Din GDPR tjekliste
- få styr på GDPR

> Datatilsynet er tilsynsmyndighed på området og har udgivet flere vejledninger om GDPR.

> Der er lavet en god infografik om baggrunden for denne lovgivning fra EU.

> Der er også god viden at hente hos Erhvervsstyrelsen.

> Se ellers vores egen side om GDPR i e-conomic.

> Hvilke persondata har vi?

> Hvad gør vi med dem?

> Hvilken lovlig ret har vi til at behandle disse data?

> Hvad er formålet med behandlingen?

> Hvem har adgang til de persondata, vi behandler?

> Hvornår bliver disse persondata slettet igen?

Tegn gerne et kort over de forskellige processer, I har i virksomheden. Formålet er, at I får styr på, hvor persondataene kommer ind i jeres virksomhed, og hvordan de bliver ført rundt i jeres systemer. Måske deler I persondata med andre? Hvis I anvender ekstern hosting eller cloud-baserede tjenester og behandler personoplysningerne der, så er de faktisk landet uden for jeres virksomhed, og så deler I data med andre, og det skal der tages højde for.

Sørg for, at den person, der er ansvarlig for jeres databehandleraftaler med underleverandørerne, får indblik i alle jeres leverandører under denne kortlægning. e-conomic er et eksempel på en cloud-baseret tjeneste, hvor I måske opbevarer persondata. Hvis I er kunder hos os, kan I læse, hvordan vi forpligter os til at behandle jeres persondata i vores DPA (databehandleraftale).

Et godt tip er at teste jeres fremskridt med Privacykompasset.

I har brug for en privatlivspolitik. Eller måske to? En ekstern, som henvender sig til kunder og omverdenen, og en intern, som medarbejderne i jeres virksomhed kan forholde sig til. Det er ikke så kedeligt, som det lyder, eftersom I kan beskrive i almindeligt talesprog, hvad I gør med de personoplysninger, I har, hvordan I beskytter dem, og hvem kunderne kan henvende sig til, hvis de har spørgsmål. Kort sagt: Skriv det på en måde, så folk forstår, hvad I mener.

Efter kortlægningen ved I jo allerede lidt om, hvordan I gør. Søg på nettet, og se hvordan andre har gjort det. Hvis der findes særlige krav i jeres branche, kan I se, hvordan kolleger og konkurrenter har løst det. Jeres privatlivspolitik skal fungere som et dokument, I kan henvise alle interesserede til, og hvor jeres potentielle kunder kan beslutte, hvorvidt de vil være kunder hos jer. Husk at notere datoen i teksten, og opdater jeres privatlivspolitik senere, hvis der er nye informationer, eller I er blevet klogere på processer eller fx forhold omkring underleverandører.

> Hvem I er

> Hvad formålet med persondatabehandlingen er. Det vil sige, hvad I skal bruge personoplysningerne til

> Hvilket retsligt grundlag I har for at behandle persondata i de forskellige sammenhænge

> Hvornår I vil slette persondataene igen

> Hvorvidt I deler persondata med andre, og om det er udenfor EU/EØS (fx Google eller Microsoft)

> Hvilke rettigheder den registrerede har, dvs. den, hvis persondata det gælder

> Og eventuelt det lille ekstra...

> I kan læse mere om oplysningspligten og den registreredes rettigheder i Datatilsynets vejledning.

De steder, hvor I har mulighed for det, skal informationen gives før de personlige oplysninger indsamles. Hvis det ikke er muligt, skal det gøres hurtigst muligt herefter og senest ved første efterfølgende kontakt.

I praksis er det ganske enkelt: Bestiller kunden noget via jeres firmas hjemmeside, skal informationen om, hvordan I behandler kundens persondata findes der. Bestiller kunden i stedet en vare eller ydelse hos jer via telefon, kan I oplyse kunden via ordrebekræftelsen, fakturaen eller leverancen, hvis det giver mening i den sammenhæng. Har I en relativt enkel forretning og en god privatlivspolitik, har I muligvis allerede alt på det rene.

GDPR er en lov, der skal beskytte dig og mig som individer. Hvis vi synes, at det er besværligt at tilpasse vores virksomhed til de nye regler, så kan det være et tegn på, at vi måske ikke har været gode nok til at beskytte persondata og til at beskytte netop sådan nogen som dig og mig. Vi er altså nødt til at forandre vores tankegang, selvom det er noget af det sværeste, der findes.

Vi må bygge en ny kultur om persondata. Og for at lykkes med det, må vi være bevidste om forandringen og besidde den nødvendige viden. Hvor meget ved dine ansatte om de nye regler? Det er på tide, at den person, der har været ansvarlig for at opsøge viden, deler ud af sine erfaringer. Nu må alle hjælpes ad med at finde de rutiner, som kan forbedres. Hvordan gør I med gamle ringbind, deltagerlister og andre dokumenter, måske i Excel? Findes der kopier af dokumenterne på den enkelte computer i virksomheden? Ligger der mange gamle vedhæftninger i jeres e-mails?

Notér jeres erfaringer fra oprydningsarbejdet og udvikl rutiner for oprydningsarbejdet, som I kan følge fremover, fx kan I planlægge at have oprydningsrutine en gang i kvartalet. Som med enhver oprydning derhjemme, kan det måske ligefrem føles som en lettelse at få renset lidt ud i unødvendige data?

Nu nærmer I jer med store skridt et rigtig godt setup. I har selvfølgelig stadig en to-do-liste med udeståender, der skal løses, men nu har I højst sandsynligt et ganske godt billede af jeres behandling af persondata. Hvis I har fulgt trinene i denne tjekliste, har I nu også en hel del dokumentation. I slutspurten er den vigtigste opgaven at organisere al jeres dokumentation, så I kan bevise, at I er i gang med at gå jeres processer igennem. Derudover har jeres to-do-liste også brug for lidt opmærksomhed…

Husk, at det ikke behøver at være et lækkert arkiv, I laver, men blot en oversigt over jeres grundlæggende dokumentation. I har brug for at vise, at I tager GDPR seriøst, og at I har tænkt igennem, hvordan I tilgodeser lovkravene i jeres virksomhed. Husk, at en privatlivspolitik også er en form for dokumentation. Engang imellem er det altså muligt at slå to fluer med ét smæk.

Tænk på, at vi alle er i samme båd, når det gælder GDPR, da den gælder for alle virksomheder, der behandler persondata vedrørende borgere i EU/EØS. I er altså ikke alene :)