GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

PERSONLIGE OPLYSNINGER PÅ DENNE NETVÆRKSSITE

Databeskyttelsesstruktur i en virksomhed

Det er vigtigt at skabe en god databeskyttelsesstruktur i en virksomhed for at kunne overholde alle reglerne i GDPR. Derudover bliver arbejdet mere effektivt for alle medarbejdere i virksomheden, jo bedre strukturen omkring databeskyttelse er i virksomheden. Derfor er det vigtigt at sikre en god databeskyttelsesstruktur i en virksomhed.

Udgangspunktet for at skabe en god databeskyttelsesstruktur i overensstemmelse med GDPR

Der er flere måder at skabe en god databeskyttelsesstruktur i en virksomhed på. Udgangspunktet bør dog altid være at tilpasse databeskyttelsesstrukturen til hele virksomheden. Med andre ord er det ikke altid nødvendigt at ændre hele virksomhedsstrukturen selv for at tilpasse den til GDPR. 

For eksempel kan lederen af kundeservice også være en passende databeskyttelsesambassadør ved at få yderligere uddannelse i GDPR om spørgsmål, der er relevante for kundeserviceafdelingen. Med andre ord skal virksomheden bygge videre på de støttefunktioner og strukturer, der allerede findes, og foretage de nødvendige tilføjelser eller justeringer.

What breaches of the GDPR can lead to an administrative fine?

Decentraliseret beslutningstagning om GDPR-spørgsmål

Ved at decentralisere beslutningstagningen om GDPR-spørgsmål kan virksomheden arbejde mere effektivt. F.eks. ved at sætte databeskyttelsesambassadører i stand til at træffe visse mindre beslutninger i stedet for at skulle henvende sig til ledelsen/bestyrelsen, da det kan være tidskrævende og undertiden ineffektivt. 

Udarbejdelse af forvaltningsdokumenter med henblik på decentraliseret beslutningstagning

For at have et godt decentraliseret beslutningstagningssystem bør virksomheden udarbejde klare forvaltningsdokumenter, sørge for passende uddannelse og skabe en god databeskyttelseskultur. Andre medarbejdere kan også få beføjelse til selv at træffe visse beslutninger for at gøre deres arbejde mere effektivt. For eksempel kan en kundeservicemedarbejder have ret til at slette personoplysninger på anmodning af en registreret. 

Etablere nødvendige GDPR-relaterede aftaler og dokumenter

For at strømline arbejdet med GDPR så meget som muligt og overholde reglerne er det godt at udarbejde skriftlige kontraktskabeloner, rutiner, svarskabeloner, tjeklister, resuméer og anden relevant dokumentation for alle medarbejdere. På denne måde bliver medarbejderne opmærksomme på f.eks., hvordan de skal handle i tilfælde af et brud på persondatasikkerheden, hvad de skal svare, hvis en registreret anmoder om at få sine rettigheder opfyldt, eller lignende. 

Tilvejebringelse af passende uddannelse til medarbejderne

Det er alle medarbejdere i virksomheden, uanset deres rolle og pligter, der i praksis kommer i kontakt med personoplysninger i forbindelse med udførelsen af deres opgaver. Derfor skal alle medarbejdere overholde reglerne i GDPR, ikke kun virksomhedens ledelse. Derfor er det godt at uddanne medarbejderne i GDPR og korrekt behandling af personoplysninger. Det er dog ikke nødvendigt for alle medarbejdere at kende alle reglerne i GDPR. I stedet er det vigtigere at give medarbejderne passende uddannelse i GDPR i forhold, der vedrører deres specifikke opgaver og arbejdsområder.

Det er godt at få feedback fra medarbejderne

Da medarbejdere på alle niveauer i virksomheden normalt behandler personoplysninger i deres arbejde, er det godt at modtage feedback fra dem som en del af virksomhedens forbedringsarbejde. Medarbejderne har ofte et godt indblik i de praktiske forhold, der påvirker deres opgaver, og derfor kan de have et meget godt kendskab til forbedringsmuligheder. 

Kontrol af støtteberettigelse

Det er sjældent nødvendigt for alle medarbejdere at have adgang til alle de personoplysninger, som virksomheden behandler. I henhold til princippet om dataminimering bør personoplysninger eksponeres så lidt som muligt, herunder inden for en virksomhed. Kun de medarbejdere, der har brug for personoplysningerne til at udføre deres opgaver, bør have adgang til dem. Det er derfor nyttigt at have passende IT-løsninger til tildeling og kontrol af adgangstilladelser. 

What is the definition of anonymised data?

Eksempel

En regnskabskonsulent har brug for adgang til alle personoplysninger i det finansielle system for at kunne udføre sit regnskabsarbejde. Virksomhedens indkøbschef har dog ikke behov for adgang til alle disse personoplysninger og bør derfor ikke have de samme adgangsrettigheder som regnskabskonsulenten.

