GDPR – Persondataforordningen

Siden 25. maj 2018 skal alle virksomheder, foreninger m.m. beskytte de persondata, som findes i virksomheden mod, at disse uretmæssigt kommer i andres besiddelse med risiko for misbrug af disse.

Hvis der sker brud på sikkerheden og virksomheden ikke har overholdt GDPR-lovgivningen, politianmelder Datatilsynet virksomheden og indstiller til bøder.

Dokumentation er nøgleordet i GDPR-lovgivningen (artikel 30). Som dataansvarlig skal du føre en fortegnelse over alle de behandlingsaktiviteter, der fortages på dine vegne.

I dag opbevares stort set alle personoplysninger digitalt. Derfor er det nødvendigt at kortlægge alle mobiltelefoner, PC´er, IT-systemer og fysiske mapper, som indeholder personoplysninger for at kunne dokumentere dette.

Din virksomhed eller forening er altid dataansvarlig, nogle er så også databehandlere, udover at være dataansvarlig.

Når man skaber dokumentationen, er der en række begreber, hvis anvendelse ligger til grund for dokumentationen.

Den registrerede, den person, hvis data opbevares, eller behandles.
Dataansvarlig, er den virksomhed eller forening som modtager, bruger data til en behandling, som er formålet med de pågældende data.
Databehandler, er f.eks. et IT-system som dataansvarlig køber licens til for at f.eks. at bogføre eller andet, eller bare lagre data hos (Hosting).

Der skal udarbejdes dokumentation i hvert enkelt tilfælde for følgende.

Kunder
Ansatte
Leverandører

De 3 sidste nævnte kategoriers data skal så behandles efter om de er:

Almindelige personoplysninger:

Navn
Adresse
Tlf. nr.
E-mailadresse
Køn
Alder
Stilling
GPS-oplysninger
Familie oplysninger
Interesser

Fortrolige oplysninger:

Cpr. nr.
Cvr nr. enkeltmandsvirksomhed
Sociale problemer
Følsomme personoplysninger er:
Race og etnisk oprindelse
Politisk overbevisning
Religiøs eller filosofisk overbevisning
Fagforeningsmæssige tilhørsforhold
Genetiske data
Biometriske data med henblik på entydig identifikation
Helbredsoplysninger
Seksuelle forhold eller seksuel orientering
Straffe, domme,

Når dokumentationen udarbejdes, er processen følgende til hvert enkelt datasæt:

Beskrivelse af med hvilke formål data opbevares.
Hvilke hjemmelgrundlag, gør at det er lovligt at opbevarer data, til pågældende formål.
Udarbejdelse af risikoanalyse for data’ opbevaring pågældende sted (System).
Udarbejdelse at risikorapport
Dette danner grundlaget for art. 30 fortegnelse, som er årsregnskabet for virksomhedens data. (Art. 30 fortegnelsen kan samlingens med årsregnskabet for virksomhedens økonomiske tilstand.)
Forud for dette skal der gennemlæses, og evt. godkendes databehandleraftaler, og evt. ISAE-erklæringer (Sikkerhed) for det enkelte system, inden der må opbevares persondata på vegne af dataansvarlig. Der er ikke altid disse dokumenter kan godkendes, hvorfor IT-systemet ikke må anvendes, eller dataansvarlig beskriver risikoen i privatlivspolitikken, så borgene som vil lade sig registrere sig i systemet godkender risikoen forud for udlevering af sine persondata. I forbindelse med nævnte proces skal der ligeledes tages stilling til underdatabehandlere, og Hosting løsninger som er en del af IT-systemet, – den beskrevet procedure er gældende for hvert led hvert led frem til slut placeringen af persondata. (Der er ofte 3-4 led tilknyttet et IT-system)

Arbejdsdokumenter som er output af den beskrevet proces:

Privatlivspolitik, bred
Privatlivspolitik, jobsøgende
Evt. samtykker
Ledelsesinstruks
Medarbejder instruks
Andre relevante dokumenter

Slettepolitik:

Til hvert enkelt datasæt skal der udarbejdes slette politikker, på basis at bogføringsloven, forældes loven, samt andre tilknyttet lovgivninger.
Eneste undtagelse for den enkelte sletning er evt. verserende sager, hvis dette er tilfældet, må de specifikke persondata gemmes indtil 12 mdr. efter sagen er afsluttet endeligt.

Øvrige forhold som skal vurderes på vege af dataansvarlig: