I denne tid tales der mangt og meget om persondata compliance, om EU forordningen og om forkortelsen GDPR[1]. Mon ikke du og din virksomhed har opdaget at det er et vigtigt og højaktuelt område, og at opgaven kræver handling og indsats nu.
Men hvad skal den enkelte virksomhed egentlig gøre i den sammenhæng? Hvor starter arbejdet og hvordan gribes det fornuftigt an? Hvad skal den mindre virksomhed fokusere på når ressourcerne er få?
Persondata compliance betyder og indebærer at virksomheden indretter interne dokumenter (fx personalehåndbog og IT politik), procedurer (fx rekruttering og lønudbetaling) og systemer (fx personalesystem) således at reglerne i loven overholdes – nu og fremover.
Nedenstående handlinger er vigtige praktiske skridt på vej mod pragmatisk persondata compliance.
Få viden om persondata og compliance
Allerførst er det nødvendigt at forstå hvad persondata er, hvilke begreber der knytter sig til persondata og hvor man kan få yderligere informationer om persondata og compliance. EU forordningens artikel 4 indeholder en fin oversigt over definitioner, men er naturligvis skrevet i jura sprog.
Det kan være en rigtig god start at deltage i et seminar med fokus på persondata compliance, måske et der er rettet mod virksomhedens branche. Brug gerne netværket og tal med andre med tilsvarende udfordringer.
Der findes også flere brugbare bøger – fx ”Persondataforordningen – en håndbog for praktikere” af Amalie Langebæk, Jesper Langemark & Nis Peter Dall.
Find persondata og deres anvendelse
Har din virksomhed en dækkende og opdateret oversigt over processer, systemer og data? Hvis svaret er ja, så få fat i dokumentationen, den er guld værd og skal bruges i persondata arbejdet.
Hvis svaret derimod er nej, som det vil være for rigtig mange virksomheder, så er første skridt at skabe et overblik over hvilke processer og systemer, der behandler og indeholder persondata. I hvilke situationer indsamles persondata, hvad bliver de brugt til og hvordan opbevares de? Hvor og hvordan bliver persondata sendt rundt i virksomheden og til eventuelle samarbejdspartnere?
Som en del af afdækningen er det vigtigt at afgøre hvilken typer af persondata der er tale om. Om det er følsomme data (se fodnote[2]) eller almindelige data (andre data end følsomme om en fysisk person). Der er nemlig stor forskel på hvordan disse skal håndteres, om der skal indhentes fx tilladelse fra den enkelte person eller om de overhovedet lovligt må anvendes.
Det gælder kort fortalt om at finde persondataene i virksomheden og forstå hvorledes de bliver brugt og håndteret. Det er udgangspunktet for de næste handlinger – på vej mod compliance.
Husk at dokumentere det hele så det er let at arbejde videre med og samtidig kan vise den indsats der er foretaget. Dokumentation er – om man er tilhænger eller ej – ultra vigtig og kommet for at blive når vi tale om persondata compliance – og compliance generelt.
Sørg for rigtig anvendelse
Virksomhedens anvendelse af en persons data skal altid ske med udgangspunkt i fastlagte principper for behandling og på et gyldigt grundlag – juridisk kaldet med hjemmel. Overordnet er der seks principper, der alle skal overholdes, og det er virksomhedens ansvar at kunne påvise det (her beskrevet komprimeret).
- lovlighed, rimelighed og gennemsigtighed – der skal først og fremmest være åbenhed om og saglighed i anvendelsen af persondata!
- formålsbegrænsning – klarhed om hvad data skal anvendes til og så holde sig til det
- dataminimering – alene de data som er nødvendige for formålet
- rigtighed – data skal være korrekte og holdes ajour
- opbevaringsbegrænsning – alene opbevare data så længe det er nødvendigt for formålet
- integritet og fortrolighed – data skal beskyttes og sikres tilstrækkeligt
Når principperne er opfyldt, så skal der være styr på den såkaldte hjemmel.
Skal der indhentes samtykke (tilladelse) fra den enkelte person eller har virksomheden hjemmel via en aftale indgået med personen? Kan en interesseafvejning anvendes eller er der et egentligt lovkrav, der skaber hjemmel?
Dette er vigtige spørgsmål at få afklaret og ikke altid lige lette at få på plads. Fx kan samtykke virke tiltalende, men husk på at personen har mulighed for at annullere sit samtykke – og hvad gør virksomheden så? Der er også begrænsning i en hjemmels anvendelse når det gælder følsomme data. Så hvis virksomheden behandler følsomme data er det klogt at prioritere fokus på disse.
EU forordningen beskriver disse hjemler i artikel 6, men det kan være klogt at rådføre sig med en specialist i persondata hvis der opstår tvivl.
Få styr på anvendelse udenfor virksomheden eller EU
Mange virksomheder benytter sig af eksterne firmaer til håndtering af virksomhedens processer og informationer. Det kan fx være til regnskab, lønudbetaling, drift af et salgssystem eller lagring af dokumenter. Nogle virksomheder har datterselskaber eller kontorer uden for EU, som der deles informationer og måske persondata med.
Omfanget af denne udveksling skulle gerne fremgå af den tidligere nævnte analyse og dokumentation af anvendelsen af persondata. Men måske en gennemgang af virksomhedens service leverandører og samarbejdspartnere bringer flere situationer med dataudveksling frem.