Det er vigtigt at have en god databeskyttelseskultur i virksomheden

At skabe en god databeskyttelseskultur betyder, at virksomheden skaber normer og værdier blandt sine medarbejdere, som er i overensstemmelse med GDPR og databeskyttelsesprincipperne. Det er noget, der udvikler sig over tid og er vigtigere, jo større virksomheden er. 

Eksempel: 

  • Opret en vane blandt medarbejdere til altid at dobbelttjekke den angivne modtager, før du sender en e-mail. 
  • Skab en kultur, hvor ingen medarbejdere skammer sig over at spørge deres kolleger om hjælp til GDPR eller andre spørgsmål.

Oprettelse af en databeskyttelsesstruktur - Jo større virksomheden er, desto vigtigere er det

Jo større virksomheden er, desto vigtigere er det at skabe en god databeskyttelsesstruktur for ikke at overtræde GDPR. Hertil kommer, at kravene normalt er højere for større virksomheder. For eksempel kan en stor virksomhed være nødt til at implementere en person for hver rolle, der er anført i beskrivelsen nedenfor, mens en mindre virksomhed kan give en person opgaver inden for flere roller.

Eksempel på en databeskyttelsesstruktur i en større virksomhed

Den øverste ledelse og bestyrelsen

  • Virksomhedens øverste ledelse og bestyrelse har detendelige ansvar for virksomhedens ledelse og for at sikre, at virksomheden overholder GDPR. 
  • For at medarbejderne skal kunne følge reglerne i GDPR i deres arbejde, skal topledelsen og bestyrelsen skabe en god databeskyttelseskultur. 
  • Topledelsen og bestyrelsen sikrer, at medarbejderne modtager passende uddannelse og instruktioner i, hvordan de udfører deres arbejde i overensstemmelse med GDPR.

Databeskyttelsesudvalget

  • Det er positivt at nedsætte et databeskyttelsesudvalg inden for virksomheden med mindst én person fra hver gruppe. Med andre ord en person fra den øverste ledelse, en person fra støttepersonalet, databeskyttelsesrådgiveren og databeskyttelsesambassadørerne. 
  • Databeskyttelsesudvalget kontrollerer og træffer daglige strategiske beslutninger baseret på virksomhedens behov. Desuden følger de op på foranstaltningerne.

Understøttelse af databeskyttelse

  • Det er normalt en person fra den juridiske afdeling i en virksomhed, der arbejder i rollen som databeskyttelsesstøtte. Databeskyttelsessupport har til opgaveat vejlede og yde support, besvare spørgsmål og lignende til de forskellige afdelinger i virksomheden.
  • Databeskyttelsesstøtte er også normalt tilsynsmyndighedens kontaktpunkt, hvis virksomheden ikke har en databeskyttelsesansvarlig.

Ambassadørerne for databeskyttelse

  • Databeskyttelsesambassadører er koordinatorer, der er kontaktpunkter i virksomheden.
  • Hvis en stor virksomhed har flere afdelinger, kan det være nyttigt at udpege en databeskyttelsesambassadør pr. omdirigering. For eksempel en til kundeservice, en til salg, lagerstyring osv.
  • Medarbejderne bør kunne henvende sig til databeskyttelsesambassadørerne for eventuelle spørgsmål om GDPR. Det samme gælder, hvis ledelsen/bestyrelsen ønsker at ændre noget i databeskyttelsesarbejdet, så det er databeskyttelsesambassadørerne, der håndhæver.

Databeskyttelsesrådgiver

Den databeskyttelsesansvarlige skal bl.a.:

  • Kontrollér, at virksomheden overholder GDPR.
  • Være tilgængelig for både medarbejdere og eksterne registrerede, såsom kunder, for spørgsmål vedrørende håndteringen af deres personoplysninger.
  • Gennemføre relevante uddannelses- og oplysningsaktiviteter i virksomheden.
  • Registreret hos den nationale databeskyttelsesmyndighed.
  • Giv input til virksomheden, når den gennemfører konsekvensanalyser. 

Andet personale

Det er medarbejderne i virksomheden, der i praksis arbejder med håndtering af personoplysninger. Derfor er det vigtigt at skabe gode betingelser for dem, så de kan gøre det i overensstemmelse med GDPR. Hvis de overtræder GDPR, er det virksomheden, der er ansvarlig for eventuelle konsekvenser, og ikke medarbejderen personligt. 

Flere oplysninger om GDPR

Forskellige roller

Det er godt at forstå de forskellige roller, der findes i GDPR, såsom registrerede, dataansvarlige, databehandlere og databeskyttelsesansvarlige, for at kunne udøve deres rettigheder og opfylde deres forpligtelser i henhold til GDPR. Desuden er det nyttigt at kende den nationale databeskyttelsesmyndigheds beføjelser. Hvis en controller ansætter en processor, er det vigtigt at regulere forholdet og kende forskellen mellem rollerne for at vide, hvem der skal gøre hvad. Derudover skal databehandlingsaftaler være skriftlige for at være gyldige.

Vil du lære mere?

Læs mere
Scroll to Top