GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

GDPR - DOKUMENTER

Forskellige politikker, som virksomhederne kan have brug for

Virksomhederne kan have behov for forskellige politikker for at sikre, at deres virksomheder og ansatte overholder GDPR. 

Hvad er forskellen mellem en praksis og en politik?

En procedure og en politik er ikke den samme. En politik er mere omfattende og strategisk og fastlægges ofte af bestyrelsen eller den øverste ledelse. En politik beskriver arten af og formålet med at arbejde på en bestemt måde. I modsætning til en procedure, der beskriver, hvordan den vil blive gennemført i praksis. Der kan fastsættes flere procedurer for at overholde en politik. En politik omfatter virksomhedens mål og strategiske retning samt de principper, som virksomhedens ansatte forfølger for at nå disse mål. En procedure er specifikke instrukser om, hvordan man opnår det, der er angivet i en politik i praksis. 

What breaches of the GDPR can lead to an administrative fine?

Eksempler på procedurer, som kan være nyttige for en virksomhed at etablere og gennemføre

  • Sletning af personoplysninger. 
  • Dokumentation, undersøgelse og indberetning af brud på persondatasikkerheden.
  • Fastsætte bestemmelser om registreredes rettigheder efter anmodning. 
  • Indstigning og udstigning af personale 
  • Udveksling af data internt mellem medarbejdere eller inden for koncernen. 
  • Indhentning og tilbagetrækning af samtykke. 
  • Forvaltning af sociale medier og fotografi.

Eksempler på politikker, som virksomhederne kan være nødt til at fastlægge og gennemføre

IT-sikkerhedspolitik

En IT-sikkerhedspolitik sikrer, at virksomheden har en stærk IT-beskyttelse, der er risikobaseret og skræddersyet til det nuværende trusselsbillede. Desuden præciserer politikken de værktøjer og metoder, som personalet skal anvende for at forebygge brud på persondatasikkerheden og overholde de øvrige regler i GDPR. Det kan være hensigtsmæssigt for de fleste virksomheder at indføre og gennemføre en IT-sikkerhedspolitik i deres aktiviteter for at opretholde en konsekvent intern IT-sikkerhedsstandard. 

Politikken er et omfattende politikdokument om, hvordan virksomheden arbejder i IT-miljøet på en sikker måde i overensstemmelse med bl.a. GDPR. F.eks. de databeskyttelsesprincipper, som virksomheden baserer sig på, når den kontrollerer adgang, teknisk beskyttelse, operationer, hvordan virksomheden skal beskytte personoplysninger både internt og eksternt osv. Desuden beskriver en IT-sikkerhedspolitik normalt de forskellige sikkerhedsniveauer for de behandlede personoplysninger. Udgangspunktet er, at jo vigtigere personoplysninger, jo højere er sikkerhedsniveauet.

Databeskyttelsespolitik

En politik til beskyttelse af privatlivets fred er et vigtigt internt forvaltningsdokument og en god organisatorisk sikkerhedsforanstaltning, der skal gennemføres. Politikken for beskyttelse af privatlivets fred er et internt dokument, der beskriver, hvordan personalet vil arbejde i overensstemmelse med GDPR. Det er derfor de ansatte, der skal overholde privatlivspolitikken, når de behandler personoplysninger i forbindelse med udførelsen af deres arbejde. En politik for beskyttelse af privatlivets fred omfatter f.eks. oplysninger om det retlige grundlag, som virksomheden anvender, når den behandler personoplysninger. Den bør også beskrive de syv (7) grundlæggende principper i GDPR, der finder anvendelse, den interne ansvarsfordeling, kontaktpersoner osv. 

Databeskyttelsespolitikken og meddelelsen om beskyttelse af privatlivets fred er ikke de samme

En meddelelse om databeskyttelse er et eksternt informationsdokument rettet til registrerede. Den beskriver retsgrundlaget for behandlingen, opbevaringsperioden, de registreredes rettigheder, formålet med behandlingen osv. Formålet med en meddelelse om databeskyttelse er at informere de registrerede om virksomhedens behandling af deres personoplysninger i overensstemmelse med artikel 13 i GDPR og artikel 14 i GDPR. Der bør offentliggøres en meddelelse om beskyttelse af privatlivets fred på virksomhedens websted. I stedet er en politik for beskyttelse af privatlivets fred et internt politikdokument, der vejleder personalet om, hvordan de skal arbejde i overensstemmelse med GDPR. Derfor bør en politik for beskyttelse af privatlivets fred ikke offentliggøres på virksomhedens websted.

FLERE OPLYSNINGER OM FORANSTALTNINGER, SOM VIRKSOMHEDERNE KAN VÆRE NØDT TIL AT TRÆFFE

Vurderinger, som virksomheder kan være nødt til at foretage i henhold til GDPR

Virksomheder kan være nødt til at foretage visse vurderinger, før visse behandlinger begynder at blive udført. F.eks. en konsekvensanalyse vedrørende databeskyttelse for at finde ud af, om behandlingen udgør en høj risiko for registreredes rettigheder og frihedsrettigheder. Desuden kan virksomhederne være nødt til at anmode om en forudgående høring af den nationale databeskyttelsesmyndighed, hvis risikoen fortsat er høj efter en konsekvensanalyse. En anden form for vurdering er en interesseafvejning (LIA) for at fastslå, om virksomheden har en legitim interesse i en bestemt behandling. 

Vil du lære mere?

Læs mere
Scroll to Top