Vi oplever, at de fleste virksomheder er langt fra at kende reglerne om GDPR. Hvilket er helt naturligt, da GDPR-reglerne er meget komplekse, og kan virke abstrakte.
Et af de vigtigste krav i lovgivningen er, at virksomheder skal have en ajourført fortegnelse.
Myndighederne er snedige
Myndighederne ved, at man ikke kan efterleve GDPR-reglerne, hvis man ikke kender de processer i sin virksomhed, hvor der behandles personoplysninger (eller blot ‘behandlingsaktiviteter’ i GDPR lingo).
Derfor har myndighederne gjort kravet til at dokumentere sine processer til det formentlig største krav i GDPR-reglerne, hvilket samtidig er nøglen til at efterleve reglerne.
Det er snedigt.
Hvad er formålet med at have en fortegnelse?
Hvordan behandler Facebook personoplysninger om dine kunder på din Facebookside? Hvor mange steder har du gemt information om dine købende kunder?
- Indbakke?
- Udbakke?
- CRM system?
- Nyhedsbrev?
- Bogføringssystem?
- En besked via chatsystem?
- Andet?
Hvor længe opbevarer du disse oplysninger, og hvordan gør du dette?
Sådanne spørgsmål tvinger databeskyttelsesforordningen dig til at svare på, så du ved hvilke persondata, som behandles i virksomheden.
Svarene på disse spørgsmål skal du notere i ‘fortegnelsen’, så du har et overblik af din virksomhed.
Fortegnelsen har til formål at give dig et overblik af de personoplysninger, som du behandler i din virksomhed. Enhver proces hvor der behandles personoplysninger skal kortlægges og dokumenteres i fortegnelsen, samt ajourføres løbende når der sker ændringer i behandlingen af personoplysninger.
Sådan er kravene til de fleste virksomheder
Kravene til fortegnelsen er skrevet i artikel 30 i databeskyttelsesforordningen, og i dette afsnit vil vi gennemgå disse krav. Vi har forenklet kravene i denne tekst, fordi at lovgivningen er lidt tung, så hvis du vil have den hardcore version, så må du selv kigge i lovgivningens artikel 30.
Krav 1) Alle virksomheder skal føre en oversigt (‘fortegnelse’) med de processer hvor der behandles personoplysninger (‘behandlingsaktiviteter’), som virksomheden har ansvaret for (‘dataansvarlig’).
Krav 2) Du skal angive virksomhedens officielle navn og kontaktoplysninger.
Nedenstående krav gælder hver enkelt behandlingsaktivitet, som du behandler i virksomheden. Kravene skal altså beskrives for hver enkelt proces. Hvis du har 15 behandlingsaktiviteter, så skal du beskrive nedenstående alle 15 gange.
Krav 3) For enhver proces, hvor du behandler personoplysninger, der skal du angive formålet med denne behandling.
Krav 4) Beskriv hvem, som du behandler personoplysninger omkring i processen. Dette kan eksempelvis være ‘kunder’, eller en særlig gruppe af kunder (fx kunder der har købt via webshop).
Krav 5) Du skal beskrive hvilke personoplysninger, som du behandler i processen. Kunder som køber i butikken har eksempelvis ikke behov for at oplyse deres navn eller adresse, men det har kunder, som har købt via webshop.
Krav 6) Hvis du videresender personoplysninger til andre, så skal du angive dette. Kiropraktoren kan eksempelvis sende fakturaen til kundens forsikringsselskab efter aftale, hvis forsikringsselskabet dækker en del af regningen.
Krav 7) Har du behov for at overføre oplysninger til lande udenfor EU (‘tredjelande’), så skal dette noteres i fortegnelsen.
Krav 8) Angiv tidsfristen for din sletning af personoplysningerne eller de kriterier som fastsætter sletningen.
Krav 9) Beskriv hvordan, at du sørger for, at personoplysninger sikres på en ordentlig facon.
Krav 10) Hvis din virksomheder er databehandler, så skal du føre en lignende fortegnelse. Her skal du angive hvilke behandlingsaktiviteter, som du hjælper hver enkelt (dataansvarlig) virksomhed med. Herudover, så skal du følge kravene i 2, 7 og 9.
Krav 11) Din virksomhed skal have denne fortegnelse dokumenteret fx i et excelark.
Krav 12) Virksomheden skal vise fortegnelsen til myndighederne (Datatilsynet), hvis de beder om denne.
