Organisationer er forpligtet til at aktualisere deres programmer til beskyttelse af privatlivets fred og dele det med berørte parter for at være konform med EUs databeskyttelsesforordning (GDPR). Ikke at gøre det betyder, at du misligholder adskillige af GDPRs krav og kan stå overfor alvorlige disciplinære tiltag.
At skrive et program til beskyttelse af privatlivets fred
Dit program til beskyttelse af privatlivets fred bør forklare de måder, hvorpå du er ansvarlig for databeskyttelse og hvordan individuelle personer kan udøve deres ret som berørte parter. Det er anderledes end programmet til databeskyttelse, som er et internt dokument, som detaljeret beskriver din organisations målsætninger for databeskyttelse, ansvarligheder og hvordan du har tænkt dig at håndtere overtrædelser.
Paragraffer 12, 13 og 14 af GDPR beskriver kravene for et program til beskyttelse af privatlivets fred. I bund og grund siger de, at du er nødt til at informere berørte parter, at du har deres informationer og fortælle dem, hvordan du samler dem, hvor de opbevares og hvor lang tid du har tænkt dig at beholde dem (GDPR siger, at information kun må beholdes “så længe som nødvendigt”).
Andre ting du er nødt til at forklare er:
- Hvem samler informationerne (din organisation eller tredjepart);
- Det retslige grundlag du bruger for at bearbejde; og
- Om informationerne deles med tredjepart.
Til sidst bør du forklare, hvordan individuelle personer kan udøve deres ret som berørte parter. De vigtigste rettigheder at påtale er:
- Retten til adgang: Individuelle personer skal have lov til at indrække anmodninger som berørte parter ,som kræver af organisationer, at de giver dem en kopi af enhver form for persondata vedrørende dem.</
- Retten til at blive informeret: Hvis den information, som en organisation har, er ukorrekt eller ufuldstændig, så kan individuelle personer bede om at få den aktualiseret.
- Retten til sletning (også kendt som “retten til at blive glemt”): I nogle tilfælde kan individuelle personer anmode om, at organisationen sletter deres persondata.
- Retten til at begrænse bearbejdning: Som et alternativ til sletning af data foretrækker individuelle personer nogle gange at begrænse bearbejdning (såsom når de anfægter rigtigheden af persondataen).
Individuelle personer har otte rettigheder i alt, som du kan læse mere om på vores blog.
Ordvalg
GDPR har strenge krav om, hvordan programmer til beskyttelse af privatlivets fred skal formuleres og struktureres. De skal være:
- Præcise, transparente, forståelige og nemt tilgængeligt. Organisationer skal præsentere informationen i så få ord som muligt, hvert program bør præsenteres adskilt og hele sektionen skal være klart afgrænset fra andre informationer, der ikke vedrører privatlivets fred.
- Klart og skrevet på et almindeligt sprog . Programmet skal definitivt erklære, hvad organisationen har tænkt sig at gøre med informationen (undgå vage begreber såsom ”kan, ”nogle” og ”måske”). Det skal skrives på en måde, som en gennemsnitlig repræsentant for den tilsigtede målgruppe kan forstå. Organisationer bør træffe særlige foranstaltniger, hvis de forventer at give informationer til børn eller sårbare personer.
- På skrift. Selvom ikke-skriftlige måder er tilladte (videoer, indtalte alarmer, tegneserier eller infografik kan være hjælpsomme – især for børn og sårbare personer), skal programmer til beskyttelse af privatlivets fred altid stå til rådighed til læsning i et enkelt, skrevet dokument.
- Efter ønske til rådighed mundtligt . Organisationer bør have en lydbogs version af programmet (eller nogen, der kan læse det højt), hvis behovet opstår.
Flere råd om GDPR konformitet
For at finde ud af mere om at være konform med forordningen, kig i EU GDPR – En lommevejledning. Denne bog, skrevet af Alan Calder, IT Governances grundlægger og bestyrelsesformand, giver dig en klar forståelse af GDPR og forklarer:
- Begreberne og definitionerne brugt i forordningen;
- Nøglekravene for konformitet; og
- Hvordan at være konform med GDPR.