<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1150766838320198&amp;ev=PageView&amp;noscript=1">

Danmarks bedste ledelsesblog – vinder af Blogprisen 2016

as3_2017_0022-451148-edited.jpg

Har I styr på den nye persondataforordning? – Få advokatens 6 trin til at komme godt i gang

Daiga Grunte-Sonne

Den nye persondataforordning finder anvendelse fra den 25. maj 2018. Men mange virksomheder er stadig i tvivl om, hvad det egentlig indebærer, og hvordan de bliver klar til håndterer reglerne. Få svarene på disse to spørgsmål fra advokatvirksomheden Kromann Reumert.

Hvor skal man begynde?

Langt de fleste virksomheder lagrer, indsamler og videregiver en vis mængde data. Dele af disse data kan karakteriseres som personoplysninger, og det er selve håndteringen af disse data, som persondataforordningen kommer til at regulere.

Selv om mange virksomheder har fået øjnene op for nødvendigheden af at reagere på reglerne i persondataforordningen, er der stadig virksomheder, som ikke har dannet sig et overblik over de nødvendige skridt, der skal tages frem mod maj 2018.

Så hvis man endnu ikke er gået i gang med sin compliance-proces, bør man komme i gang nu og kan med fordel tage udgangspunkt i denne 6-trins model, som er ret generisk og derfor passer til de fleste virksomheder.

1. Afgrænsning, overblik og forberedelse

Som det allerførste trin er det oplagt, at ledelsen – og andre relevante nøglepersoner – holder et møde i virksomheden for at drøfte de nye regler, og hvordan virksomheden kan gribe en compliance-proces an.

Herefter nedsætter man en arbejdsgruppe, som skal klarlægge, hvilke love og regler virksomheden skal overholde – ud over persondataforordningen, samt styre processen og ikke mindst deadlines for at komme i mål. Allerede i løbet af dette trin vil man få en god forståelse af, hvor kort eller lang vejen til persondata-compliance er i den enkelte virksomhed.

2. Analyse af datastrømme

Det næste trin går ud på at få et overblik over virksomhedens datastrømme. Man skal have identificeret hvilke kategorier af persondata, der indsamles og behandles, hvilke personer de indsamlede data vedrører, og hvad der sker med dataene. Er der eksempelvis tale om intern udveksling, videregivelse til tredjepart eller noget helt tredje?  

Analysen laves oftest med udgangspunkt i et egnet spørgeskema og på baggrund af en række interview med de medarbejdere i virksomheden, som oftest har berøring med personoplysning og/eller kender virksomhedens IT-systemer. Det er typisk medarbejdere fra HR, IT og salg og marketing.

Når analysearbejdet er færdigt, bør resultatet være en oversigt over virksomhedens datastrømme og systemer, som kan illustrere de personoplysninger, som strømmer gennem virksomheden, og som lagres på de forskellige systemer, platforme eller andre digitale løsninger. Oversigten kan derefter bruges som basis for den efterfølgende compliance-analyse.

3. Overholder man gældende – og fremtidige – regler?

Når virksomhedens datastrømme er blevet klarlagt, handler næste skridt om at vurdere, om behandlingerne af al denne data sker i overensstemmelse med persondataforordningen, samt hvor relevante de regler er, der gælder i dag.

Resultatet af en sådan juridisk vurdering vil som regel være en compliance analyse eller rapport, som giver et overblik over, hvor virksomheden skal justere ind i forhold til persondataforordningens kommende regler.

Rapporten vil oftest indeholde en række konklusioner, f.eks. at der opbevares forældet data, at der er for brede adgangsrettigheder til visse data, at databehandleraftalerne ikke lever op til kravene i persondataforordningen osv., og en række anbefalinger, såsom sletning af forældet data, begrænsning af adgangsrettigheder og opdatering af databehandleraftaler.

4. Handlingsplan

Det fjerde skridt er at få lagt en konkret handlingsplan, som skal indeholde alle de tiltag, der er nødvendige for at overholde persondataforordningens regler.

Handlingsplanen kan bestå af konkrete IT-mæssige tiltag, eksempelvis at finde løsninger i forhold til at slette og begrænse adgangsrettigheder, men det kunne også være tiltag, der løser en problemstilling, eksempelvis i forbindelse med at finde data frem, opdatere databehandleraftaler eller udarbejde nye standardaftaler. Sidst, men ikke mindst, kunne det handle om mere generelle tiltag, eksempelvis at udarbejde en beredskabsplan for persondatasikkerhedsbrud eller databeskyttelsespolitik for virksomheden.

5. Implementering

Med udgangspunkt i handlingsplanen skal der nu foretages en implementering af de nødvendige tiltag. Implementeringsfasen kan eksempelvis involvere udarbejdelse af politikker, træning af medarbejdere, implementering af nye procedurer og IT-systemer.

6. Vedligeholdelse

Det sidste, men måske vigtigste trin er den fremtidige vedligeholdelse. Den nærmere fortolkning af bestemmelserne i persondataforordningen er ikke nødvendigvis kendt den 25. maj 2018, og der vil løbende komme domme, vejledninger med mere, som vil fortolke og præcisere indholdet.

Det er derfor vigtigt løbende at vurdere, om virksomhedens behandling af data sker i overensstemmelse med gældende lovgivning og – ikke mindst – de kendte IT-standarder, herunder kravene til IT-sikkerhed. Derudover kan der være implementeret tiltag, som ikke fungerer efter hensigten, og det skal virksomheden også kunne håndtere.

Som allerede nævnt er denne model generisk og skal tilpasses den konkrete virksomhed, da der ikke findes en ’one size fits all’-løsning for persondata-compliance. Modellen dækker dog de vigtigste elementer, alle virksomheder skal forholde sig til, og er I ikke allerede i gang, så er de på høje tid at indlede arbejdet.

Denne artikel kan ikke erstatte juridisk rådgivning, men skal bidrage til at give et overblik, så man kan arbejde videre med den aktuelle problemstilling.

Daiga Grunte-Sonne

Daiga Grunte-Sonne

Daiga Grunte-Sonne. Advokat hos Kromann Reumert med speciale i persondata. Beskæftiger sig bredt med persondataretlige forhold og rådgiver typisk om rammerne for behandling af persondata, herunder reglerne for samtykke, kravene for saglig behandling og brug af persondata til specifikke formål, såsom direkte markedsføring eller som led i ansættelsesforhold. Daiga er bl.a. certificeret som International Privacy Professional/Europe (CIPP/E).

Kommenter indlægget

Vil du kontaktes