GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Oplysninger om GDPR

Interne procedurer og instrukser til medarbejderne

I henhold til princippet om ansvarlighed skal virksomheden kunne bevise, at den overholder GDPR i praksis. En måde at gøre dette på er ved at dokumentere deres interne procedurer og processer skriftligt. Det er også en glimrende måde at informere dine medarbejdere om, hvordan man håndterer personoplysninger i praksis. På den måde kan virksomheden lettere sikre, at medarbejderne behandler personoplysninger korrekt i overensstemmelse med de skriftlige procedurer. Der er mange fordele ved at have skriftlige procedurer på plads. 

Supplere interne procedurer med tjeklister

Et supplement til disse rutiner er at etablere smarte tjeklister, som medarbejderne kan bruge i forskellige situationer. Tjeklister kan f.eks. henvise til vigtige handlingspunkter og trin, der skal gennemføres i specifikke situationer. F.eks. en tjekliste til brug ved indsamling af samtykke. Eller en tjekliste til brug i tilfælde af brud på persondatasikkerheden. 

Eksempler på interne procedurer og skriftlige instrukser til medarbejderne

Nedenfor samler vi et par eksempler på interne procedurer og instruktioner til medarbejdere, som virksomheder kan implementere og udarbejde skriftligt. Vær opmærksom på, at der er mange flere interne procedurer end dem, vi nævner her, afhængigt af virksomhedens drift og behov. 

What breaches of the GDPR can lead to an administrative fine?

Interne procedurer for forvaltning af tilladelser

Det er vigtigt at kontrollere medarbejdernes tilladelser og adgangsrettigheder til systemer, der behandler personoplysninger. Formålet er at sikre, at kun de medarbejdere, der har brug for adgang til personoplysningerne, har adgang til dem. 

Fordele ved at gennemføre forvaltning af tilladelser

Korrekt forvaltning af tilladelser er en god organisatorisk sikkerhedsforanstaltning. Dette minimerer risikoen for, at uautoriserede personer får adgang til personoplysninger. Derudover er det også muligt at tildele adgangsrettigheder internt i virksomheden, når behovet for adgang opstår. Derefter er det godt at kontrollere tilladelserne ved at begrænse adgangen, når det ikke længere er nødvendigt. Virksomheden bør også indføre klare interne procedurer for, hvordan adgangsrettigheder bør tilbagekaldes, når en medarbejder ophører med at arbejde i virksomheden. 

Interne procedurer for behandling af registreredes anmodninger om at udøve deres rettigheder i henhold til GDPR

I henhold til GDPR har registrerede flere forskellige rettigheder med hensyn til deres personoplysninger. Disse omfatter retten til indsigt i behandlede personoplysninger (registerudtræk), retten til berigtigelse af personoplysninger og retten til sletning af personoplysninger. Når en registreret indgiver en anmodning om deres rettigheder i henhold til GDPR til virksomheden, skal virksomheden være i stand til at opfylde dem. Behandlingen af en sådan anmodning skal finde sted inden for en måned. I visse særlige tilfælde kan fristen forlænges med yderligere to måneder, i hvilket tilfælde den registrerede skal underrettes herom inden for den første måned. 

Fordele ved interne rutiner

What is the definition of anonymised data?

Svaret til de registrerede skal være i overensstemmelse med kravene i databeskyttelsesforordningen.

Skriftlige interne procedurer kan gøre det lettere for medarbejdere at håndtere registreredes anmodninger om deres rettigheder korrekt i overensstemmelse med reglerne i GDPR. GDPR indeholder klare bestemmelser om, hvad svaret til den registrerede skal indeholde. Det er en overtrædelse af GDPR ikke at behandle den registreredes anmodning korrekt, og det er derfor vigtigt at informere de registrerede om, hvordan dette gøres korrekt.

Measures that companies need to take to comply with GDPR

Virksomheden kan oprette responsskabeloner, som medarbejderne kan bruge som udgangspunkt

Ved at implementere klare skriftlige procedurer kan medarbejdere lettere svare på den registreredes anmodning og håndtere den korrekt i overensstemmelse med GDPR. Virksomheden kan f.eks. også medtage svarskabeloner i sine interne procedurer, som medarbejderne kan bruge. Dette sikrer en mere konsekvent kommunikation fra virksomhedens side og vejleder medarbejderen i praksis. Selvfølgelig skal medarbejderen justere og tilpasse svarskabeloner til hver enkelt sag, men det er meget lettere end at formulere et korrekt svar fra bunden.

