Aftaler og dokumenter
GDPR-relaterede aftaler og dokumenter, som virksomheder kan have brug for
Der er flere GDPR-relaterede aftaler og dokumenter, som virksomheder kan være nødt til at udarbejde for at overholde EU’s generelle forordning om databeskyttelse (GDPR), som trådte i kraft i maj 2018.
Her er eksempler på nogle GDPR-relaterede aftaler og dokumenter, som virksomheder kan have brug for i henhold til GDPR
GDPR gælder for alle virksomheder, der opererer i EU og behandler personoplysninger. EU-forordningen stiller høje krav til virksomheder, der skal kunne dokumentere, at de overholder GDPR. Bevisbyrden for overholdelse påhviler virksomheden og ikke den person, der hævder, at virksomheden overtræder forordningen. Det betyder blandt andet, at virksomheden skal have relevante GDPR-relaterede aftaler og dokumenter. Jo større virksomheden er, jo mere GDPR arbejde er normalt påkrævet.
Oprette og offentliggøre en meddelelse om beskyttelse af personlige oplysninger
Virksomhederne skal informere de registrerede om behandlingen af deres personoplysninger i henhold til artikel 13 i GDPR og artikel 14 i GDPR. Dette sker normalt i form af en meddelelse om beskyttelse af personoplysninger, som bl.a. skal indeholde oplysninger om formålet med behandlingen, fristen for behandlingen, hvilke rettigheder de registrerede har, hvad retsgrundlaget er osv. Meddelelsen om beskyttelse af personoplysninger skal offentliggøres på hjemmesiden og gøres tilgængelig via et link i alle virksomhedens andre digitale butiksfacader, f.eks. i slutningen af e-mails, ved siden af kontaktformularer, på sociale medier osv.
En almindelig fejl på hjemmesider
Mange virksomheder har en kontaktformular på deres hjemmeside, hvor besøgende kan sende beskeder til virksomheden eller bestille et produkt eller en tjeneste fra virksomheden. Den besøgende skal normalt udfylde sine kontaktoplysninger i formularen for at kunne sende beskeden. Det indebærer behandling af personoplysninger, og derfor skal virksomheden informere om behandlingen, inden meddelelsen sendes. Det er derfor bedst at have en kort beskrivende tekst med et link til privatlivsmeddelelsen, som den besøgende attesterer, at de har læst, når de indsender meddelelsen via kontaktformularen.
Indgå en aftale om behandling af personoplysninger
Når en dataansvarlig engagerer en databehandler, skal vedkommende indgå en databehandleraftale i overensstemmelse med artikel 28 i GDPR. Det samme gælder, når en databehandler engagerer en underdatabehandler af personoplysninger.
Eksempler på, hvornår det er almindeligt at ansætte en databehandler:
Regnskabsføring
Hvis en virksomhed ansætter et revisionsfirma til at styre virksomhedens løbende regnskab og løn til medarbejdere.
Markedsføring
Når en virksomhed ansætter et marketingbureau til at styre markedsføring og statistik på vegne af virksomheden.
Databehandleraftalen skal være skriftlig for at være gyldig
De fleste aftaler kan være mundtlige, men har samme gyldighed som en skriftlig aftale. På den anden side er det lettere at bevise skriftlige aftaler i tilfælde af en tvist eller at bevise overholdelse af en bestemt lov. Nogle aftaler skal dog være skriftlige for at være gyldige, da det er et formelt krav ved lov. Persondatabehandleraftaler og underdatabehandleraftaler er de typer formelle aftaler, der skal være skriftlige ved lov for at være gyldige. Det skriftlige krav er fastsat i databeskyttelsesforordningens artikel 28, stk. 3.
Virksomheder kan være nødt til at oprette et register
Nogle virksomheder skal oprette et register i overensstemmelse med artikel 30 i GDPR. Dette gælder både for visse dataansvarlige og databehandlere. Registret skal være skriftligt og stilles til rådighed elektronisk. Desuden holdes den ajour over tid og stilles til rådighed for tilsynsmyndigheden efter anmodning.
Det er ikke alle virksomheder, der skal have et register.
Nogle virksomheder skal have et register i overensstemmelse med GDPR. Dette gælder, hvis virksomheden har mere end 250 ansatte. Men nogle virksomheder med færre ansatte kan også have brug for at have et register over poster. For eksempel, hvis virksomheden foretager behandling af følsomme personoplysninger, eller hvis behandlingen med stor sandsynlighed vil medføre en høj risiko for registreredes rettigheder og frihedsrettigheder, eller i tilfælde af tilbagevendende behandling (dvs. behandlingen er ikke midlertidig). Som følge heraf er det kun nogle få virksomheder, der ikke behøver at udarbejde et register.
