Den løbende compliance

GDPR - den løbende compliance

Hent sparring og rådgivning hos Focus Advokaters GDPR-team

Ansvarlighedsprincippet

GDPR fungerer desværre ikke således, at når først de relevante dokumenter er udarbejdet, og når der er skabt overblik over organisationens behandling af personoplysninger, kan disse blot lægges i skuffen. Ansvarlighedsprincippet i GDPR-artikel 5, stk. 2 stiller nemlig krav om, at den dataansvarlige til enhver tid skal kunne påvise ansvarlighed, herunder overholdelse af kravene til håndtering af personoplysninger. Det er derfor nødvendigt, at det arbejde, der er udført i forbindelse med GDPR, vedligeholdes og ajourføres, således der ikke ligger forældede politikker og procedurer, samt at virksomheden rent faktisk selv overholder de udarbejdede procedurer.

Fundamentet forventes at være støbt nu

Efter snart 3 år med GDPR bør man på nuværende tidspunkt have styr på basisdokumentationen for sin virksomheds behandling af personoplysninger. Det må derfor kunne forventes af de omfattede virksomheder og organisationer:

• At der er udarbejdet en fortegnelse, der oplister og beskriver alle behandlinger af personoplysninger, organisationen foretager.
  
  
• At der foreligger et tilstrækkeligt sikkerhedsniveau for de personoplysninger, organisationen behandler. Hvad der udgør tilstrækkelig sikkerhed vil være en konkret vurdering af mængden og typen af personoplysninger, samt hvilke risici der er forbundet med behandlingen, hvilket vurderes ud fra en risikovurdering.
  
  
• At der er indgået databehandleraftaler med relevante databehandlere, og at den dataansvarlige kun benytter databehandlere, der kan leve op til det sikkerhedsniveau, som den dataansvarlige har vurderet, er nødvendigt.
  
  

• At man har foretaget oprydning i (for) gamle data, udarbejdet relevante politikker, samtykkeformularer og andre lovpligtige GDPR-dokumenter.

Et proaktivt, reelt og kontinuerligt arbejde for den dataansvarlige

Når ovenstående forpligtelser er iagttaget og implementeret, er det en forudsætning for den fortsatte efterlevelse af GDPR, at de udarbejdede politikker og procedurer løbende følges op og ajourføres. Formålet med den løbende opfølgning og ajourføring er, at den dataansvarlige til enhver tid kan dokumentere, at reglerne overholdes i hele organisationen.

Overholdelse af GDPR er således et proaktivt, reelt og kontinuerligt arbejde for den dataansvarlige og indebærer overordnet følgende punkter:

• Ajourføring og kontrol
• Løbende risikovurderinger
• Løbende sletning
• Håndtering af databrud
• Nye databehandlere og kontrol med eksisterende
• Tænke Data Protection by Design & Default ind nye aktiviteter
• Håndtering af henvendelser fra registrerede.

Husk den løbende sletning

Langt de fleste organisationer har gemt for mange data for længe. Det er derfor vigtigt, at eksisterende data gennemgås og de data, der er ældre, end hvad slettefristerne i fortegnelserne og privatlivspolitikker tillader, slettes. Hav for øje, at ansvarlighedsprincippet netop indebærer, at den dataansvarlige kan dokumentere, at organisationen rent faktisk overholder GDPR. Det er derfor ikke tilstrækkeligt for overholdelsen af GDPR, at alle de relevante dokumenter er udarbejdet, hvis organisationen ikke selv overholder dét, der står i de pågældende fortegnelser, procedurer og politikker.

Få vejledning om løbende compliance

Focus Advokater har udarbejdet en vejledning om løbende compliance. Er du interesseret i vejledningen, så skriv til os her.

Kontakt os

Har du spørgsmål til emnet eller brug for rådgivning, står vores GDPR-team altid klar til at yde kvalificeret rådgivning.

Jesper Løffler Nielsen

Associeret partner, advokat (L), Ph.D., leder af Focus Advokaters Tech Team Læs mere

• +45 63 14 45 11
• +45 21 54 51 02
• jln@focus-advokater.dk
• LinkedIn profil

Jesper Krag

Advokat Læs mere

• +45 63 14 45 22
• +45 25 78 88 49
• jkr@focus-advokater.dk
• LinkedIn profil