Checkliste

- som du ikke må tage for andet end hvad den er - en række opgaver, som du i det mindste skal runde, for at sikre dig, at din virksomhed har taget stilling til opgavens relevans i din konkrete situation. Nogen skal have det gjort, andre kan vælge at gøre det, og for atter andre, vil det være meningsløst.

Nr GDPR Opgave Noter
1 artikel etablér en hurtigtarbejde arbejdsgruppe med deltagelse af mindst én fra topledelsen, og gerne også fra bestyrelsen.
2 artikel Få ledelsen og bestyrelsen til at afsætte de nødvendige økonomiske rammer!
3 artikel Informér hele organisationen om hvilke skridt virksomheden er i gang med at tage - og hvorfor
4 artikel Få organisationen på plads - udpeg en DPO; og giv ham checklisten: nu er det hans! 1,2,3
5 artikel Udarbejd et sæt virksomhedspolitikker 4
6 artikel Taksonomier: beskriv og inddel registrerede, data modtagere, dataansvarlige, databehandlere, og personoplysninger, virksomheden behandler. 5
7 artikel En fortegnelse over de behandlinger der omfatter personoplysninger - og for at kunne det, er det en god idé at få kortlagt hvilke arbejdsgange, der overhovedet behandler personoplysninger. 6
8 artikel Udfyld data flow skemaet (se noten) for hver arbejdsgang - og indser du, at der er "følsomme" oplysninger i klemme; brug da konsekvens delen af skemaet til at lave en konsekvensanalyse. 7
9 artikel Fremstil en skabelon for, og få tegnet databehandler aftaler med alle virksomhedens behandlere af data - dvs de tjenesteudbydere som på hver sin vis hjælper din virksomhed med at håndtere data (om det så blot er at opbevare dem) - hvor behandlingen omfatter personoplysninger. 8
10 artikel Lav skabeloner for, og underskriv samtykkeerklæringer til brug for virksomhedens egen behandling af personoplysninger. Det vil typiske være erklæringer som skal underskrives af medarbejderne i virksomheden, men det kan også være kunder, leverandører eller andre samarbejdspartnere, hvor fysiske personers personoplysninger bliver behandlet. Det er vigtigt at være klar over, at disse erklæringer kan trækkes tilbage uden varsel, og at det derfor kan være en meget god idé at basere mest mulig behandling på anden hjemmel (find en anden paragraf, der giver dig legitim adgang til at behandle de personoplysninger, du finder at have brug for 9
11 artikel Opret logbøger/fortegnelser over revisioner af virksomhedens GDPR aktiviteter, handlinger og behandlinger af person oplysninger, og hændelser 10

Noter

  1. Databeskyttelesesrådgiveren[1] en databeskyttelsesrådgiver, og send vedkommende på kursus, hvis hen ikke ved noget som helst om hverken GDPR, kvalitetsstyringssystemer og ISO 9000[2], eller databeskyttelse generelt. Hen bør (måske i en form for matrix) referere til den kvalitetsansvarlige, den HR ansvarlige og virksomhedens CIO[3] fordi det er de snitflader, der i de fleste virksomheder bliver berørt mest[4] af forordningen. DPO'ens jobbeskrivelse er:
    1. at "underrette og rådgive" om virksomhedens forpligtelser i lyset af forordningen og de regler som Datatilsynet har udvidet forordningens direktiver med
    2. at "overvåge overholdelsen af denne forordning", dansk lovgivning, samt virksomhedens nedskrevne politikker om data- og personoplysningsbeskyttelse
    3. at "rådgive...med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse"
    4. "at samarbejde med tilsynsmyndigheden"
    5. at "fungere som tilsynsmyndighedens kontaktpunkt" såvel i almindelighed som ifm høringer i særdeleshed
  2. Signalér betydningen af databeskyttelsesrådgiveren (DPO herefter) overfor organisationen ved at tildele hen kompetencer og synlige status 'effekter', som det nu passer i den konkrete organisation.
  3. Giv DPO'en tid til at 'komme på plads' og få snakket sig ind på ledelses- og medarbejderlagene, og sæt så et kick-off event op, som en formel start på arbejdet.
  4. Opbygningen af virksomhedspolitikker er ikke en opgave, som slutter - og derfor må opgaven heller ikke bremse fremdriften! Politikkerne gælder for brugen af og omtalen af personoplysninger, men også offentliggørelse og behandling af oplysninger generelt, her især på sociale medier. Læs mere om det her.
  5. Læs mere om kategorisering
  6. Læs mere om hvad Datatilsynet siger her - især om fortegnelser - og en opremsning af forordningens krav til indholdet af fortegnelsen.
  7. Læs mere om de særlige personoplysninger her, om dataflow skemaet og læs om konsekvensanalysen her.
  8. Her er blandt andet et forslag til en databehandleraftale
  9. Læs lidt mere om det her og her om hvad et samtykke er.
  10. Læs om handlinger/hændelser mm her

  1. det er i langt de fleste tilfælde ikke et krav i forordningens forstand, at din virksomhed har en databeskyttelsesrådgiver, og slet ikke at vedkommende er ansat. Det kan være en omkostningsmæssig fordel at indleje en konsulent til opgaven, især så tæt op under deadline, som tilfældet er her i det gryende forår af 2018. ↩︎

  2. som GDPR har hentet inspiration fra, især hvad angår styring og dokumentation ↩︎

  3. for 30-40 år siden var det en lille bibeskæftigelse for "regnskabsføreren", siden blev han (typisk) økonomichef og nu var han også edb-ansvarlig. Så begyndte IT at fylde så meget at det fik sin egen funktion (eller lagt sammen med den øvrige logistik) og nu havde man så en IT-ansvarlig, og senest er der med globaliseringen sket en 'angloficering' af såvel job titler som organisering, og virksomhedernes højst placerede leder med ansvaret for digitale indsatser er nu Chief (Digital) Information Officer. ↩︎

  4. mange vil sikkert argumentere for at det vil være "salg" fordi kunderne afleverer deres personoplysninger til den funktion, men salgsfunktionen vil sjældent interessere sig for 'værktøjets' tandhjul, men udelukkende fokusere på ydeevnen. Virker hjemmesiden er det fint, og kan medarbejderne registrere ordrer i ordre-registrerings-systemet er det fint ↩︎