Dokumentationskrav i persondataforordningen (GDPR)

Da persondataforordningen (GDPR) trådte i kraft den 25. maj 2018, skulle alle virksomheder med forretninger i Europa pludselig efterleve en række nye dokumentationskrav vedrørerende behandlingen af personlige oplysninger i deres virksomhed. Man skulle lave en fortegnelse over behandlingsaktiviteter, dokumentere sine ledelsesbeslutninger og opbevarer man data hos en tredjepart, fik man også brug for at lave en masse databehandleraftaler.

I den følgende artikel ser vi nærmere på nogle af de juridiske dokumenter, som du skal have styr på, hvis du har en virksomhed, som opbevarer og behandler personlige oplysninger på EU-borgere.  

Databehandlere og dataansvarlige

Persondataforordningen, som også kaldes databeskyttelsesforordningen, skelner mellem dataansvarlige og databehandlere. Den dataansvarlige er den, som indsamler data og bestemmer formålet med databehandlingen. Det kunne eksempelvis være et firma, der indsamler oplysninger om deres ansatte med formålet at udbetale dem løn.

Databehandlere er dem, der opbevarer, bruger og analyserer data på vegne af og efter instruks af den dataansvarlige. Det kunne være en bank, Contractbook der opbevarer personlige oplysninger i ansættelseskontrakter.

‍
Det er vigtigt, at man får afklaret, hvilken rolle og eventuelle andre parter har i forbindelse med databehandlingen. Som udgangspunkt er det nemlig den dataansvarlige, som har ansvaret for, at databehandlingen lever op til reglerne og god skik for behandling af persondata. Samtidig må databehandleren ikke foretage behandlingsaktiviteter uden godkendelse fra den dataansvarlige.

Der kan være tilfælde, hvor der er tale om to selvstændige dataansvarlige, som udveksler personoplysninger, men så skal der være grundlag for det i persondataforordningen.
‍
Hvis man som dataansvarlig bruger en databehandler, skal man indgå en skriftlige aftale, en såkaldt databehandleraftale. På den måde kan de dataansvarlige sikre, at personlige oplysninger ikke bliver behandlet ringere, når de overleveres til andre virksomheder og myndigheder. Er der tale om to dataansvarlige, som udveksler data, vil man skulle lave en aftale om delt dataansvar.

Databehandleraftale

Databehandleraftalen skal afklare forholdet mellem dataansvarlig og databehandler. Aftalen skal sikre, at oplysninger behandles i overensstemmelse med de gældende love og dermed hverken misbruges, deles, fortabes eller forringes. Det er et krav, at alle firmaer kan dokumentere, at de har databehandleraftaler på plads, så de kan fremvises ved tilsyn.

Det skal fremgå af aftalen, at databehandleren udelukkende handler efter instruks fra den dataansvarlige, og at databehandleren træffer en række tekniske og organisatoriske sikkerhedsforanstaltning.
‍
Databehandleraftalen skal derfor indeholde beskrivelser af oplysningernes karakter, formålet med databehandlingen, specifikke instrukser, oplysninger om underdatabehandlere og en masse andet, som indgår i denne skabelon.

Du kan læse meget mere i vores særskilte artikel om databehandleraftaler.

GDPR-dokumenter: Ledelsesbeslutning, fortegnelse og samtykkeerklæring

Det er vigtigt, at man som virksomhed kan dokumentere, hvilket data man opbevarer, hvorfor man opbevarer det og hvordan man behandler det. Det er direktionen eller bestyrelsens ansvar, at virksomheden har udviklet en god databeskyttelsespolitik samt en procedure i tilfælde af brud på sikkerheden. Derfor bør datasikkerhed være på bestyrelsens dagsorden to gange årligt og man skal kunne dokumentere, at ledelsen nu også har taget en beslutning. Eventuelt kan det være en fast del af den ordinære generalforsamling.
‍
Forordningens Artikel 30 definerer klart, at man skal lave en fortegnelse over sine behandlingsaktiviteter. Her vil det være en god idé at tage udgangspunkt i ens databeskyttelsespolitik  Man skal nemlig kunne dokumentere, hvilken type personoplysninger man indsamler og hvad formålet med indsamlingen er. Derefter skal man kunne redegøre for, hvordan man behandler oplysningerne og hvilke tredjeparter man bruger til at behandle data. De fleste virksomheder bruger en del software og tredjeparter til databehandling, og de skal altså beskrives. Bruger du en mail? Har du et lønsystem? Et CMS? Lejer du serverplads? Alle disse forskellige udbydere skal fremgå af dokumentet sammen med beskrivelser af, hvilket data de behandler og hvorfor. Her skal det gerne også fremgå, hvilke sletteprocedurer du har etableret.

