10 trin til overholdelse af GDPR: Hvor parat er du?

EU Databeskyttelsesforordningen (GDPR) træder i kraft om mindre end otte måneder, så nu er et godt tidspunkt til at revidere de trin, du har taget for at opnå overholdelsen og hvad du stadig har brug for at gøre.

Du kan basere revideringen på databeskyttelseskommisærens (DPC) checkliste for overholdelse, som er opsummeret her og optegner, hvad organisationer er nødt til at gøre før tidsfristen den 25. maj 2018.

1. Lær mere om, hvad der er på vej

Hvis du læser det her, så er du nok bekendt med GDPR. Men ifølge vores GDPR rapport, offentliggjort i juli 2017, er kun 66% af senior management blevet orienteret om forordningen.

Senior management har meget at skulle have sagt om, hvordan deres organisation forbereder sig på forordningen, så det er afgørende, at de ved, hvad der er på vej, hvad de er nødt til at gøre og hvad risici er ved ikke at være i overensstemmelse med forordningen. Alle andre i organisationen, som er ansvarlige for overholdelse af regler og bearbejdning af data, har også behov for at forstå deres pligter.

2. Bliv ansvarlig

Forordningen indeholder bestemmelser, som fremmer ansvarlighed, så DPC’en anbefaler organisationer at lave en inventarliste over alle personlige oplysninger, som de ligger inde med, og undersøge dem med de følgende spørgsmål:

  • Hvorfor ligger du inde med det?
  • Hvordan fik du fat i det?
  • Hvorfor blev det oprindeligt indhentet?
  • Hvor lang tid vil du opbevare det?
  • Hvor sikkert er det, både i forhold til kryptering og tilgængelighed?
  • Ønsker du at dele det med tredjeparter, og på hvilket grundlag kan du måske gøre det?

3. Gennemgå rettigheder om privatlivets fred

Berørte parter har måske en række rettigheder angående de måder, som organisationer indhenter og opbevarer deres oplysninger. Disse inkluderer:

  • Retten til at blive informeret
  • Retten til rettelser
  • Retten til at begrænse bearbejdning
  • Retten til data portering
  • Retten til indsigelse

Retten til tilgang

De fleste af disse rettigheder er lig med dem i nuværende databeskyttelseslove, men der er nogle signifikante ændringer. Det er vigtigt, at du gør dig fortrolig med disse ændringer og planlægger i henhold til dem.

4. Kommuniker med personale og tjenesteydere

Du er ikke den eneste, som har behov for at kende til berørte parters rettigheder. Ved indhentningen af oplysninger fra personale, klienter og tjenesteydere skal du informere dem om deres rettigheder.

5. Lær mere om juridiske årsager

Organisationer er nødt til at bevise, at de har retsgrundlag for at bearbejde oplysninger. De fleste organisationer bruger p.t. samtykke som udgangspunkt, men GDPR skærper reglerne for at få og beholde samtykke.

Der er fem andre jurisdiske grundlag for at bearbejde oplysninger:

  • En kontrakt med den individuelle person
  • Compliance with a legal obligation
  • Vitale interesser
  • En offentlig opgave
  • Berettiget interesse

Organisationer bør lære, hvornår disse grunde kan påberåbes og tilpasse deres datasamlingspolitik i henhold hertil.

6. Ændr dine samtykkeanmodninger

Der vil være tidspunkter, hvor samtykke er det mest passende retslige grundlag, så du er nødt til at vide, hvordan den opnås. GDPR oplister specifikke krav for retskonforme samtykkeanmodninger.

7. Undersøg retningslinjer for børns samtykke

GDPR oplyser, at børn ikke kan give et retsgyldigt samtykke, fordi de ”kan ske i formindsket grad at være opmærksom på risici, konsekvenser og sikkerhedsforanstaltninger” ved at dele oplysninger. Standardalderen for, hvornår man ikke mere anses for at være et barn, er 16 år, men forordningen tillader medlemsstater at tilpasse grænsen til at ligge mellem 13 og 16 år.

For eksempel forventes det, at Storbritannien, den Irske Republik og Spanien sætter alderen til 13 år, mens Tyskland og Holland bibeholder 16 år, og Østrig vælger 14 år.

Datakontrollører skal kende alderen for samtykke i landene hver især og undgå at anmode om samtykke fra nogen under den alder.

8. Udnævn en databeskyttelsesansvarlig

GDPR oplyser at en databeskyttelsesansvarlig (DPO) bør administrere en organisations databeskyttelsesstrategier og programmer for lovkonformitet.

Selvom kun bestemte organisationer er nødt til at udnævne en DPO, anbefaler artikel 29 databehandleren at alle organisation udnævner en som et eksempler på god praksis.

9. Planlæg i tilfælde af brud på sikkerheden

En af de største udfordringer, som GDPR udgør for organisationer, er dens krav om underretning af brud på datasikkerheden. Organisationer skal rapportere brud på datasikkerheden til deres tilsynshavenden myndighed indenfor 72 timer efter opdagelse, og give dem så mange detaljer som muligt.

10. Anvend tilgangen at have et design med indbygget beskyttelse af privatlivets fred

Organisationer bør anvende en tilgang til databeskyttelse, som indebærer at have et design, som har en indbygget beskyttelse af privatlivets fred. For at gøre det er de nødt til at gennemføre en konsekvensanalyse vedrørende databeskyttelse (DPIA), før de påbegynder nye projekter eller tiltag.

DPIA’er hjælper organisationer med at se, hvordan forandringer i virksomheden vil påvirke menneskers ret til privatssfære, og deres resultater kan bruges til at foregribe og mindske problemer i god tid i forvejen.

Få hjælp til at forberede dig på GDPR

Hvis du ønsker at finde ud af mere om at forberede dig på GDPR, så bør du kigge på vores GDPR webinar serier. Hver præsentation omhandler et andet aspekt af forordningen, såsom data flow kortlægning, risikovurderinger og databeskyttelsesdesign.

Vi gennemfører vores Første trin til GDPR konformitet webinar i løbet af de næste par måneder. Præsentationen forklarer forordningens grundprincipper og hvad du er nødt til at gøre før deadlinen for at være conform.

Find ud af mere om vores GDPR webinar serier >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.