Pointen er her at når virksomheden, som dataansvarlig, videregiver persondata til en ekstern part (fx løn bureau, revisor, mailingliste system), så skal virksomheden sikre at den eksterne part, som databehandler, tilser persondata compliance. Gå i dialog med det eksterne firma og lav en databehandleraftale, der beskriver hvordan den eksterne skal behandle de persondata som virksomheden er ansvarlig for at passe på.
Hvis nogle af disse eksterne firmaer ligger udenfor EU er der særlige hensyn at tage. Det gælder også hvis der udveksles persondata med virksomhedens egne datterselskaber og kontorer udenfor EU. Oftest vil en udveksling med firmaer og kontorer udenfor EU kræve en speciel dataoverførselsaftale. EU har udarbejdet en standard aftale som kan anvendes til dette formål.
For disse tilfælde kan det anbefales at søge vejledning fra en persondata specialist da det kan være kompliceret at få korrekt på plads.
Lav smarte, effektive procedurer
Når virksomheden har sin analyse, dokumentation og sit aftalegrundlag på plads er det tid til, og muligt, at udarbejde og indføre vigtige, hjælpsomme procedurer. Procedurer der gør virksomheden i stand til, på en effektiv måde, at imødekomme nogle af de opgaver den har som dataansvarlig.
En sådan procedure er sletteprocedure, der beskriver hvornår hvilke persondata skal slettes – og hvem der er ansvarlig for at gøre dette. Det kan være at jobansøgninger gemmes i en specifik periode efter jobbet er besat, og at det er en konkret person eller afdeling, der har ansvaret for at slette disse. Det kan være en regel om hvor længe man gemmer e-mails, og her kan man overveje at lave en systemregel der sikrer overholdelse automatisk.
Det er vigtigt at tage stilling til sletning af persondata, sikre overholdelse af aftaler og love, og så dokumentere både regler og efterlevelse af disse.
En anden vigtig procedure er håndtering af situationer hvor personer ønsker indsigt i eller rettelser af deres persondata. Enhver person som virksomheden behandler persondata for kan bede om at få en oversigt over disse data og kræve disse rettet hvis nødvendigt. Med god dokumentation og strukturerede systemer er det ikke så besværligt. Men hvis dokumentationen halter eller data er spredt i mange systemer/databaser, så er det straks mere vanskeligt. Her kan en procedure, der løbende bliver forbedret, være afgørende for virksomhedens evne til at efterkomme sådanne indsigts- og rettelsesanmodninger.
Ud over disse to procedurer kan virksomheden med fordel overveje flere – med udgangspunkt i behovet og modenheden. For eksempel vil en procedure for håndtering af myndigheds besøg (fx fra Datatilsynet) være særlig fordelagtig for virksomheder, der behandler mange persondata.
TIP: En sådan procedure kan med fordel tænkes sammen med Dawn Raid proceduren fra konkurrenceret compliance programmet.
Gå fra projekt til drift
Persondata compliance, og compliance i øvrigt, er ikke et projekt. Det er ikke noget man bare kaster ressourcer efter i en periode for så bagefter at sætte kryds på en checkliste eller efterlade det som et afsnit på intranettet.
Compliance kræver en kontinuert indsats med ajourføring af politikker, vedligeholdelse af dokumentation, regelmæssig træning og kommunikation, og udførelse af relevante procedurer. Selve udviklingen af compliance programmet kan helt sikkert, og med fordel, projektstyres, men programmet skal sættes i drift og integreres i virksomhedens processer. Og der skal være ansvarlighed og ressourcer til at holde programmet kørende.
Hvis ikke det sker så er der overhængende risiko for at effekten fordamper og at virksomheden ikke reelt får adresseret opgaven med persondata compliance. Og så skal man ikke forvente forståelse fra hverken myndigheder eller de personer hvis data bliver eksponeret.
Virksomheden kan med fordel udpege en person med ansvar for persondata compliance. En person der sætter sig ind i begreberne, principperne og den grundlæggende lovgivning. En der sikrer at der er liv i compliance programmet og følger op på at de forskellige procedurer og regler efterleves. En som resten af virksomheden kan kontakte hvis der er spørgsmål eller opstår tvivl. En som holder sig ajour med udviklingen på persondata området og igangsætter justering af programmet hvis det er nødvendigt.
Persondata compliance er et af flere compliance områder som virksomheden skal håndtere. Heldigvis er der gode muligheder for at genbruge tilgang på tværs af områder, information om virksomhedens processer og systemer, høste synergi når det gælder træning og kommunikation. Hvis virksomheden tænker de relevante compliance områder ind i en samlet indsats, så vil opgaven samlet set kræve mindre og ikke være besværlig at håndtere.
Følg med på Timbed’s blog og i vores nyhedsbrev når vi kommer med smarte, pragmatiske forslag til hvordan virksomheden opnår – Komplet. Ukompliceret. Compliance.
Skriv dig op her: http://eepurl.com/cM8m1X
Lidt ekstra i posen
EU forordningen – på dansk:
http://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016R0679&from=DA
Datatilsynets 12-punkts checkliste – god viden og selvevaluering:
https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/12_spoergsmaal_-_GDPR.pdf
[1] GDPR er en forkortelse for General Data Protection Regulation. Det er EU’s forordning vedr. harmoniseret persondata- og privatlivsbeskyttelse. Se mere her: https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
[2] Kategorier af følsomme persondata: Racemæssig eller etnisk oprindelse, Politisk, religiøs eller filosofisk overbevisning, Fagforeningsmæssigt tilhørsforhold, Helbredsmæssige og seksuelle forhold samt genetisk og biometrisk data.
Leave A Comment