Som noget nyt skal man ikke blot overholde reglerne, man skal også kunne påvise og dokumentere, at man overholder reglerne. Det stiller krav til, at man har fuldt overblik over hvilke personoplysninger der indsamles og hvorfor, at man kender begrænsningerne og har vurderet, at indsamlingen og brugen er tilladt efter forordningen samt, at man i sin organisation og i sine processer har implementeret tilstrækkelige tekniske, fysiske og organisatoriske foranstaltninger til beskyttelse af persondata. Kravene skal tænkes ind i tilrettelæggelsen af medarbejderadministration, kundedatabaser, sikkerhed, leverandørkontrakter, IT-systemer m.m. En opgave der indebærer, at alle vitale dele af virksomheden inddrages.
Helt konkret stiller forordningen blandt andet krav til, at man som virksomhed skal;
- Kunne påvise og dokumentere, at man kender og overholder reglerne, herunder at man kun indsamler og behandler data, når man kan påvise en hjemmel.
- Indrette sin organisation og etablere processer og politikker der sikrer, at beskyttelse af persondata tænkes ind i alle forretningsprocesser og produktudvikling.
- Kunne redegøre for, hvilke data om hvilke personer der behandles til hvilke formål – og hvor data stammer fra samt til hvem oplysningerne videregives.
- Kunne dokumentere, at man har opfyldt sine oplysningsforpligtelser overfor de personer, der indsamles data om, senest ved indsamlingen.
- Etablere sikkerhedsforanstaltninger til beskyttelse af persondata – teknisk såvel som organisatorisk.
- Have et beredskab, der sikrer organisatorisk og teknisk parathed til at imødekomme begæringer fra personer om blandt andet indsigt, berigtigelse og sletning af data.
- Etablere processer for monitorering og detektering af sikkerhedsbrister samt have et beredskab til at informere de berørte personer og Datatilsynet inden 72 timer.
- Have skriftlige aftaler med og kontrol over alle leverandører, der behandler virksomhedens data (databehandlere), herunder eks. Cloud leverandører.
- Sikre, at der ikke overføres data til lande uden for EU, uden at der er fornøden hjemmel.
- Vurdere, om man er forpligtet til at udpege en Data Protection Officer (DPO).
Og hvordan gør man så det?
Kort fortalt skal man i gang med at kortlægge virksomhedens dataflow. Det vil sige, skabe et overblik over hvilke data der indsamles til hvilke formål om hvilke kategorier af personer og til hvem data evt. videregives. Der skal skabes et overblik over hvordan personoplysninger flyder i organisationen fra de indsamles til de videregives/slettes. Analysen bruges til at vurdere virksomhedens anvendelse af personoplysninger i forhold til reglerne i forordningen, herunder de grundlæggende principper om formålsbestemthed og opbevaringsbegrænsning, behandlingshjemmel, de registreredes rettigheder, behandlingssikkerhed, brug af databehandlere, overførsler til udlandet etc. Baseret på analysen skal virksomheden ud fra en risikobaseret tilgang fastlægge og prioritere de huller som analysen identificerede. Herefter skal handleplanen implementeres og effektueres ved udarbejdelse og tilpasning af nødvendige politikker og dokumenter/aftaler, træning af medarbejdere og etablering af procedurer.
Efterfølgende er det vigtigt, at procedurer, systemer, politikker og dokumenter løbende vedligeholdes og opdateres.
Sanktioner
I modsætning til hvordan brud på persondataloven sanktioneres i dag, kommer der med forordningen til at ske et epokegørende skifte, idet der vil kunne udstedes administrative bøder på op til EUR 20 mio. eller 4 % af virksomhedens/koncernens globale omsætning. Herudover kan manglende overholdelse resultere i negativ branding og troværdighed, hvilket for de fleste virksomheder kan være lige så skadeligt som en klækkelig bøde.
Ud over at kunne sætte flueben ved forordningens mange krav, er arbejdet med compliance processen også et middel til at rydde op i organisationen. Det kan for eksempel vise sig, at processer kan effektueres og omkostninger minimeres, ligesom ’compliance’ kan indgå som et vigtigt konkurrenceparameter og skabe tillid til virksomheden.
Lundgrens persondatateam har stor erfaring med udarbejdelse og implementering af compliance-programmer i forbindelse med EU persondataforordningen. Kontakt advokat og partner, Michael Gorm Madsen, for en uforpligtende drøftelse af hvilken betydning forordningen har for jeres virksomhed og hvordan I bedst muligt kommer i gang (mgm@lundgrens.dk).
