Vælg en side

Første skridt til compliance handler om overblik

Jeg bliver ofte spurgt om, hvad det første skridt for at efterleve persondataforordningen, er. Derfor vil jeg dele en lille og konkret liste til, hvad du kan gøre som det første.

Allerførst skal du vide, at persondata ikke bliver ulovlige at behandle! Du må altså gerne behandle persondata – hvis du har et fornuftigt formål med det. Og så skal du informere personen om, hvad du bruger hans/hendes data til. Er der ikke juridisk grundlag, skal du indhente samtykke. Så start med at spørge dig selv:

  • Hvilke kategorier af persondata indsamler og behandler jeg?
  • Hvilke registrerede personer vedrører persondataene?
  • Hvorfor behandler jeg disse persondata?

Dernæst skal du tænke over, hvor du opbevarer de persondata, du ligger inde med på kunder og ansatte. Her er der tale om fx lokale systemer, arkiver og behandling hos tredjeparter, f.eks. cloud- og outsourcingpartnere.

Din opgave går altså ud på at følge persondataene i deres “levetid”. Fx vil nogle persondata om medarbejdere blive indsamlet fra jobansøgninger, og nogle persondata vil først blive slettet efter ansættelsesforholdets ophør.

DOKUMENTATION, DOKUMENTATION, DOKUMEN…

Med den nye forordning er det ikke nok at vide. Du skal kunne dokumentere din datastrøm – uanset om du har medarbejdere, samarbejdspartnere eller bare er helt din egen. For at skabe overblik over datastrømmene kræver det, du kigger indad og ser på, hvordan du arbejder, når du arbejder med persondata. Og så skal det nedskrives.

HVORDAN FLYDER DATASTRØMMENE?

Er I flere medarbejdere er det oplagt at afholde workshops med de relevante medarbejdere – det gælder fx medarbejdere fra IT, bogholderi, salg og marketing. På den måde får I nemlig belyst de forskellige metoder og arbejdsgange, I måtte have.

Har du ansatte, er det vigtigt, at du inden workshoppen har udvalgt en intern eller ekstern tovholder, der kan afklare, hvilke informationer I skal bruge for at kunne kortlægge persondatastrømmene.

Det er vigtigt, at personen har sat sig grundigt ind i forordningen, da kortlægningen er fundamentet for resten af jeres arbejde med persondata. Tovholderen skal – enten undervejs eller efterfølgende – notere alle former for persondata, I ligger inde med samt de systemer, I anvender til persondata. På den måde resulterer persondatastrømsanalysen i en oversigt over jeres datastrømme. Oversigten bør efterfølgende bruges som basis for en compliance-analyse, der er næste trin i processen.

Summa summarum: du skal vide, hvad du har af persondata, hvorfor du behandler dem og hvad du gør med dem. Og så skal du kunne dokumentere det. Kan du det, er du rigtig godt på vej!

Friis Solutions ApS

kontakt@friissolutions.dk
CVR-nr: 37847879
Tlf: 22 85 85 60