Er nytårsforsættet at få styr på persondataforordningen?

Fra den 25. maj 2018 skulle alle virksomheder kunne dokumentere, at persondataforordningen og de supplerende danske regler overholdes i virksomheden. Mange virksomheder har derfor været i gang med eller er i gang med at skulle gennemgå deres arbejdsgange og processer, så de har et grundlag for at udarbejde denne dokumentation.

Hos HjulmandKaptain har vi hjulpet rigtig mange både små og mellemstore virksomheder med at implementere persondataforordningens regler. Det er vores indtryk, at mange virksomheder ser det som en uoverkommelig opgave, men det kan ofte skyldes, at man ikke helt kan gennemskue indholdet af reglerne i persondataforordningen. Derfor gør vi hos HjulmandKaptain meget ud af at forklare vores kunder, hvad reglerne går ud på, og hvilken konkret betydning de har for virksomhedens forretningsgange.

Det er vigtigt at kende virksomhedens forretningsgange

Det kan være et stort arbejde at få analyseret, i hvilke situationer virksomheden behandler personoplysninger, og der skal naturligvis sættes nogle ressourcer af til det, men når først virksomheden ved, hvad der skal kigges efter, giver arbejdet som regel meget mere mening. Som en del af analysen beder vi ofte virksomhederne om bl.a. at liste op, hvilke konkrete typer af personoplysninger (f.eks. kontaktoplysninger, cpr. nr. eller helbredsoplysninger) der behandles, og hvilke personer oplysningerne knytter sig til (f.eks. kunder eller medarbejdere). Det er endvidere relevant at overveje, hvor virksomheden får oplysningerne fra, hvad de anvendes til, hvor længe de opbevares, og hvad virksomheden har gjort for at sikre, at der bliver passet på oplysningerne.

I forbindelse med arbejdet opstår der ofte behov for at tilrette virksomhedens arbejdsgange i et eller andet omfang. Dette skyldes som oftest, at virksomheden ikke har nogle eksisterende slettepolitikker, at der indhentes flere personoplysninger, end virksomheden har behov for, eller at der er en mangelfuld sikkerhed omkring håndteringen af personoplysningerne. Men selve vurderingen af behovet for ændringer giver ofte en rigtig god mulighed for at få tilpasset og måske ensrettet de eksisterende forretningsgange – også dem som ikke nødvendigvis lige har noget med behandling af personoplysninger at gøre. Nogle virksomheder oplever derfor, at arbejdet kan være med til at effektivisere forretningsgangene.

Selve analysearbejdet danner derefter baggrund for udarbejdelse af det dokumentationsmateriale, som persondataforordningen pålægger virksomhederne at udarbejde. Derudover hjælper vi også ofte virksomheder med at udforme eller tilpasse retningslinjerne for virksomhedens fysiske sikkerhed eller it-sikkerhed. Persondataforordningen stiller nemlig også krav om, at virksomheden passer på de personoplysninger, denne håndterer.

Vejledninger fra Datatilsynet

Datatilsynet har offentliggjort flere gode vejledninger om, hvordan virksomheder skal begå sig i persondatajunglen, og der er flere vejledninger på vej. Du kan læse vejledninger om persondataforordningen generelt, databeskyttelsesrådgivere, overførsel af data til tredjelande, samtykkeerklæringer og forskellen på dataansvarlige og databehandlere. Vejledningerne giver et godt overblik over, hvordan du skal forholde dig, hvis du behandler personoplysninger i din virksomhed eller på vegne af andre.

Har du spørgsmål til, hvordan du og din virksomhed håndterer reglerne i persondataforordningen, er du altid velkommen til at kontakt os.