Persondataforordningen ruller ind over Europa i slutningen af maj. Det kan få store konsekvenser for alle typer virksomheder, hvis man ikke har forberedt sig på at skabe den fornødne transparens i sin virksomhed. Contractbook giver her bud på seks konkrete dokumenter, der skal gøre din virksomhed klar og de har udgivet en e-bog om GDPR, som du kan hente her.

Privatpersoner får snart nemmere ved at kontrollere virksomheders brug af deres personlige oplysninger, der dækker alt fra navn, adresse og IP-adresse til billeder, CPR-nummer og kontooplysninger. Med andre ord oplysninger, der kan bruges til at identificere den enkelte bruger. Det sker når persondataforordningen (GDPR) træder i kraft

Forordningen giver privatpersoner ret til at få indsigt i de data en virksomhed bruger. Du kan risikere at dine brugere vil have dem udleveret dem i et maskinlæsbart format og i sidste ende slettet, hvis de ikke tjener noget formål.

Uden et godt overblik bliver det umuligt for virksomhederne at leve op til de ovenstående regler. Derfor er det alfa og omega, at man opretter et sikkert, navigerbart og digitalt arkiv over den mængde data, de opbevarer på eksempelvis kunder, ansatte og leverandører.

Læs også: Hvordan vender du GDPR til en konkurrencefordel?

Når det er sagt, behøver du ikke ændre så meget i din daglige arbejdsproces, for du må i det store og hele behandle data som før. Den største ændring er, at du nu skal kunne dokumentere måden, du behandler personlige oplysninger. Du skal kunne vise, hvor data er opbevaret, til hvilket formål du bruger den og hvem oplysningerne bliver delt med. Hvis du vil være klædt godt på når den nye lovgivning træder i kraft, er her en guide til seks dokumenter du bør have klar den 25. maj 2018.

Bestyrelsens beslutning

Du skal kunne bevise, hvem der har taget beslutningerne i din virksomhed, når det kommer til GDPR. Derfor er det en god idé at udarbejde skriftlig dokumentation for, at bestyrelsen eller ledelsen har taget stilling til og prioriterer spørgsmålet. Du kan godt uddelegere opgaver til andre ansatte, men i sidste ende er det altid ledelsen, som har ansvaret.

Der er ingen formkrav til et sådant dokument, så det kan være alt fra en udførlig bestyrelsesbeslutning, der gennemgår alle principper og procedurer, til to linjer i et mødereferat, der konkluderer, at man vil leve op til forordningens krav.

GAP-analyse

Det er ikke et krav, at I laver en GAP-analyse, men det er et godt redskab. GAP-analysen fungerer som en intern metodisk overvejelse og danner grundlag for udarbejdelse af nogle af de andre dokumenter. Forudsætningen for god databehandling er, at man kender de data, man behandler. Da GAP-analysen ikke er påkrævet, er der heller ikke nogen formkrav.

Hvordan GAP-analysen ser ud, varierer meget fra virksomhed til virksomhed, for det afhænger af størrelse, kompleksitet og datamængder. Det grundlæggende er, at du spørger dig selv, hvilken slags data I opbevarer, hvad formålet med opbevaringen er, hvor det opbevares og sidst men ikke mindst, hvad I mangler for at blive klar i tide.

Der findes en del skabeloner rundt omkring på nettet, men mange af dem er generiske og tilbyder kun en falsk tryghed. Det handler først og fremmest om, at du tager stilling til, hvad du gør.

Databehandleraftaler

Forordningen skelner mellem dataansvarlige og databehandlere. Den ansvarlige bestemmer formålet med at indsamle data, mens databehandlere kun opbevarer eller behandler data på instruks fra den ansvarlige. Eksempelvis vil den dataansvarlige være en virksomhed, der indsamler navn, adresse og bankoplysninger på sine ansatte, mens databehandleren kunne være et lønsystem, en revisor eller en platform for juridiske dokumenter.

Forholdet mellem en den dataansvarlige og databehandleren skal reguleres af en databehandleraftale. Aftalen skal sikre, at de oplysninger en databehandler får, har et formål og behandles i overensstemmelse med loven. Her skal du endvidere opliste eventuelle underdatabehandlere og beskrive proceduren i tilfælde af brud.

Det er et krav, at alle firmaer kan dokumentere, at de har aftaler på plads med deres databehandlere, så det er en høj prioritet at få klar. Her finder du en gratis skabelon til databehandleraftale.

Fortegnelse over behandlingsaktiviteter

Forordningens Artikel 30 skriver klart, at du skal udfærdige en komplet liste over sine behandlingsaktiviteter. Her kan man tage udgangspunkt i sin databeskyttelsespolitik og sin GAP-analyse. Igen; du skal dokumentere, hvilke oplysninger du indsamler, hvad formålet med indsamlingen er, hvordan du bærer dig ad og hvilke tredjeparter, der er involverede.

Det vil være en fordel at opdele dokumentet, så du beskriver databehandlingen for de forskellige dele af din virksomhed, hvor du behandler data. Det kan være inden for rekruttering, ansatte, fratrådte, kunder og leverandører. Beskriv præcis, hvad du gør for hver enkelt proces. Dokumentet kan eventuelt også beskrive sletteregler og sikkerhedsforanstaltninger.

Dokumentet er lovpligtigt og skal kunne fremvises til Datatilsynet. På mange måder er det også det vigtigste dokument, fordi det viser, at du har taget stilling til forordningen og arbejder metodisk på at overholde den.

Beredskabsplan for databrud

Forordningen gør det klart, at du skal underrette myndighederne indenfor 72 timer, når du opdager et brud. Derfor er det klogt at have en klar procedure. Der er et par formkrav til, hvad du skal oplyse Datatilsynet om:

• Karakteren af bruddet (Hvad er der sket?)
• Den ansvarshavende (Hvem kontakter hvem, og hvad gør man, hvis vedkommende ser syg),
• De sandsynlige konsekvenser og hvilke foranstaltninger, man har tænkt sig at foretage for at rette op på fejlen.

Samtykkeerklæring

Et samtykke kan gives mundtligt, men så er det svært at bevise, hvad der er aftalt. Derfor er det en god idé at udarbejde en skriftlig samtykkeerklæring. Samtykkeerklæringer kan altid trækkes tilbage, så den skal kun bruges, når du ikke har andre muligheder. Det vil altid være en fordel, at få samtykket indskrevet i en kontrakt eller finde et sted i loven at retfærdiggøre det.

Slutteligt vil vi lige minde om, at du kun lever op til forordningens regler, hvis du rent faktisk også gør, som du skriver.