Har du ikke fået styr på GDPR i din virksomhed, og vil du gerne gøre arbejdet selv? Vi har lavet en GDPR-tjekliste til din virksomhed, så du kan komme fra nul til GDPR.
GDPR 101
Kortlæg informationsaktiver
Kortlæg alle virksomhedens informationsaktiver fx IT-systemer, mapper med personoplysninger, PC’ere, mobiltelefoner, og andet som kan opbevare og behandle personoplysninger.
Dette overblik skal du bruge til at sikre, at virksomheden har passende foranstaltninger til efterlevelse af GDPR-reglerne. Det er ofte i IT-systemerne, at vores behandling af personoplysninger foretages, så det i disse, at vi skal efterleve reglerne i praksis.
Skaf aftaler med databehandlere
Sørg for at du har databehandleraftaler med alle dine databehandlere.
Lav din virksomheds lovpligtige fortegnelse
(1) Start med at beskrive din virksomheds processer hvor der behandles personoplysninger.
Eksempler på processer i din virksomhed:
- Salg og levering af ydelser til kunder.
- Markedsføring: Fx facebook, opsøgende salg, hjemmesiden,..
- HR: Lønkørsel, mus, rekruttering, ansættelse, afskedigelse,..
- Økonomi: Fakturering, bogføring,..
- Kommunikation? Mail, Facebook, Linkedin, telefon, hjemmeside,..
…Og hvad du ellers kunne have i din virksomhed.
(2) For hver proces skal du beskrive indholdet, som beskrevet i artikel 30 i databeskyttelsesforordningen.
Læs denne artikel om fortegnelsen til virksomheder, hvis du ikke ved hvad en ‘fortegnelse’ er.
Lav en risikovurdering
Lav en risikovurdering af din behandling af personoplysninger.
Du skal bruge risikovurderingen til at vurdere hvor ‘hårdt’, at din virksomhed skal implementere GDPR-reglerne. Derfor er det vigtigt at prioritere denne, og den kan derfor også spare dig tid på den lange bane.
Efterlev kravene til privacy by default og privacy by design
Sørg for, at din virksomhed efterlever kravet om privacy by default i virksomhedens systemer og processer.
Når det er muligt, så skal du også efterleve kravet om privacy by design.
Sørg for at medarbejdere behandler personoplysninger korrekt
Lav retningslinjer for medarbejderes behandling af personoplysninger fx brug af it-redskaber, og sørg for at medarbejderne følger jeres retningslinjer.
Hvis dine medarbejdere ikke efterlever god GDPR praksis, så efterlever din virksomhed ikke GDPR-reglerne. Derfor er det centralt, at du arbejder for, at dine medarbejdere har viden om GDPR-reglerne, samt din virksomheds praksis.
Gennemgå IT-sikkerheden i din virksomhed
Gennemgå virksomhedens it-sikkerhed, og følg op med de nødvendige ændringer.
Få styr på den fysiske sikkerhed
Gennemgå virksomhedens fysiske sikkerhed fx aflås adgang til serveren, ryd op i papirer, og overvej om du bør indføre relevante sikkerhedstiltag i din virksomhed.
Kommunikér til dine kunder
Gennemgå virksomhedens fysiske sikkerhed fx aflås adgang til serveren, ryd op i papirer, og overvej om du bør indføre relevante sikkerhedstiltag i din virksomhed.
Kommunikér til dine ansatte
Oplys dine ansatte om hvordan, at du bruger deres personoplysninger.
Du starter indsamling af personoplysninger om dine ansatte i rekrutteringsfasen. Derfor skal du allerede oplyse jobansøgere om din behandling af deres personoplysninger. Her er det oplagt med en persondatapolitik på hjemmesiden, hvor de beskriver hvordan, at du behandler deres oplysninger.
Når du har fundet personen, som du ønsker til jobbet, så skal du til at behandle personoplysninger i ansættelsesforholdet.
Dette er ikke en fyldestgørende tjekliste til GDPR i din virksomhed, men det vil være en god start.
Når du har implementeret GDPR i din virksomhed, så er det tid til en hverdag med GDPR.