Vær opmærksom på, at der kan være undtagelser til kravet om at føre en fortegnelse, men de er sjældent relevante for virksomheder, som har aktivitet i virksomheden
Sådan laver du din artikel 30 fortegnelse
Det er vanskeligt at lave fortegnelsen, hvis du ikke er helt skarp på definitionen af personoplysninger, så hvis det gælder dig, så kan du starte med at læse denne artikel “Hvad er personoplysninger“.
Nu skal du have defineret processerne i din virksomhed, hvor du behandler personoplysninger.
Prøv selv at lave din fortegnelse med .legal A/S’s gratis GDPR compliance software.
Kortlæg virksomhedens behandlingsaktiviteter
En behandlingsaktivitet kan eksempelvis være kundeservice.
Formålet med behandlingen af personoplysninger i kundeservice er at håndtere kundernes henvendelser omkring produktet eller services.
For at kunne behandle disse henvendelser, så skal du ofte bruge personoplysninger fx kontaktoplysninger.
Måske videresender du personoplysningerne om kunden til fragtselskabet, så de kan afklare om varen blev sendt korrekt til kunden, og derfor skal du også oplyse om denne videresendelse.
Du skal også beskrive tidsfristen for sletningen af disse persondata, som du har noteret om kunden i kundeservice. Det er formentlig relevant at beholde disse oplysninger i et kortvarigt tidsrum fx indtil at varen er leveret eller indtil dialogen via kundeservice er afsluttet, samt en tillægsperiode på evt. 1 måned. Det ved du bedst selv, men i din overvejelse, så skal du efterleve principperne i databeskyttelsesforordningen bl.a. princippet om opbevaringsbegrænsning. Du skal altså ikke opbevare personoplysningerne i et længere tidsrum end hvad der er nødvendigt.
Hvis kundehenvendelsen skal bruges, som en del af en reklamation af produktet, så kan det være relevant at opbevare personoplysningerne efter andre kriterier. Her skal du altså være opmærksom på, at reklamation kan være en særskilt behandlingsaktivitet, som du skal kortlægge særskilt.
GDPR handler om at passe godt på personoplysninger, og derfor skal du i fortegnelsen også angive, hvordan at du sikrer personoplysningerne i kundeservice. Er det udelukkende kundemedarbejdere, som har adgang til henvendelserne i virksomheden? Hvordan sikrer du, at man ikke kan bedrage via henvendelsen og udgive sig for at være en kunde?
Dette skal du notere for alle dine processer, hvor du behandler personoplysninger.
Til orientering, så vil de fleste virksomheder formentlig have minimum 10 af disse behandlingsaktiviteter, men mange vil have markant flere behandlingsaktiviteter. En større virksomhed kan sagtens have 50-100 behandlingsaktiviteter.
Giver fortegnelsen synergi?
Det kan virke meningsløst for mange virksomhedsejere at skulle lave en fortegnelse, men du kan faktisk drage nytte af fortegnelsen forretningsmæssigt,- og hvis du ikke tror på dette, så får du ret;-)
Har du nogensinde nedskrevet processerne i din virksomhed? Nej vel! Men det skal du jo gøre med fortegnelsen, så med dette har du faktisk et redskab, som giver dig et overblik af din virksomhed.
Du kan bruge overblikket til at tage et ekstra kig på din forretning fx:
- Hvorfor har vi så mange processer i virksomheden?
- Hvorfor sletter kundeservice egentlig ikke deres data, og hvem har egentlig ansvaret for dette?
- Hvordan behandler vi persondata via vores nyhedsbrev, og hvad bruger vi disse data til? Hvorfor har vi kun 500 tilmeldte til nyhedsbrevet? Hvorfor bruger vi ikke nyhedsbrevet oftere?
- Hvorfor behandler vi personoplysninger via Facebook, hvis vi sjældent anvender Facebook til markedsføring?
- Hvorfor har vi ikke indgået fortrolighedsaftaler med virksomheder, som har adgang til vores kontorer, og hvem har ansvaret for dette?
Alle virksomheder er forskellige og kan bruge fortegnelsen til forskellige ting, men hvis du ønsker at bruge den konstruktivt, så har du muligheden.
Opsummering
Stort set alle virksomheder skal have lavet en fortegnelse, og stort set alle virksomheder kan drage forretningsmæssig nytte af at lave en fortegnelse. Ingen virksomheder kan efterleve GDPR uden at have en fortegnelse af sine behandlingsaktiviteter.
Vi har forsøgt at lave denne artikel pædagogisk, da det kan være svært at forstå konceptet, at du nu skal lave en fortegnelse. Vi har skåret nogle forklaringer væk i ovenstående, så vi opfordrer dig til selv at tage et kig i artikel 30 i databeskyttelsesforordningen.