Aftale om deling af data inden for gruppen (IGA)
Bare fordi virksomheder er en del af samme koncern, betyder det ikke, at de på nogen måde kan overføre personoplysninger mellem hinanden. Det er derfor vigtigt at indgå en koncernintern aftale om deling af personoplysninger, hvor parterne regulerer deres roller, retsgrundlag for behandlingen, ansvar osv. En sådan koncernintern aftale er en omfattende og kompleks aftale, men vigtig inden for koncerner. Som følge heraf er det ikke nødvendigt at indgå mange forskellige særskilte databehandlingsaftaler, datadelingsaftaler osv. mellem parterne, da al datadeling, der kan finde sted mellem virksomhederne i koncernen, i stedet reguleres i en samlet koncernintern aftale.
Datadelingsaftaler (DSA'er), når virksomheder deler personoplysninger mellem hinanden
Når mindst to virksomheder deler personoplysninger mellem hinanden, men er uafhængige dataansvarlige, er det godt, hvis de etablerer og indgår en aftale om datadeling. Datadelingsaftalen regulerer bl.a., hvorfor delingen finder sted, hvilke kategorier af personoplysninger der deles, sikkerhedsforanstaltninger truffet af virksomheder, ansvarsfordelingen mellem parterne i forbindelse med udøvelsen af de registreredes rettigheder osv. Det er godt at udarbejde en skriftlig datadelingsaftale, da den mindsker risikoen for forvirring og præciserer ansvarsfordelingen mellem parterne. Dette kan igen reducere risikoen for, at hver parts behandling af de delte personoplysninger finder sted i strid med GDPR.
Kontinuitetsplan til håndtering af kriser
Det er godt for virksomhederne at være forberedt på eventuelle kriser. En forretningskontinuitetsplan beskriver de kritiske processer, som virksomheden har, og som skal fungere, for at virksomheden kan fortsætte sit arbejde. Virksomhederne skal være i stand til at håndtere kriser effektivt og sikre, at driften fortsætter, selv under kriser. Derfor er det godt at gøre det lettere for medarbejderne ved at udarbejde en skriftlig forretningskontinuitetsplan, der sætter dem i stand til at håndtere kriser i praksis.
Indgå interne fortrolighedsaftaler for medarbejdere
En virksomhed bør som arbejdsgiver udarbejde skriftlige fortrolighedsaftaler og indgå dem med sine ansatte. Det er også almindeligt for arbejdsgivere at medtage en fortrolighedsklausul i ansættelseskontrakten. I nogle tilfælde er virksomheden forpligtet ved lov eller aftale til at aftale fortrolighed med sine medarbejdere. Det er derfor en fordel, hvis der indgås en særskilt fortrolighedsaftale, i stedet for at den indarbejdes som en kontraktbestemmelse i ansættelseskontrakten, da det er mindre indgribende at fremlægge fortrolighedsaftalen, hvis det er nødvendigt.
Politikker til overholdelse af GDPR
Der er en række forskellige politikker, der kan være gode for virksomheder at etablere, for at hjælpe medarbejderne med at overholde reglerne i GDPR. F.eks.:
IT-sikkerhedspolitik
En IT-sikkerhedspolitik er et overordnet politikdokument, der omhandler virksomhedens regler for beskyttelse af personoplysninger. F.eks. hvilke berettigelsesregler virksomheden har, hvordan virksomheden skal håndtere brud på persondatasikkerheden, beskytte adgangskoder osv. Med andre ord giver en IT-sikkerhedspolitik en ramme for, hvilke tekniske og organisatoriske foranstaltninger virksomheden skal træffe for at beskytte personoplysninger.
Fortrolighedspolitik
En privatlivspolitik er ikke det samme som en privatlivspolitik. En privatlivspolitik er et eksternt informativt dokument rettet til de registrerede, mens en privatlivspolitik er et internt ledelsesdokument for virksomhedens medarbejdere. Her beskriver virksomheden blandt andet, hvilke databeskyttelsesprincipper der gælder for behandling af personoplysninger, hvordan medarbejdere skal arbejde korrekt med behandling af personoplysninger mv.
