GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

SKRIFTLIGE PROCEDURER

Procedurer for udtynding af personoplysninger

Det er vigtigt, at virksomhederne har indført skriftlige procedurer for udtynding af personoplysninger for at sikre, at udtynding finder sted rettidigt og nøjagtigt. 

Hvad er sletning af personoplysninger?

Sletning af personoplysninger indebærer, at virksomheder sletter personoplysninger. Alternativt anonymiseres de. Det grundlæggende databeskyttelsesprincip om opbevaringsbegrænsning betyder, at personoplysninger ikke må behandles længere end nødvendigt. Dette er grundlaget for, at virksomheder skal smide personoplysninger ud, når de ikke længere er nødvendige for at behandle dem. 

Virksomhederne bør have forskellige skriftlige procedurer

Det er vigtigt for virksomheder at kunne påvise, at de overholder GDPR i praksis, da det er et krav i GDPR i henhold til ansvarlighedsprincippet i artikel 5, stk. 2, i GDPR. Virksomhederne skal f.eks. have visse skriftlige GDPR-relaterede kontrakter og dokumenter. Procedurer kan være en effektiv måde at sikre, at virksomhedens ansatte overholder GDPR-reglerne i praksis. Procedurerne bør omfatte svar på disse fire spørgsmål: 

  • Hvad: Hvad skal medarbejderne gøre? 
  • Hvornår: hvornår skal personalet udføre den? 
  • Hvordan: hvordan vil personalet gennemføre den?
  • Hvem i virksomheden skal gøre hvad? 
What breaches of the GDPR can lead to an administrative fine?

De nøjagtige procedurer, som virksomhederne har brug for eller kan være hensigtsmæssige, varierer

De nøjagtige procedurer, der kan være nyttige for virksomhederne, varierer fra sag til sag. Jo flere medarbejdere og afdelinger virksomheden har, jo flere procedurer er det mest hensigtsmæssigt at indføre. Eksempler på andre procedurer, som det kan være hensigtsmæssigt for en virksomhed at have indført, er procedurer for: 

  • Opfyldelse af rettigheder registreres efter anmodning.
  • Indslusning og udstigning af medarbejdere.
  • Udveksling af data internt mellem medarbejdere.
  • Indhentning og tilbagetrækning af samtykke. 
  • Forvaltning af sociale medier og fotografi.

Slette personoplysninger, når de ikke længere er nødvendige til formålet

Virksomhederne sletter personoplysninger, når virksomheden ikke længere har brug for dem til det formål, hvortil de blev indsamlet. Bemærk dog, at der kan være love, der kræver yderligere overvejelser. I nogle tilfælde skal virksomhederne fortsætte med at behandle personoplysninger på grund af en retlig forpligtelse, som virksomheden er underlagt. Med andre ord, fordi behandlingen fremstår som et krav i en lov. Virksomhederne skal f.eks. behandle fakturaer og kvitteringer i et vist antal år i henhold til national regnskabslovgivning. 

Virksomhederne skal bl.a.:

Slette personoplysninger, når de ikke længere er nødvendige til formålet, medmindre der er en retlig forpligtelse til yderligere behandling.

Kunne påvise, hvornår og hvordan sletningen af personoplysninger finder sted. Det er derfor nyttigt at have skriftlige procedurer for udtynding og altid log-udført udtynding.

Udtynding af behandlede personoplysninger kan mindske de mulige konsekvenser i tilfælde af brud på persondatasikkerheden

Jo færre personoplysninger en virksomhed behandler, desto lavere er risikoen for mulige konsekvenser af et brud på persondatasikkerheden. 

Hvad kan en procedure for udtynding af personoplysninger indeholde?

Identificér personoplysninger

Det er vigtigt først at identificere, hvor alle de behandlede personoplysninger befinder sig, og derefter at kunne fjerne dem fra lagringslokaliteterne. Hvilke systemer, databaser, digitale mapper og lignende indeholder f.eks. personoplysninger?

What is the definition of anonymised data?

Tidsfrister

Personoplysninger bør slettes regelmæssigt, og det er derfor nyttigt at fastsætte konkrete frister i procedurerne. F.eks. "sidste fredag i hvert kvartal". Bemærk, at hvis en registreret anmoder om sletning af sine personoplysninger, der behandles af virksomheden, skal sletningen finde sted så hurtigt som muligt.

Sensitive personal data according to GDPR

Rollefordeling

Det er vigtigt at præcisere, hvem der skal indsamle hvilke personoplysninger fra hvilke systemer. Hvis det er uklart, er der en øget risiko for, at udtynding ikke vil finde sted. En bestemt medarbejder bør f.eks. være ansvarlig for at indsamle personoplysninger fra det finansielle system, virksomhedens generelle e-mailadresse til ekstern kommunikation osv.

Subjektivt integritetskänsliga personuppgifter

Hvordan aflivningen skal udføres

Udtynding betyder ikke nødvendigvis, at virksomheden sletter personoplysningerne. I nogle tilfælde kan virksomheden i stedet anonymisere dem. Personoplysninger, der er gjort anonyme, er ikke længere omfattende i henhold til GDPR. Det er nyttigt, at procedurerne præciserer, hvordan nedslagningen bør foretages korrekt og sikkert.

Measures that companies need to take to comply with GDPR

Dokumentation

Udtyndingen af personoplysninger bør dokumenteres, således at virksomheden kan påvise overholdelse af GDPR i praksis. F.eks. i en udtyndende protokol eller en udtyndende logbog.

FLERE OPLYSNINGER

Procedurer for overholdelse af registreredes rettigheder

Registrerede har en række rettigheder i henhold til GDPR, som virksomheder skal kunne håndhæve. For at sikre, at dette sker korrekt, f.eks. inden for de fastsatte frister, er det nyttigt at have skriftlige procedurer. Desuden er det vigtigt, at de rette personer har adgang til procedurerne. F.eks. modtager kundeservicepersonale normalt forespørgsler om registreredes sletning eller berigtigelse af personoplysninger, og det er derfor nyttigt for dem at have indført procedurer. 

Vil du lære mere?

Læs mere
Scroll to Top