Organisatoriske foranstaltninger
Uddannelse af medarbejdere i GDPR og databeskyttelse generelt
Det er godt at tilbyde uddannelse til GDPR-medarbejdere regelmæssigt. Det samme gælder for selskabets ledelse. GDPR gennemsyrer hele virksomheden, da behandlingen af personoplysninger er en central del. For eksempel behandler virksomheder ofte personoplysninger, der tilhører medarbejdere, kunder, partnerrepræsentanter osv. I sådanne tilfælde skal virksomheden overholde GDPR, og der er en masse information og regler at holde styr på.
Uddannelse af GDPR-medarbejdere
Medarbejderne bør modtage passende uddannelse i GDPR i forbindelse med deres opgaver. Da mange mennesker i virksomheder behandler personoplysninger som en naturlig del af deres opgaver, er det vigtigt for dem at kende reglerne. Hvis en kundeservicemedarbejder f.eks. modtager en anmodning fra en registreret om at opfylde en rettighed, skal vedkommende håndtere sagen korrekt. Det samme gælder for en IT-tekniker, der vedligeholder servere til opbevaring af personoplysninger. Hvis der skulle opstå et brud på persondatasikkerheden i forbindelse med arbejdet på serverne, skal IT-teknikeren vide, hvordan man handler korrekt i overensstemmelse med GDPR, for at virksomheden kan opfylde sine forpligtelser vedrørende indberetning af bruddet på persondatasikkerheden.
Skriftlige procedurer og instrukser
GDPR er et omfattende regelsæt, og det behøver ikke at være nødvendigt for alle medarbejdere at kende alle reglerne. Det er dog vigtigt, at de kender de regler, der er relevante for deres opgaver, og den måde, de behandler personoplysninger på. Derfor er det godt at etablere skriftlige procedurer og instruktioner, så medarbejderne nemt kan holde styr på, hvad de skal gøre. Der er dog nogle ting, der kan være gode for alle i virksomheden at vide. F.eks. hvad der kan udgøre et brud på persondatasikkerheden, og hvordan de skal handle, hvis det sker.
Uddannelse af databeskyttelsesansvarlige
Det er godt at tilbyde yderligere uddannelse til databeskyttelsesrådgivere, hvis virksomheden har en sådan repræsentant. Ikke alle virksomheder har brug for databeskyttelsesrådgivere. Det er f.eks. godt, at databeskyttelsesrådgiveren får mulighed for at uddanne sig ved at tage kurser i nye databeskyttelsespraksisser eller nye regler, der supplerer GDPR, såsom AI-forordningen.
Større virksomheder bør have databeskyttelsesambassadører
I større virksomheder kan udnævnelsen af databeskyttelsesambassadører i høj grad forenkle databeskyttelsesarbejdet. For eksempel, hvis en virksomhed har flere afdelinger, der arbejder hver for sig. I sådanne tilfælde kan det være nyttigt at udpege en af medarbejderne på hver omdirigering til databeskyttelsesambassadører. Denne person bør modtage mere dybdegående uddannelse i GDPR og databeskyttelse samt udpeges som kontaktperson vedrørende GDPR-spørgsmål for medarbejderne i afdelingen.
Til gengæld kan ledelsen også videregive vigtige databeskyttelsesoplysninger til databeskyttelsesambassadørerne, som har til opgave at videregive oplysningerne til medarbejderne i deres respektive afdelinger. En databeskyttelsesambassadør bliver således en kommunikationsrute og knudepunkt mellem ledelse og andre medarbejdere. Dette gør det lettere for virksomheden at kommunikere f.eks. nye politikker på dette område og modtage oplysninger om vigtige databeskyttelsesrelaterede spørgsmål.
Flere oplysninger om organisatoriske foranstaltninger
Virksomheder skal opbygge en stærk sikkerhedskultur
For at en virksomhed skal have en god databeskyttelse og overholde alle reglerne i f.eks. GDPR, skal de skabe en god og stærk sikkerhedskultur. Med andre ord skabe fælles værdier, viden og rutiner inden for datasikkerhed og cybersikkerhed. Jo bedre sikkerhedskulturen er, jo mindre sandsynligt er det, at der sker brud på persondatasikkerheden, og jo mildere kan konsekvenserne være, hvis de opstår.