Forskel mellem politikker og procedurer
Der er mange, der blander politik og rutiner sammen. Politikker er et mere omfattende politisk dokument, der er strategisk med en vision og retning. I modsætning til skriftlige procedurer, som består af mere praktiske instruktioner til medarbejderne om, hvordan de kan nå de mål, der er fastsat i politikkerne. Procedurerne har således til formål at regulere mere operationelle og konkrete foranstaltninger og instrukser.
Rutiner er praktiske skriftlige instruktioner til medarbejderne
For at sikre, at medarbejderne arbejder i overensstemmelse med GDPR, er det godt at etablere skriftlige procedurer, som de kan følge. En god tommelfingerregel er, at jo flere medarbejdere og afdelinger en virksomhed har, jo flere rutiner kan være passende at etablere og implementere. Rutiner strømliner medarbejdernes arbejde og kan føre til en højere grad af praktisk overholdelse af reglerne i GDPR.
Udtynding
Virksomheder skal slette personoplysninger regelmæssigt. Ved at have en rutine for udtynding sikrer virksomheden, at de ikke behandler personoplysninger længere end nødvendigt til det formål, hvortil de blev indsamlet.
Registreredes rettigheder
Virksomheder skal overholde de registreredes rettigheder, såsom retten til berigtigelse, retten til at blive glemt, retten til information om behandlingen osv. Desuden skal behandlingen finde sted inden for visse tidsfrister. En af de procedurer, som de fleste virksomheder bør have, er derfor procedurer for at kunne opfylde de registreredes rettigheder.
Onboarding og offboarding
Det er godt for en virksomhed at have skriftlige procedurer og instruktioner til onboardingprocessen af nye medarbejdere, så de bliver uddannet i virksomhedens databeskyttelsesarbejde (ruter for onboarding). For eksempel kan procedurerne regulere tildelingen af tilladelser, brugerkonti, udstyr, vigtige regler om sikkerhed osv Når en medarbejder holder op med at arbejde i virksomheden, er det godt at have procedurer for tilbagekaldelse af tilladelser, regulering af returnering af udstyr, såsom en arbejdscomputer osv.
Deling af data internt
Medarbejdere i en virksomhed deler normalt personoplysninger internt mellem hinanden. Det er vigtigt, at datadeling sker i overensstemmelse med GDPR. Navnlig har kun ansatte adgang til personoplysninger i det omfang, det er nødvendigt for udførelsen af deres opgaver. Kort sagt bør virksomheden og dens ansatte være baseret på princippet om "need to know", ikke "good to know". Dette er særlig vigtigt i forbindelse med behandling af følsomme personoplysninger.
Indhentning og tilbagetrækning af samtykke
For at et samtykke er gyldigt, skal det indhentes korrekt. Det betyder bl.a., at samtykket skal gives frivilligt og aktivt, og at den registrerede informeres om behandlingen. Desuden bør det være lige så let at trække et samtykke tilbage som at give det. Ved at have rutiner for at opnå og trække samtykke tilbage øges chancerne for, at det sker korrekt.
Social media management og fotografering
Mange virksomheder offentliggør personoplysninger på sociale medier, både relaterede medarbejdere og i nogle tilfælde endda kunder. For eksempel en restaurant, der tager billeder i lokalerne, hvor gæsterne kan identificeres på billederne. Eller når et mæglerfirma offentliggør profilbilleder af sine mæglere på hjemmesiden. Det er vigtigt ikke at glemme, at dette udgør behandling af personoplysninger og derfor er omfattet af GDPR.
Forskellige vurderinger, som virksomheder kan være nødt til at foretage i overensstemmelse med GDPR
Virksomheder, der er omfattet af GDPR, kan være nødt til at foretage visse vurderinger, før der foretages en bestemt behandling af personoplysninger. Det samme kan gælde under en igangværende behandling, der ændrer sig på en sådan måde, at det er hensigtsmæssigt at foretage vurderingerne. Nedenfor er eksempler på forskellige vurderinger, som virksomheder kan være nødt til at foretage i overensstemmelse med GDPR.
Risikovurdering før behandling
Virksomhederne kan være nødt til at foretage en risikovurdering, inden de begynder at behandle personoplysninger. Med andre ord analysere de risici, som behandlingen kan udgøre for registreredes rettigheder og frihedsrettigheder. Virksomhederne skal foretage en risikovurdering, inden de indfører nye systemer, behandlinger eller anvender nye teknologier. Efter at virksomheden har foretaget en risikovurdering, kan de have et bedre kendskab til, hvilke passende tekniske og organisatoriske foranstaltninger virksomheden bør træffe for at minimere risiciene.