Der er en tendens blandt mange virksomheder til at anvende regneark til dokumentation og overblik over virksomhedens informationsaktiver og procedurer. Selvom det for mange organisationer er en hensigtsmæssig måde at gribe det store dokumentationsarbejde an på, skal man være opmærksom på, at det ikke altid er en god eller compliant måde at gøre det på. Ved at anvende et regneark, kan der nemlig opnå mangler i forhold til de krav, som forordningen sætter – især i forbindelse med den løbende vedligeholdelse. Ved at samle alt ens arbejde med GDPR i en cloudløsning, kan man nemlig lettere se, hvordan ens virksomheds er opbygget ud for persondatamæssigt perspektiv. Samtidig gør løsningens integration af governance det mere overskueligt at sikre løbende compliance, da det er muligt at opsætte og monitorere kontroller
‍
I tilfælde af brud på persondatasikkerheden skal du give datasubjektet besked i ordentlig tid. Det kunne være, hvis der har været et hacker-angreb, en medarbejder har mistet en USB-nøgle eller andre former for læk. Derfor er det en god idé at have en dokumenteret beredskabsplan, der beskriver proceduren i tilfælde af et brud. Det vil også være smart at lave en samtykkeerklæring. Et samtykke kan gives mundtligt, men det er meget svært at bevise, hvad der er aftalt. Derfor bør du udarbejde en skriftlig version af en samtykkeerklæring. Denne skal dog kun bruges, hvis der ikke er andre muligheder, altså hvis man ikke har hjemmel i et andet behandlingsgrundlag. Det kunne eksempelvis være, at man havde en valid grund eller lovpligt til behandlingen.

Dokumentationskrav i GDPR

Ved at opfylde dokumentationskravene, kan man bevise, at man gør alt i sin magt for at efterleve persondataforordningen. En databeskyttelsespolitik er et skriftligt dokument til ansatte og kunder, som beskriver proceduren for virksomhedens databehandling. Det sikrer, at alle forstår, hvorfor datasikkerhed er vigtig. Det er vigtigt at gennemgå proceduren jævnligt for at leve op til kravene til datasikkerhed.

GDPR er nemlig ikke en enkeltstående opgave, men noget man som virksomhed løbende skal arbejde videre på. Man kan som organisation derfor ikke læne sig tilbage og tro at man dækket fordi man har kigget på GDPR en enkelt gang. Som organisation er man forpligtet til løbende at kontroller ens dataindsats og sikrer sig, at man forbliver compliant. For organisationer betyder dette, at de også løbende skal holde deres dokumentation ved lige – fordi det er ikke nok bare at beskrive, at planen er at lave kontroller hver 3. eller 6. måned.

En virksomhed skal rent faktisk dokumenterer, at disse kontroller gennemføres. Kan man som virksomhed ikke det, så har du ikke holdt din GDPR-indsats ved lige – i
hvert fald ikke ifølge Datatilsynet. Her spiller dokumentation nemlig en afgørende rolle i forhold til en virksomheds compliance. At opsætte en vedvarende GDPR-strategi har derfor stor betydning.
‍
Virksomheder der har databehandling som deres kerneaktivitet, skal desuden udarbejde en konsekvensanalyse (DPIA), som vurderer de risici, der er ved at behandle personoplysninger. Det skal foretages inden behandlingen, går i gang.

Der er dog også andre dokumenter, som anbefales eller fremhæves af datatilsynet; eksempelvis en risikoanalyse eller en oversigt over den registreredes rettigheder.