Læs om GDPR
Bestyrelsen og direktionen er ansvarlige for overholdelse af GDPR
Bestyrelsen og ledelsen er ansvarlige for overholdelse af GDPR og bør inddrages i GDPR-arbejdet. Bestyrelsen har det endelige ansvar, strategisk og juridisk. Ledelsen er operationelt ansvarlig for gennemførelsen i praksis.
Prioritering af databeskyttelsesarbejde
Et grundlæggende spørgsmål, som bestyrelsen og ledelsen bør tage hensyn til i deres arbejde, er “Hvad er formålet med dette?” Der er flere fordele ved at prioritere databeskyttelsesarbejde, og disse bør formidles internt.
For at skabe de bedst mulige betingelser for, at alle i en virksomhed kan overholde GDPR, er det vigtigt, at bestyrelsen og ledelsen signalerer, at de prioriterer databeskyttelsesarbejde.
Positiv for at præcisere databeskyttelsesarbejdet
Det er godt at skabe værdi for de registrerede, både internt (medarbejdere og konsulenter) og eksternt (kunder, kontaktpersoner mv.). Det er positivt for dem at sørge for at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de registreredes personoplysninger. Derudover er det godt at præcisere dette for de registrerede, da det kan føre til, at de sætter endnu mere pris på virksomheden.
Arbejd agilt med GDPR
Det er positivt at starte med en agil måde at arbejde på i stedet for traditionel målstyring i det interne GDPR-arbejde. En agil måde at arbejde på handler om at etablere en vision og arbejde sammen hen imod den i faser eller cyklusser. Efter hver fase gives der mulighed for forbedring og forandring. GDPR-arbejde er noget kontinuerligt, og derfor er det godt at tilpasse arbejdsmåden efter nemt at kunne foretage ændringer, hvis det er nødvendigt.
Registrerede får mere og mere viden om GDPR
Det er godt at huske på, at flere og flere registrerede, uanset om de er kunder, partnere eller medarbejdere, kender deres rettigheder og hvilke forpligtelser virksomheder har, når de behandler personoplysninger. Dette indebærer bl.a. en større risiko for en anmeldelse til den nationale databeskyttelsesmyndighed, hvis virksomheden ikke overholder alle reglerne i GDPR. Desuden har registrerede, der er bekendt med disse regler, ofte en højere forventning om, at virksomheden vil overholde GDPR og behandle andres personoplysninger, som om det var deres egne.
Skal databeskyttelsesrådgivere rapportere til ledelsen og bestyrelsen?
Ja, den databeskyttelsesansvarlige rapporterer til ledelsen og bestyrelsen i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 39. Med andre ord rapportere til det højeste og næsthøjeste ledelsesniveau i organisationen. Det er bestyrelsen, og ledelsen er ansvarlig for overholdelse af GDPR. Bemærk, at ikke alle virksomheder behøver at udpege en databeskyttelsesrådgiver i overensstemmelse med artikel 37 i GDPR.
Princippet om indbygget databeskyttelse
Alle virksomheder, uanset deres størrelse, skal have databeskyttelse gennem design og som standard i overensstemmelse med artikel 25 GDPR. Med andre ord tilpasse deres produkt, service eller system, så de er databeskyttelsesvenlige fra starten. Bestyrelsen og ledelsen er ansvarlige for GDPR-overholdelse og skal huske dette, når de udvikler deres produkter, tjenester og systemer. Ved at holde denne regel i tankerne i deres strategiske arbejde kan ledelse og bestyrelse reducere byrden af internt GDPR-arbejde.
Et praktisk eksempel
Tilbagetrækning af samtykke bør være lige så let som at give samtykke. Det betyder, at det bør være let for den registrerede at finde ud af, hvordan samtykket trækkes tilbage.
Jo større virksomheden er, jo mere arbejde
Jo større en virksomhed er, jo mere internt databeskyttelsesarbejde kræves der normalt. Derudover er det vigtigere at skabe en stærk databeskyttelsesstruktur og -kultur, jo større virksomheden er. Et godt databeskyttelsesarbejde varetages af bestyrelsen og direktionen. Større virksomheder skal normalt også have flere GDPR-relaterede aftaler og dokumenter end mindre virksomheder.
Bestyrelsen og ledelsen er ansvarlige for overholdelse af GDPR og bør modtage relevant uddannelse
Bestyrelsen og ledelsen skal have kendskab til GDPR, fordi det er svært at opstille en strategi for at overholde et regelsæt, som du ikke forstår. Det kan derfor være nyttigt at tilrettelægge en form for uddannelse for bestyrelses- og direktionsmedlemmerne. Bestyrelsen og ledelsen er ansvarlige for overholdelse af GDPR i organisationen.
GDPR træning for andre medarbejdere
Derudover er det vigtigt at uddanne andre medarbejdere om GDPR og korrekt behandling af personoplysninger. Det er dem, der behandler flest personoplysninger i deres arbejde. Nogle medarbejdere kan have specifikke roller i databeskyttelsesarbejdet, såsom at være en del af et databeskyttelsesudvalg, være databeskyttelsesstøtte eller være databeskyttelsesambassadør. Disse personer bør også modtage relevant uddannelse i GDPR baseret på deres opgaver, hvilket er godt for bestyrelsen og ledelsen at have i tankerne.
Virksomheder, der overtræder GDPR, kan have store konsekvenser
Ledelsen og bestyrelsen har som deres hovedopgave at arbejde til gavn for virksomheden. At virksomheden overtræder GDPR er ikke i virksomhedens interesse. De økonomiske konsekvenser kan være ødelæggende for virksomheden. Desuden kan overtrædelser af GDPR føre til en negativ indvirkning på brandet. I værste fald kan overtrædelser af GDPR resultere i bøder på op til 20 mio. EUR eller 4 % af den globale årlige omsætning (den højeste af mulighederne).
Flere oplysninger
Udpege et databeskyttelsesudvalg i en større virksomhed
I en større virksomhed er det en god idé at nedsætte et databeskyttelsesudvalg. Det består normalt af en person fra hver afdeling i virksomheden, såsom salg, produktion, teknologi, kundeservice, jura, markedsføring, etc. Folk har ofte forskellige erfaringer og viden om GDPR, og det er godt at dele oplysningerne inden for organisationen. En databeskyttelseskomité bør afholde regelmæssige møder, hvor de drøfter det interne GDPR-arbejde. I nogle tilfælde kan de også træffe mindre strategiske beslutninger vedrørende databeskyttelsesarbejde.