Klumme: Giv din dokumentation af persondataregler et servicetjek i tomgangstider

Overholder dit firma, hvad I skriver i persondatapolitikken? Får I slettet data, når formålet er udtømt? Og hvad var det nu, der stod i databehandleraftalen? Coronatid kan være anledning til et servicetjek på gdpr

skabelon-ny-lovgivning-paa-vej (1).jpg
Har du tid tilovers i de her tomgangstider, så brug tiden på et servicetjek af din håndtering af persondata, opfordrer Sven Petersen fra Dansk Erhverv. Grafik: Mie Hvidkjær
Pro selvstændig
Eksklusivt for kunder
25. sep 2020 KL.15:00

Mange virksomheder kæmper med tomgang og en følelse af magtesløshed i forhold til corona. Nogle af de samme fornemmelser går igen, når man først begynder at beskæftige sig intensivt med persondatareguleringen.

Et bjerg, der for mange virksomheder fremstår ubestigeligt, fordi hvornår er nok nok? Hvornår er man kommet i mål med dokumentationskrav, indgåelse af databehandleraftaler og kontrol af de selvsamme databehandlere? Hvor meget skal man undersøge, hvis man får en indsigtsanmodning? osv.

Virksomheder ønsker at være “compliant” som der hedder på moderne dansk, men man skal kunne se lyset for enden af tunnelen.

Tid til et servicetjek

GDPR-reglerne trådte i kraft i maj 2018 og nu ca. 2½ år efter, har langt de fleste virksomheder – store som små – en persondatapolitik på hjemmesiden, og indgået de mest nødvendige databehandleraftaler og lavet fortegnelser.

Men overholder man nu også det, som man skriver i sin persondatapolitik? Får man slettet persondata, når formålet er udtømt? Hvad var det nu, der stod i databehandleraftalen, og er man egentlig sikker på, hvor ens data befinder sig henne? Ligger de udenfor EU skal der et særligt overførselsgrundlag til – og har man dette grundlag?

Er man egentlig sikker på, hvor ens data befinder sig henne? Sven Petersen

Der er ingen tvivl om, at der er rum for forbedring. Vi bør kunne få det hele lidt mere under huden.

Derfor: Har du tid tilovers i de her tomgangstider, så brug tiden på et servicetjek af din håndtering af persondata. Tal med din rådgiver om det – typisk din advokat, revisor eller erhvervsorganisation som kan hjælpe dig med at prioritere, hvor du bør starte henne.

Indsigt giver udsyn

Hvis privatlivspolitikken modsvarer det i rent faktisk gør med dataene, bør I måske bruge tiden på at opdatere risikoanalyser eller at få tjekket jeres databehandleraftaler igennem.

Er alle underdatabehandlere kommet med i aftalen f.eks.? Det er vigtigt, at du kan dokumentere, hvordan du håndterer dine persondata. Tiden er godt givet ud, da du vil få større indsigt i din egen virksomhed og dens datastrømme og papirsgange og du minimerer risikoen for bøder.

Rigtig mange er i tvivl om hvordan reglerne skal forstås og anvendes, derfor er det også kærkomment, at Justitsministeriet allerede i løbet af foråret tog initiativ til at sætte fokus på, hvordan uklarheder kan ryddes af vejen. Frem til udgangen af denne måned kan en række organisationer komme med input til, hvilke emner der skal belyses, gøres mere klare og lettere at efterleve.

Datatilsynet har allerede udgivet en række vejledninger og de skal naturligvis opdateres hen ad vejen. Vi har i den forbindelse med tilfredshed noteret os, at Datatilsynet i forbindelse med offentliggørelsen af deres nye strategi den 24.09. har meddelt, at de vil skrue op for vejledningsindsatsen. Indtil videre er mange vejledninger kommet til verden i samarbejde med erhvervslivet. Fortsæt endelig med det! Vi ligger inde med mange gode eksempler, der skal belyses, og det gør vejledningerne mere realistiske.

Forslag til forbedringer

Vi mener, at Datatilsynet via detaljerede eksempler bør belyse, hvordan virksomhederne lever op til reglerne. Datatilsynet mangler også at beskrive nærmere, hvad der helt præcist skal til, for at man som mindre virksomhed overholder reglerne: Hvordan skal et håndværkerfirma dokumentere, at de overholder reglerne? Det kunne beskrives i form af en fiktiv case fra A-Z.

Man kan naturligvis ikke beskrive, hvordan alle mulige virksomheder præcist skal leve op til reglerne, men 4-5 fiktive cases ville hjælpe på forståelsen.

Datatilsynet har også har lanceret et par gode værktøjer, men også her kunne man ønske sig et par yderligere. Eksempelvis er der brug for et alternativ til den meget lange 3000 erklæring, der foreslås brugt til kontrol af databehandlere. I det omfang ønsket om nogle “show cases” måtte blive efterkommet, kunne man ganske belejligt tage dette tema op.

Gode vejledninger og værktøjer er vigtige, men kan i sagens natur ikke løse alle konkrete problemer. Der vil være situationer, hvor en virksomhed har behov for at få et skriftligt svar på, hvorvidt et givent tiltag vil være i overensstemmelse med reglerne. Det bør derfor stærkt overvejes, om ikke Datatilsynet skal have mulighed for at kunne give bindende forhåndsbeskeder og legitimere visse tiltag, hvor virksomheden er usikker på, hvorvidt de er på den rigtige side af loven.