Et år med GDPR - hvad så nu?

Det har været en begivenhedsrig weekend set med EU-briller. Der var valg til EU-parlamentet søndag og lørdag den 25. maj 2019 markerede vi et-årsdagen for Persondataforordningens (GDPR’s) ikrafttræden. Vi ser i denne artikel tilbage på året, der er gået, og kommer med anbefalinger til det fremadrettede arbejde med GDPR-compliance.
Nyhed
GDPR

”Vi har opdateret vores persondatapolitik”

I starten af 2018 var der mange, for hvem GDPR var en noget ukendt størrelse. I takt med, at den 25. maj kom nærmere, steg interessen for GDPR dog hos mange virksomheder. Det høje bødeniveau, som fulgte med GDPR, med risiko for bøder på op til 4 % af virksomhedens globale koncernomsætning ved overtrædelser var utvivlsomt med til at sætte databeskyttelse på agendaen i virksomheder landet over.

I første omgang var fokus for mange at få udarbejdet en persondatapolitik og anden GDPR-dokumentation, som levede op til de udvidede oplysningskrav i GDPR. I dagene op til den 25. maj 2018 – og på selve dagen – har de fleste nok også oplevet at modtage mails fra diverse virksomheder med overskriften ”vi har opdateret vores persondatapolitik”.

Mange virksomheder har nu både persondatapolitikker og interne retningslinjer om GDPR på plads. Databeskyttelsesområdet er dog stadig under konstant udvikling og persondatapolitikkerne er derfor kun er noget værd, hvis de bliver efterlevet.

Et-årsdagen for GDPR er derfor en god anledning til at få kigget på GDPR-dokumentationen og interne kontroller og sikre, at der er en klar fordeling af, hvem der har ansvaret for at følge op på hvilke politikker.

Skab en stærk databeskyttelseskultur

Udover GDPR-dokumentationen har det hos mange virksomheder været et selvstændigt fokusområde at skabe en databeskyttelseskultur i virksomheden – både hos ledelse og medarbejdere. Mange virksomheder har også skærpet deres retningslinjer for, hvornår og hvordan medarbejderne må behandle personoplysninger.

De fleste er dog også nået frem til den erkendelse, at arbejdet med databeskyttelse ikke kan bestå i skriftlige retningslinjer alene. Det kræver, at alle er ”med på vognen”, og at de, der har ansvaret for at implementere reglerne, kommer rundt i virksomheden og taler med medarbejderne om, hvordan de kan (og skal) arbejde med databeskyttelse i hverdagen.

For at få alle med er det dog også nødvendigt, at databeskyttelse ikke bliver en hindring for arbejdet i hverdagen, men derimod noget, som i videst muligt omfang tænkes ind som et naturligt og integreret led i virksomhedens eksisterende forretningsgange evt. ved brug af automatisering de steder, hvor det giver mening og kan spare virksomheden for ressourcer uden at gå på kompromis med sikkerheden.

Samtidig er det vigtigt at huske, at databeskyttelse er et paramenter, som virksomheder i stigende grad bliver målt på, men også er med til at give kunder øget tryghed og bedre kundeoplevelser.

At være eller ikke at være – Dataansvarlig eller Databehandler

Et andet hovedtema i det første år med GDPR har uden tvivl været databehandleraftalerne, som har givet anledning til mange panderynker både hos virksomheder, der køber eller sælger databehandlingsydelser, og hos virksomheder, der skal rådgive herom.

For hvornår skal der indgås en databehandleraftale og hvornår kan man nøjes med en fortrolighedserklæring? Hvornår er parterne i et samarbejde hver især dataansvarlige og hvornår har parterne et fælles dataansvar? Hvad gør man, hvis det slet ikke er muligt at komme igennem til den, der leverer databehandlingsydelserne?

Spørgsmålene er mange og det er vigtigt, at virksomheden tager stilling til, hvilke af virksomhedens samarbejdspartnere, der skal indgås databehandleraftaler med og ikke mindst følger op på, at databehandleraftalerne bliver indgået og fører tilsyn og kontrol med de databehandlere og underdatabehandlere, som virksomhederne benytter.

Udover ”rollefordelingen” er et led i indgåelsen af databehandleraftaler, der sandsynligvis vil komme til at fylde mere fremadrettet, end det allerede har gjort, virksomhedernes tilsyn og kontrol med databehandlere og underdatabehandlere.

De fleste databehandleraftaler indeholder en ret for den dataansvarlige til at føre en form for tilsyn med databehandleren. Mange databehandleraftaler forholder sig dog ikke specifikt til, hvordan og hvor ofte tilsynet skal føres, hvilken dokumentation, der skal frembringes og hvem, der skal bære omkostningerne forbundet med det løbende tilsyn.

Mange virksomheder vil formentlig derfor med fordel kunne bruge et-årsdagen for GDPR som en lejlighed til at genbesøge de databehandleraftaler, som virksomheden allerede har indgået.

Lund Elmer Sandagers anbefalinger

Der opstår fortsat mange spørgsmål i arbejdet med GDPR, herunder både til udarbejdelsen af GDPR-dokumentation, databehandleraftaler og samtykkeerklæringer og til det praktiske arbejde med GDPR i virksomhedernes hverdag.

Nedenfor har vi derfor udarbejdet en vejledende tjekliste, som I kan bruge til inspiration i forbindelse med et fremadrettet årligt GDPR-eftersyn i jeres virksomhed:

  1. Har vi en proces for opfølgning på og opdatering af virksomhedens GDPR-dokumentation?
  2. Har vi en proces for sikkerhedsbrud og er der tilstrækkeligt kendskab til denne blandt medarbejderne i virksomheden?
  3. Har vi indhentet de fornødne samtykker fra både medarbejdere og kunder og overholder de indhentede samtykker kravene i både GDPR og markedsføringsloven?
  4. Har vi et tilstrækkeligt sikkerhedsniveau, der er tilpasset virksomhedens risikoprofil, herunder ved brug af kryptering, back-up og andre sikkerhedsforanstaltninger?
  5. Har vi tjek på databehandleraftalerne, herunder en proces for opfølgning på og tilsyn af databehandleraftalernes overholdelse?

Har du spørgsmål til GDPR og brug for hjælp til at sikre, at du overholder reglerne, er du altid velkommen til at kontakte Lund Elmer Sandagers team for IT-ret og Persondata. 

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR