt samtykke og tilbagekaldelse
Virksomhederne skal kunne dokumentere, at de har opnået et gyldigt samtykke, hvis dette er retsgrundlaget for behandlingen af personoplysningerne. Desuden skal det være let for de registrerede at trække det afgivne samtykke tilbage. Ellers er samtykket heller ikke gyldigt.
Dokumentation
Virksomheden skal også dokumentere samtykker, der er indhentet for at bevise dem, i overensstemmelse med princippet om ansvarlighed.
Konsekvensanalyse vedrørende databeskyttelse (artikel 35 i GDPR)
Virksomhederne skal i visse tilfælde foretage en konsekvensanalyse vedrørende databeskyttelse. Dette gælder, hvis behandlingen sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder. I sådanne tilfælde skal virksomheden foretage og dokumentere konsekvensanalysen, inden behandlingen påbegyndes.
Føring af et register (artikel 30 i GDPR)
En anden måde at overholde princippet om ansvarlighed på er at føre et register. Den skal indeholde oplysninger om enhver behandling af personoplysninger. Såsom formål, opbevaringsperiode, modtagere af personoplysninger osv. Artikel 30 i GDPR indeholder oplysninger om, hvad et register skal indeholde for at opfylde minimumskravene.
Flere principper i GDPR
Princippet om Lovlighed, Retfærdighed og Gennemsigtighed
Dette grundlæggende databeskyttelsesprincip består af tre dele: lovlighed, formel rigtighed og gennemsigtighed. Lovlighed betyder, at virksomheder skal have et retsgrundlag for behandling af personoplysninger. F.eks. samtykke eller aftaler med registrerede. Nøjagtighed betyder, at virksomheden ikke bør behandle personoplysninger uforholdsmæssigt i forhold til behandlingen. Gennemsigtighed betyder, at virksomhederne skal informere de registrerede om behandlingen på en gennemsigtig måde. Med andre ord bør det ikke være uklart for de registrerede at forstå f.eks. formålet med behandlingen.