SIKKERHEDSFORANSTALTNINGER
Forudgående høringer
I nogle tilfælde skal virksomhederne anmode om forudgående høring af databeskyttelsesmyndigheden efter at have foretaget en konsekvensanalyse. Dette følger af artikel 36 i GDPR (EU’s generelle forordning om databeskyttelse).
Anmode om forudgående høring af databeskyttelsesmyndigheden
Forudgående høring betyder, at virksomheden og databeskyttelsesmyndigheden evaluerer den foreslåede behandling sammen og i samråd. Hvis databeskyttelsesmyndigheden mener, at den planlagte behandling vil være i strid med GDPR, kan den give feedback med skriftlig rådgivning.
Desuden har databeskyttelsesmyndigheden ret til at træffe de foranstaltninger, der henhører under dens beføjelser i henhold til databeskyttelsesforordningens artikel 58.
At anmode om forudgående høring af databeskyttelsesmyndigheden efter en konsekvensanalyse
Hvis der er en høj risiko for registreredes rettigheder og frihedsrettigheder som følge af behandlingen af personoplysninger, skal virksomheden foretage en konsekvensanalyse.
Der findes flere typer konsekvensanalyser
Konsekvensanalyse vedrørende databeskyttelse
Formålet med denne type konsekvensanalyse er at beskytte registreredes frihedsrettigheder og rettigheder og forebygge risici i forbindelse med behandling af personoplysninger. Det er en løbende dokumenteret proces, der gør det muligt for virksomheden at overholde GDPR. Der er således ikke tale om en aktivitet, der kun udøves én gang med en klar konklusion. Processen giver støtte til at se, om risiciene ved behandlingen står i et rimeligt forhold til formålet med behandlingen.
Konsekvensanalyse af dataoverførsler (TIA)
Denne type konsekvensanalyse skal foretages, inden personoplysninger overføres til et tredjeland uden for EU/EØS, der ikke har en afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Det er kun Europa-Kommissionen, der kan afgøre, om et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Formålet med konsekvensanalysen vedrørende dataoverførsel er at vurdere de potentielle risici og konsekvenser for registrerede ved en overførsel af deres personoplysninger til det pågældende tredjeland. F.eks. risikoen for, at de registreredes rettigheder ikke overholdes. Desuden er det vigtigt at identificere passende foranstaltninger til at minimere risiciene.
Hvis risikoen fortsat er høj for de registrerede, skal virksomheden anmode om en forudgående høring af den nationale databeskyttelsesmyndighed, inden behandlingen foretages. Bemærk, at virksomhederne skal foretage en konsekvensanalyse, inden de anmoder om en forudgående høring.
Hvad skal du gøre, før du anmoder om en forudgående høring?
- Foretage en konsekvensanalyse i overensstemmelse med artikel 35 i GDPR
- Træffe passende foranstaltninger til at mindske de risici, der er forbundet med behandlingen.
- Hvis risiciene varer ved, skal virksomheden anmode om en forudgående høring af den nationale databeskyttelsesmyndighed.
Oplysninger, der skal videregives til databeskyttelsesmyndigheden
Ansvar
Den anmodende part i den forudgående høring skal give oplysninger om ansvarsfordelingen. Især hvis der er tale om en koncern. F.eks. hvem er registerføreren, om to eller flere er fælles registeransvarlige osv.
Formål
Det er vigtigt, at formålet med behandlingen er klart. Med andre ord formålet med behandlingen (hvorfor behandlingen skal foretages).
Aktioner
De tekniske og organisatoriske sikkerhedsforanstaltninger, som virksomheden har truffet for at beskytte registreredes rettigheder og frihedsrettigheder.
Databeskyttelsesrådgiver
Nogle virksomheder skal have en databeskyttelsesrådgiver. På den anden side behøver andre virksomheder ikke at have den, men vælger frivilligt at have den som en foranstaltning til beskyttelse af privatlivets fred. Uanset årsagen til, at virksomheden har en databeskyttelsesrådgiver, skal den databeskyttelsesansvarliges kontaktoplysninger meddeles databeskyttelsesmyndigheden.
Konsekvensanalysen
Virksomheden skal fremlægge sin dokumenterede konsekvensanalyse.
Oplysninger efter anmodning
Når virksomheden har indgivet sin anmodning om forudgående høring af databeskyttelsesmyndigheden, kan databeskyttelsesmyndigheden anmode om yderligere oplysninger for at kunne foretage sin vurdering. I sådanne tilfælde skal virksomheden fremlægge de yderligere oplysninger, der anmodes om.
Databeskyttelsesmyndighedens svar på den forudgående høring
Den databeskyttelsesmyndighed, der modtager anmodningen om forudgående høring, har otte (8) uger til at svare. De kan dog forlænge fristen i visse tilfælde. F.eks. hvis den forudgående høring vedrører en meget kompleks behandling af personoplysninger. Databeskyttelsesmyndigheden kan forlænge fristen yderligere med højst seks (6) uger, men skal underrette databeskyttelsesmyndigheden senest en måned efter modtagelsen af anmodningen.
Hvis behandlingen ikke er i overensstemmelse med GDPR
Hvis databeskyttelsesmyndigheden konkluderer, at behandlingen ikke er i overensstemmelse med GDPR, kan den forbyde behandlingen. Alternativt kan de rådgive om, hvordan virksomheden bør overholde GDPR, når den behandler personoplysninger. Databeskyttelsesmyndigheden kan også træffe de foranstaltninger, der er fastsat i artikel 58 i GDPR, som beskriver en databeskyttelsesmyndigheds beføjelser.
I nogle tilfælde modtager virksomheden måske ikke et svar inden for otte (8) uger, som det generelt er fastsat i GDPR. Det kan f.eks. skyldes, at der er opstået en fejl. Det betyder med andre ord ikke, at behandlingen er tilladt i henhold til databeskyttelsesmyndigheden, blot fordi den ikke er knyttet til deres svar på sagen.
GDPR - EU
Informationssikkerhed
Virksomhederne har pligt til at beskytte de personoplysninger, der behandles. Det betyder, at virksomheden skal indføre tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Jo vigtigere personoplysningerne er, desto højere er sikkerhedskravene. Eksempler på tekniske og organisatoriske sikkerhedsforanstaltninger omfatter uddannelse af personale, skriftlige instrukser og procedurer, autorisationskontrol, opbevaring af backupfiler og antivirussoftware, flertrinsautentifikation ved login osv.