Persondata

WEB 11 påtager sig gerne opgaver inden for persondataforordningen som databehandler, forudsat at der på behørligvis udarbejdes en databehandleraftale.

Herunder kan du læse mere om persondataforordningens dokumentationskrav. Ved at dokumentere sin databehandling er man bedre rustet i tilfælde af brud på datasikkerheden. Siderne forklarer forskellen på databehandlere og dataansvarlige og giver blandt andet en introduktion til databehandleraftaler.

Når persondataforordningen (GDPR) træder i kræft den 25. maj 2018, skal alle virksomheder efterleve en række dokumentationskrav for deres databehandling. Man skal blandt andet lave en ledelsesbeslutning, en fortegnelse over behandlingsaktiviteter og opbevarer man data hos en tredjepart, får man brug for at lave en databehandleraftale.

Databehandlere og dataansvarlige

Persondataforordningen eller databeskyttelsesforordningen skelner mellem dataansvarlige og databehandlere. Den dataansvarlige er den, som indsamler data og bestemmer formålet med databehandlingen. Det kunne eksempelvis være et firma, der indsamler oplysninger om deres ansatte med formålet at udbetale dem løn. Databehandlere er dem, der opbevarer, bruger og analyserer data på vegne af og efter instruks af den dataansvarlige. Det kunne være en bank eller Contractbook, der opbevarer personlige oplysninger i ansættelseskontrakter.

Det er vigtigt, at man får afklaret, hvilken rolle og eventuelle andre parter har i forbindelse med databehandlingen. Som udgangpunkt er det nemlig den dataansvarlige, som har ansvaret for, at databehandlingen lever op til reglerne og god skik for behandling af persondata. Samtidig må databehandleren ikke foretage behandlingsaktiviteter uden godkendelse fra den dataansvarlige. Der kan være tilfælde, hvor der er tale om to selvstændige dataansvarlige, som udveksler personoplysninger, men så skal der være grundlag for det i persondataforordningen.

Hvis man som dataansvarlig bruger en databehandler, skal man indgå en skriftlige aftale, en såkaldt databehandleraftale.

Databehandleraftale

Databehandleraftalen skal afklare forholdet mellem dataansvarlig og databehandler. Aftalen skal sikre, at oplysninger behandles i overensstemmelse med love og hverken misbruges, deles, fortabes eller forringes. Det er et krav, at alle firmaer kan dokumentere, at de har databehandleraftaler på plads, så de kan fremvises ved tilsyn.

Det skal fremgå af aftalen, at databehandleren udelukkende handler efter instruks fra den dataansvarlige, og at databehandleren træffer en række tekniske og organisatoriske sikkerhedsforanstaltning.

Databehandleraftalen skal derfor indeholde beskrivelser af oplysningernes karakter, formålet med databehandlingen, specifikke instrukser, oplysninger om underdatabehandlere og en masse andet, som indgår i denne skabelon.

Ledelsesbeslutning, fortegnelse og samtykkerklæring

Det er vigtigt, at man som virksomhed kan dokumentere, hvilket data man opbevarer, hvorfor man opbevarer det og hvordan man behandler det. Det er bestyrelsens ansvar, at virksomheden har udviklet en god databeskyttelsespolitik samt en procedurer for behandlingen og brud på sikkerheden. Derfor bør datasikkerhed være på bestyrelsens dagsorden to gange årligt og man skal kunne dokumentere, at ledelsen har taget en beslutning.

Forordningens Artikel 30 definerer klart, at man skal lave en fortegnelse over sine behandlingsaktiviteter. Her vil det være en god ide´ at tage udgangspunkt i ens databeskyttelsespolitik Man skal nemlig kunne dokumentere, hvilken type personoplysninger man indsamler og hvad forma°let med indsamlingen er. Derefter skal man kunne redegøre for, hvordan man behandler oplysningerne og hvilke tredjeparter man bruger til at behandle data. De fleste virksomheder bruger en del software og tredjeparter til databehandling, og de skal altsa° beskrives. Bruger du en mail? Har du et lønsystem? Et CMS? Lejer du serverplads? Alle disse forskellige udbydere skal fremga° af dokumentet sammen med beskrivelser af, hvilket data de behandler og hvorfor.

I tilfælde af brud pa° persondatasikkerheden skal du give datasubjektet besked i ordentlig tid. Det kunne være, hvis der har været et hacker-angreb, en medarbejder har mistet en USB-nøgle eller andre former for læk. Derfor er det en god ide´ at have en dokumenteret beredskabsplan, der beskriver proceduren i tilfælde af et brud. Det vil også være smart at lave en samtykkeerklæring. Et samtykke kan gives mundtligt, men det er meget svært at bevise, hvad der er aftalt. Derfor anbefaler vi, at du udarbejder en skriftlig version af en samtykkeerklæring. Denne skal dog kun bruges, na°r der ikke er andre muligheder, altsa° hvis man ikke har hjemmel i et andet behandlingsgrundlag.

Dokumentationskrav i persondataforordningen

Ved at opfylde dokumentationskravene, kan man bevise, at man gør alt i sin magt for at efterleve persondataforordningen. En databeskyttelsespolitik er et skriftligt dokument til ansatte og kunder, som beskriver proceduren for virksomhedens databehandling. Det sikrer, at alle forstår, hvorfor datasikkerhed er vigtig. Det er vigtigt at gennemgå proceduren jævnligt for at leve op til kravene til datasikkerhed.

Databehandleraftale (eksempel i PDF)

© 2018 www.web11.dk