Et år med GDPR - hvad så nu?

Det har været en begivenhedsrig weekend set med EU-briller. Der var valg til EU-parlamentet søndag og lørdag den 25. maj 2019 markerede vi et-årsdagen for Persondataforordningens (GDPR’s) ikrafttræden. Vi ser i denne artikel tilbage på året, der er gået, og kommer med anbefalinger til det fremadrettede arbejde med GDPR-compliance.
Nyhed
GDPR

”Vi har opdateret vores persondatapolitik”

I starten af 2018 var der mange, for hvem GDPR var en noget ukendt størrelse. I takt med, at den 25. maj kom nærmere, steg interessen for GDPR dog hos mange virksomheder. Det høje bødeniveau, som fulgte med GDPR, med risiko for bøder på op til 4 % af virksomhedens globale koncernomsætning ved overtrædelser var utvivlsomt med til at sætte databeskyttelse på agendaen i virksomheder landet over.

I første omgang var fokus for mange at få udarbejdet en persondatapolitik og anden GDPR-dokumentation, som levede op til de udvidede oplysningskrav i GDPR. I dagene op til den 25. maj 2018 – og på selve dagen – har de fleste nok også oplevet at modtage mails fra diverse virksomheder med overskriften ”vi har opdateret vores persondatapolitik”.

Mange virksomheder har nu både persondatapolitikker og interne retningslinjer om GDPR på plads. Databeskyttelsesområdet er dog stadig under konstant udvikling og persondatapolitikkerne er derfor kun er noget værd, hvis de bliver efterlevet.

Et-årsdagen for GDPR er derfor en god anledning til at få kigget på GDPR-dokumentationen og interne kontroller og sikre, at der er en klar fordeling af, hvem der har ansvaret for at følge op på hvilke politikker.

Skab en stærk databeskyttelseskultur

Udover GDPR-dokumentationen har det hos mange virksomheder været et selvstændigt fokusområde at skabe en databeskyttelseskultur i virksomheden – både hos ledelse og medarbejdere. Mange virksomheder har også skærpet deres retningslinjer for, hvornår og hvordan medarbejderne må behandle personoplysninger.

De fleste er dog også nået frem til den erkendelse, at arbejdet med databeskyttelse ikke kan bestå i skriftlige retningslinjer alene. Det kræver, at alle er ”med på vognen”, og at de, der har ansvaret for at implementere reglerne, kommer rundt i virksomheden og taler med medarbejderne om, hvordan de kan (og skal) arbejde med databeskyttelse i hverdagen.

For at få alle med er det dog også nødvendigt, at databeskyttelse ikke bliver en hindring for arbejdet i hverdagen, men derimod noget, som i videst muligt omfang tænkes ind som et naturligt og integreret led i virksomhedens eksisterende forretningsgange evt. ved brug af automatisering de steder, hvor det giver mening og kan spare virksomheden for ressourcer uden at gå på kompromis med sikkerheden.

Samtidig er det vigtigt at huske, at databeskyttelse er et paramenter, som virksomheder i stigende grad bliver målt på, men også er med til at give kunder øget tryghed og bedre kundeoplevelser.

At være eller ikke at være – Dataansvarlig eller Databehandler

Et andet hovedtema i det første år med GDPR har uden tvivl været databehandleraftalerne, som har givet anledning til mange panderynker både hos virksomheder, der køber eller sælger databehandlingsydelser, og hos virksomheder, der skal rådgive herom.

For hvornår skal der indgås en databehandleraftale og hvornår kan man nøjes med en fortrolighedserklæring? Hvornår er parterne i et samarbejde hver især dataansvarlige og hvornår har parterne et fælles dataansvar? Hvad gør man, hvis det slet ikke er muligt at komme igennem til den, der leverer databehandlingsydelserne?

Spørgsmålene er mange og det er vigtigt, at virksomheden tager stilling til, hvilke af virksomhedens samarbejdspartnere, der skal indgås databehandleraftaler med og ikke mindst følger op på, at databehandleraftalerne bliver indgået og fører tilsyn og kontrol med de databehandlere og underdatabehandlere, som virksomhederne benytter.

Udover ”rollefordelingen” er et led i indgåelsen af databehandleraftaler, der sandsynligvis vil komme til at fylde mere fremadrettet, end det allerede har gjort, virksomhedernes tilsyn og kontrol med databehandlere og underdatabehandlere.

De fleste databehandleraftaler indeholder en ret for den dataansvarlige til at føre en form for tilsyn med databehandleren. Mange databehandleraftaler forholder sig dog ikke specifikt til, hvordan og hvor ofte tilsynet skal føres, hvilken dokumentation, der skal frembringes og hvem, der skal bære omkostningerne forbundet med det løbende tilsyn.

Mange virksomheder vil formentlig derfor med fordel kunne bruge et-årsdagen for GDPR som en lejlighed til at genbesøge de databehandleraftaler, som virksomheden allerede har indgået.

Lund Elmer Sandagers anbefalinger

Der opstår fortsat mange spørgsmål i arbejdet med GDPR, herunder både til udarbejdelsen af GDPR-dokumentation, databehandleraftaler og samtykkeerklæringer og til det praktiske arbejde med GDPR i virksomhedernes hverdag.

Nedenfor har vi derfor udarbejdet en vejledende tjekliste, som I kan bruge til inspiration i forbindelse med et fremadrettet årligt GDPR-eftersyn i jeres virksomhed:

  1. Har vi en proces for opfølgning på og opdatering af virksomhedens GDPR-dokumentation?
  2. Har vi en proces for sikkerhedsbrud og er der tilstrækkeligt kendskab til denne blandt medarbejderne i virksomheden?
  3. Har vi indhentet de fornødne samtykker fra både medarbejdere og kunder og overholder de indhentede samtykker kravene i både GDPR og markedsføringsloven?
  4. Har vi et tilstrækkeligt sikkerhedsniveau, der er tilpasset virksomhedens risikoprofil, herunder ved brug af kryptering, back-up og andre sikkerhedsforanstaltninger?
  5. Har vi tjek på databehandleraftalerne, herunder en proces for opfølgning på og tilsyn af databehandleraftalernes overholdelse?

Har du spørgsmål til GDPR og brug for hjælp til at sikre, at du overholder reglerne, er du altid velkommen til at kontakte Lund Elmer Sandagers team for IT-ret og Persondata.