Konsekvensanalyse vedrørende databeskyttelse (DPIA)
Når behandling indebærer en høj risiko for registreredes rettigheder og frihedsrettigheder, kan det være nødvendigt at foretage en konsekvensanalyse vedrørende databeskyttelse. Dette reguleres mere detaljeret i artikel 35 i GDPR. For eksempel, hvis en virksomhed behandler følsomme personoplysninger i stor skala eller træffer beslutninger, der er fuldt automatiserede. Konsekvensanalysen skal påvise de risici, som virksomheden har identificeret, samt de sikkerhedsforanstaltninger, der er truffet for at minimere disse risici. Hvis risikoen fortsætter efter de trufne foranstaltninger, skal virksomheden anmode om en forudgående høring af den nationale databeskyttelsesmyndighed, inden behandlingen påbegyndes, i overensstemmelse med artikel 36 i GDPR.
Konsekvensanalyse af dataoverførsel (DTIA)
Hvis en virksomhed inden for EU/EØS overfører personoplysninger til et tredjeland, dvs. et land uden for EU/EØS, kan det være nødvendigt at foretage en konsekvensanalyse af dataoverførsler (DTIA). Det drejer sig først og fremmest om at analysere, om modtagerlandet har et tilstrækkeligt højt beskyttelsesniveau.
Konsekvensanalyse af dataoverførsler kan være en passende yderligere sikkerhedsforanstaltning
Hvis tredjelandet har et tilstrækkeligt beskyttelsesniveau i henhold til Europa-Kommissionens afgørelse, behøver virksomheden ikke at foretage en konsekvensanalyse af dataoverførsler, når de overføres dertil. Det kan dog være hensigtsmæssigt at udføre alligevel, da der kan være behov for yderligere sikkerhedsforanstaltninger. Hovedformålet med konsekvensanalysen er at analysere modtagerlandet. F.eks. deres lovgivning, hvilke muligheder myndighederne har for at få adgang til personoplysninger, der behandles af virksomheder, hvilke juridiske muligheder registrerede har for at beskytte deres rettigheder osv.
Afvejning af interesser for at afgøre, om virksomheden har en legitim interesse (LIA)
Vurderingen af legitim interesse er en fælles behandling, som mange virksomheder skal gøre. Dette sker, hvis virksomheden anvender retsgrundlaget “legitim interesse” i henhold til artikel 6, stk. 1, litra f), i GDPR til at understøtte behandlingen af personoplysninger. Bemærk, at det ikke er tilladt at gøre en legitim interesse gældende, medmindre der er en dokumenteret interesseafvejning. Derfor er det vigtigt at udføre og dokumentere interesseafvejningen, inden behandlingen påbegyndes.
Forudgående høring af den nationale databeskyttelsesmyndighed
Hvis risikoen for registreredes rettigheder og frihedsrettigheder fortsat er høj, efter at virksomheden har foretaget en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35 i GDPR, anmoder virksomheden om en forudgående høring af den nationale databeskyttelsesmyndighed. Dette fremgår af databeskyttelsesforordningens artikel 36. Derefter kan databeskyttelsesmyndigheden foretage en vurdering og konkludere, at den pågældende behandling er tilladt eller forbudt. Tilsynsmyndigheden kan også fremsætte henstillinger om, hvad virksomheden skal gøre, for at behandlingen kan tillades. Bemærk venligst, at virksomheden skal foretage og dokumentere en konsekvensanalyse, inden den anmoder om en forudgående høring.
Flere oplysninger
Overførsler fra tredjelande
Ifølge GDPR er et tredjeland et land uden for EU/EØS. Når en virksomhed inden for EU/EØS-området overfører personoplysninger til et tredjeland, er reglerne strengere, end hvis der er datadeling mellem aktører i to lande inden for Unionen. Hvis det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, behøver virksomheden ikke at træffe yderligere sikkerhedsforanstaltninger for at overføre personoplysninger der. Eksempler på yderligere sikkerhedsforanstaltninger kunne være indgåelsen af standardkontraktbestemmelser vedtaget af Europa-Kommissionen. Bemærk, at det kun er Europa-Kommissionen, der kan afgøre, om et tredjeland har et tilstrækkeligt beskyttelsesniveau. Det er ikke op til virksomheden at beslutte.