GDPR i din virksomhed
Har du ikke fået styr på GDPR i din virksomhed, og vil du gerne gøre arbejdet selv? Vi har lavet en GDPR-tjekliste til din virksomhed, så du kan komme fra nul til GDPR.
GDPR-tjekliste
Kortlæg alle virksomhedens informationsaktiver fx IT-systemer, mapper med personoplysninger, PC’ere, mobiltelefoner, og andet som kan opbevare og behandle personoplysninger.
Dette overblik skal du bruge til at sikre, at virksomheden har passende foranstaltninger til efterlevelse af GDPR-reglerne. Det er ofte i IT-systemerne, at vores behandling af personoplysninger foretages, så det i disse, at vi skal efterleve reglerne i praksis.
Sørg for at du har databehandleraftaler med alle dine databehandlere.
(1) Start med at beskrive din virksomheds processer hvor der behandles personoplysninger.
Eksempler på processer i din virksomhed:
- Salg og levering af ydelser til kunder.
- Markedsføring: Fx facebook, opsøgende salg, hjemmesiden,..
- HR: Lønkørsel, mus, rekruttering, ansættelse, afskedigelse,..
- Økonomi: Fakturering, bogføring,..
- Kommunikation? Mail, Facebook, Linkedin, telefon, hjemmeside,..
…Og hvad du ellers kunne have i din virksomhed.
(2) For hver proces skal du beskrive indholdet, som beskrevet i artikel 30 i databeskyttelsesforordningen.
Læs denne artikel om fortegnelsen til virksomheder, hvis du ikke ved hvad en ‘fortegnelse’ er.
Lav en risikovurdering af din behandling af personoplysninger.
Du skal bruge risikovurderingen til at vurdere hvor ‘hårdt’, at din virksomhed skal implementere GDPR-reglerne. Derfor er det vigtigt at prioritere denne, og den kan derfor også spare dig tid på den lange bane.
Sørg for, at din virksomhed efterlever kravet om privacy by default i virksomhedens systemer og processer.
Når det er muligt, så skal du også efterleve kravet om privacy by design.
Lav retningslinjer for medarbejderes behandling af personoplysninger fx brug af it-redskaber, og sørg for at medarbejderne følger jeres retningslinjer.
Hvis dine medarbejdere ikke efterlever god GDPR praksis, så efterlever din virksomhed ikke GDPR-reglerne. Derfor er det centralt, at du arbejder for, at dine medarbejdere har viden om GDPR-reglerne, samt din virksomheds praksis.
Gennemgå virksomhedens it-sikkerhed, og følg op med de nødvendige ændringer.
Gennemgå virksomhedens fysiske sikkerhed fx aflås adgang til serveren, ryd op i papirer, og overvej om du bør indføre relevante sikkerhedstiltag i din virksomhed.
Oplys dine kunder om hvordan, at du bruger deres personoplysninger – også navn, email og telefonnummer!
Det er oplagt at udarbejde en persondatapolitik, som du uploader på din hjemmeside. Det gør dig i stand til at sende en mail med et link til kunder og samarbejdspartnere efter behov.
Oplys dine ansatte om hvordan, at du bruger deres personoplysninger.
Du starter indsamling af personoplysninger om dine ansatte i rekrutteringsfasen. Derfor skal du allerede oplyse jobansøgere om din behandling af deres personoplysninger. Her er det oplagt med en persondatapolitik på hjemmesiden, hvor de beskriver hvordan, at du behandler deres oplysninger.
Når du har fundet personen, som du ønsker til jobbet, så skal du til at behandle personoplysninger i ansættelsesforholdet.
Dette er ikke en fyldestgørende tjekliste til GDPR i din virksomhed, men det vil være en god start.
Når du har implementeret GDPR i din virksomhed, så er det tid til en hverdag med GDPR.