Interne procedurer for håndtering af brud på persondatasikkerheden i henhold til GDPR

Det er meget vigtigt, at virksomheden håndterer brud på persondatasikkerheden hurtigt og effektivt. Desuden skal visse brud på persondatasikkerheden anmeldes til tilsynsmyndigheden inden for 72 timer efter opdagelsen. Og i nogle tilfælde skal virksomheden også informere de berørte registrerede om begivenheden. Det er derfor yderst vigtigt, at virksomheden har udarbejdet interne procedurer til håndtering af sådanne situationer på forhånd. Tid er meget værdifuld i disse situationer, og skriftlige procedurer kan virkelig lette alle processer, der skal udføres i tilfælde af brud på persondatasikkerheden. 

Tjekliste for et smidigt overblik over vigtige skridt til at gennemføre

En intern procedure for håndtering af brud på persondatasikkerheden kan med fordel suppleres med en gnidningsfri tjekliste. Det gør det nemmere for medarbejderne hurtigt at få et overblik over de mest kritiske trin, der skal implementeres, for at virksomheden kan handle korrekt i henhold til GDPR. 

Underretning af relevante parter i virksomheden

Oplysninger om hændelsen skal strømme internt i virksomheden til relevante parter, såsom bestyrelsen, partnere osv. Samtidig skal den interne undersøgelse af hændelsen begynde, og så kan det også være nødvendigt at involvere personer fra IT-afdelingen eller persondatabehandlere i processen.

Registrering af brud på persondatasikkerheden i en logbog

Virksomheden bør notere alle foranstaltninger, der træffes omhyggeligt, og dokumentere hændelsesforløbet i en logbog over det pågældende brud på persondatasikkerheden. Al dokumentation kan bruges, hvis det er nødvendigt i forbindelse med en juridisk proces eller lignende, og det er derfor godt at være forsigtig i dette dokumentationsarbejde. Virksomheden skal f.eks. dokumentere, hvornår de blev opmærksomme på bruddet på persondatasikkerheden (dato og klokkeslæt), beskrivelse af hændelsesforløbet, en liste over de foranstaltninger, der er truffet efter opdagelsen (tidsstempler og beskrivelse) osv.

Instrukser om intern udveksling af oplysninger

De interne procedurer for håndtering af hændelser vedrørende personoplysninger bør også indeholde klare oplysninger om, hvilke personer i virksomheden der bør kontaktes i sagen for at sikre, at medarbejdere, der opdager hændelsen, ved, hvem de skal henvende sig til. 

Interne procedurer for indsamling og registrering af samtykker i henhold til GDPR

Virksomheder, der behandler personoplysninger på grundlag af samtykke, skal kunne bevise det opnåede samtykke og dets gyldighed. Derfor er det vigtigt, at virksomheden sikrer, at de indhentede samtykker dokumenteres på en struktureret og klar måde. 

Krav til et samtykke, der skal betragtes som gyldigt i henhold til GDPR

GDPR definerer et gyldigt samtykke fra en registreret som en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede accepterer behandlingen af sine personoplysninger. Accept kan tage form af enten en erklæring eller en klar bekræftende handling. GDPR indeholder således strenge regler og krav, der skal være opfyldt, for at et samtykke kan anses for gyldigt.

Procedurer og instruktioner om, hvordan man opnår gyldige samtykker

En måde, hvorpå virksomheder kan forsøge at sikre indsamling af gyldige samtykker, er ved at etablere skriftlige interne procedurer, som medarbejderne skal følge i en sådan proces. På den måde kan virksomheden gøre det lettere for medarbejderne at indhente gyldige samtykker. Den dokumenterede interne rutine for håndtering af samtykker kan også suppleres med en gnidningsfri tjekliste, som medarbejderne skal følge. Formålet med tjeklisten bør være at sikre, at medarbejderne ikke går glip af kritiske trin i processen.

Indsamlede samtykker

Når der er indhentet samtykke, skal enheden også dokumentere dette i en logbog over samtykker. Bl.a. en note om, hvornår samtykket blev indsamlet, formålet med behandlingen af personoplysningerne og hvilke oplysninger den registrerede modtog, da samtykket blev indsamlet. Dokumentationen af det indsamlede samtykke kan senere bruges af virksomheden til at bevise samtykket og bevise lovligheden af behandlingen af personoplysninger.

Læs mere om GDPR

Uddannelse af medarbejdere

Det er medarbejderne i virksomheden, der i praksis arbejder med de daglige GDPR-spørgsmål, såsom besvarelse af anmodninger fra registrerede om at opfylde deres rettigheder i henhold til GDPR. Derfor er det vigtigt, at medarbejdere, der arbejder med GDPR-relaterede problemstillinger, har de rette kompetencer, og arbejdsgiveren bør tilbyde dem relevant uddannelse. Derudover er det godt at lave skriftlige instruktioner om behandlingen for at gøre det lettere for medarbejderne, minimere risikoen for fejl og gøre arbejdet mere effektivt.

Vil du lære mere?

Læs mere
Scroll to Top