GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

OVERHOLDELSE AF GDPR

Virksomhederne bør indføre skriftlige procedurer

Virksomhederne bør indføre skriftlige procedurer for lettere og mere effektivt at overholde GDPR-reglerne. 

Virksomhederne skal kunne påvise overholdelse af GDPR

I henhold til ansvarlighedsprincippet skal virksomheder kunne påvise, at de overholder GDPR i praksis. Med andre ord behøver hverken registrerede eller tilsynsmyndigheder at bevise, at virksomheder overtræder GDPR. I stedet ligger bevisbyrden for overholdelse hos virksomheden, som er den dataansvarlige. Derfor skal virksomhederne bl.a. have visse GDPR-relaterede aftaler og dokumenter, f.eks. forskellige rutiner. 

What breaches of the GDPR can lead to an administrative fine?

Procedurerne skaber struktur og mindsker risikoen for fejl

Virksomhederne bør indføre skriftlige procedurer for at skabe en klar struktur for medarbejderne. Desuden reduceres risikoen for fejl, hvis procedurerne er klare og enkle at følge for personalet. Der er derfor flere fordele ved at indføre skriftlige procedurer.

Hvad er de gode procedurer for etablering af virksomheder?

De nøjagtige procedurer, som hver enkelt virksomhed har brug for, kan ikke besvares på en standardiseret måde, da behovene varierer afhængigt af situationen. Et godt udgangspunkt er, at jo større virksomheden er, herunder antallet af afdelinger og medarbejdere i virksomheden, jo bedre er det med flere procedurer for at skabe en klar struktur og mindske risikoen for fejl. 

Procedurer for udtynding af personoplysninger

Virksomheder skal smide personoplysninger ud, når de ikke længere er nødvendige for at behandle dem til det formål, hvortil de blev indsamlet. Det samme gælder, hvis den registrerede anmoder om sletning af sine personoplysninger. Virksomhederne kan dog i nogle tilfælde anonymisere personoplysningerne i stedet for at slette dem. Desuden er der tilfælde, hvor personoplysninger ikke bør slettes. Hvis virksomheden f.eks. har en retlig forpligtelse til at fortsætte behandlingen, dvs. en lov kræver, at personoplysningerne skal behandles.

Procedurer til sikring af registreredes rettigheder

Registrerede har en række rettigheder i henhold til GDPR. Virksomhederne skal være i stand til at opfylde dem, og det er derfor nyttigt at indføre procedurer for arbejdstagerne. Der er otte (8) grundlæggende rettigheder, der er reguleret i databeskyttelsesforordningens artikel 15-22, men der er flere. Virksomheden skal bl.a. behandle anmodningen inden for en fastsat frist og underrette de registrerede om behandlingen. 

Onboarding- og offboardingprocedurer

Det er nyttigt at have procedurer for, hvornår nye medarbejdere starter i en virksomhed, og hvornår en person forlader virksomheden. Med andre ord onboarding- og offboardingprocedurer. Hvis en enhed ikke har sådanne procedurer, er det mere sandsynligt, at der vil ske et brud på persondatasikkerheden. Det er i forbindelse med overgangsperioder (dvs. når en ny ansat tiltræder sin stilling, eller når en ansat fratræder), at sårbarheden er størst. 

Procedurer for intern dataudveksling

Deling af personoplysninger mellem ansatte i en virksomhed er almindelig. Desuden er det let at begå fejl, medmindre der er klare procedurer, der er lette at følge. Det er nyttigt at definere, hvilke personoplysninger der kan deles internt, og gennem hvilke kommunikationskanaler. Jo vigtigere personoplysninger, jo mere sikre kommunikationskanaler er der behov for. 

Procedurer for indhentning og tilbagetrækning af samtykke

Virksomhederne skal kunne påvise, at de opnår gyldigt samtykke. Dette betyder bl.a., at samtykke skal gives frivilligt og aktivt. Desuden har de registrerede til enhver tid ret til at trække deres samtykke tilbage. Tilbagetrækning af samtykke skal være lige så let som at give samtykke. Efter tilbagekaldelsen slettes personoplysningerne, og den registrerede underrettes. Det er derfor nyttigt at have procedurer for disse processer, så de forvaltes korrekt af medarbejderne. 

Bemærk venligst, at mundtligt samtykke ikke er forbudt, men vanskeligt at bevise, hvilket virksomheden skal kunne gøre, for at det er gyldigt.

Procedurer for forvaltning og fotografering af sociale medier

Det kan let glemmes, at personoplysninger behandles på sociale medier, hvor virksomheden kan være dataansvarlig. Med andre ord har ikke kun platformsudbyderen et ansvar, men også den virksomhed, der har en brugerkonto der og behandler personoplysninger via platformen. Hvis virksomheden f.eks. har en form for kundeservice på sociale medier eller lægger billeder af ansatte ud på sociale medier. Virksomhederne skal bl.a. regelmæssigt slette personoplysninger fra deres indbakke på de sociale medier, da personoplysninger behandles der. 

FLERE OPLYSNINGER

Vurderinger, som virksomhederne kan være nødt til at foretage

Der er forskellige vurderinger, som virksomhederne kan være nødt til at foretage i henhold til GDPR, enten før de påbegynder visse behandlingsaktiviteter vedrørende personoplysninger eller i nogle tilfælde under en igangværende behandlingsaktivitet. Eksempelvis balanceringsinteresser (LIA) for at vurdere, om virksomheden har en legitim interesse i en bestemt behandling. To andre er konsekvensanalyse vedrørende databeskyttelse (DPIA) og konsekvensanalyse vedrørende dataoverførsler (DTIA). Bemærk, at virksomhederne i nogle tilfælde skal anmode om en forudgående høring af den nationale databeskyttelsesmyndighed, men at virksomheden forud herfor skal have foretaget en konsekvensanalyse. 

Vil du lære mere?

Læs mere
Scroll to Top