ComplyTo - Dokumentation er vigtigt for GDPR

De 3 vigtigste punkter for din virksomhed under GDPR

Hvis du er i tvivl om noget i GDPR, så husk altid disse tre ting.

Hvis der noget du er i tvivl om i den nye persondataforordning, så husk altid at dokumentere hvad du har gjort, for at overholde GDPR lovgivningen.

“Hvis du ikke kan forklare, hvordan du er kommet frem til facit, er det ligegyldigt om svaret er rigtigt”. Den sætning husker vi nok alle blev gentaget utallige gange fra vores matematiklærer.

Det er meget den samme regel som gælder i den nye persondataforordning. Derfor er de tre vigtigste punkter, når det kommer til GDPR:

  • Dokumentér
  • Dokumentér
  • Dokumentér

 

EU persondataforordningen, der trådte i kraft d. 25. maj 2018, har gjort det nemmere for myndighederne at håndhæve de regler, som allerede i år 2000 blev vedtaget i persondataloven. EU persondataforordningen er en udvidelse af den tidligere persondatalov. Den tidligere lov er ikke blevet fulgt af alle og heller ikke blevet håndhævet meget strengt. Med med EU persondataforordningen bliver dette ændret.

Hvilken betydning har den nye persondataforordning for din virksomhed?

Med den nye persondataforordning vil Datatilsynet undersøge virksomheder for at se, om deres omgang med persondata lever op til reglerne for grupper som:

  • Kunder
  • Brugere på virksomhedens hjemmeside
  • Leverandører
  • Medarbejdere.


Hvis virksomheden ligger inde med personfølsomme oplysninger uden en valid grund, kan det i værste fald resultere i væsentlige bøder. Det kan fx være:

  • Papirer med CPR-numre liggende frit fremme på arbejdspladsen.
  • Persondata fra tidligere kunder som man ikke længere har juridisk grund til at opbevare.
  • CV’er liggende i virksomhedens mailbokse uden at disse slettes når stillingen er besat, eller umiddelbart derefter

Datatilsynet og den nye persondatalov

Det er Datatilsynets opgave at overvåge, om virksomheder passer ordentligt på persondata, og loven giver dem ret til at udskrive bøder til de virksomheder, der ikke overholder den. Dog betyder det ikke bøderegn fra dag 1. Datatilsynet har udtalt, at de ikke er ude med bødeblokken fra d. 25. maj 2018, men primært vil sanktionere med påtaler, irettesættelser og påbud i første omgang. Dette ændrer dog ikke på vigtigheden i at få kortlagt din virksomheds databehandling.

Hvad er en databehandleraftale?

En del af arbejdet med persondataforordningen er at få oprettet databehandleraftaler med de selskaber som behandler dine data - du har sikkert fået flere fra dine leverandører allerede.

En databehandleraftale er din virksomheds aftale med en leverandør om hvordan leverandøren må håndtere de data, din virksomhed har ansvaret for. Mange store leverandører sender databehandleraftaler ud i standard format til alle deres kunder - men som kunde bør du forholde dig kritisk til disse og vurdere om aftalerne beskytter de data du er ansvarlig for. Husk det er dig og ikke databehandleren som får bøden!

Så derfor, gør som nævnt i starten af artiklen: dokumentér hvad du har gjort, og hvordan så du har forholdt dig til en databehandleraftale, så har du grundlaget i orden. Det kan være at databehandleren ikke er villig til at ændre aftalen, men det er langt bedre, at du har dokumenteret, at du har gjort hvad du kan, og at du aktivt har taget stilling til aftalen, end at du bare stilsigende accepterer den.

Kortlæg din persondata anvendelse

Der er mange områder, hvor det lige nu er uklart, hvordan persondatareglerne fortolkes og vurderes. Selv domstole og advokater har ikke altid det endelige svar. Så hvordan kommer du i mål? Dokumentér, dokumentér, dokumentér. Du skal sørge for, at du har en god dokumentation og forklaring på hvad du har gjort, og hvilke overvejelser du har foretaget dig. Dermed kommer du rigtig langt. Du skal kunne bevise, at du har tænkt dig om og implementeret de tiltag, som du mener er tilstrækkelige for din virksomhed.
Den dag Datatilsynet, advokaten eller revisoren kommer på besøg, har du klar dokumentation for, hvad du har gjort. Det kan så være, at fortolkningen af reglerne er lidt anderledes end du forventede, men hvis har gjort de rigtige overvejelser er der stadig points i bogen.

Så tilbage til matematiklæreren. For hvis du bare har skrevet det forkerte resultat (uden mellemregninger) kan læreren kun vurdere resultatet på to måder: korrekt eller forkert. Derimod hvis du har lavet mellemregningen og du har tænkt dig om, så betyder en regnefejl ikke så meget, da læreren kan se hvor fejlen ligger, at du har gjort dit bedste og derfor er mere villig til at hjælpe dig med at bestå.

ComplyTo GDPR er en smart, intuitiv og brugervenlig software wizard, som hjælper små og mellemstore virksomheder med at udvikle og kortlægge deres persondatapolitik og databehandling.

Læs mere om ComplyTo GPPR her.

Opret din gratis ComplyTo-konto her

Bliv GDPR klar nu