GDPR checkliste - få checkliste til persondataforordningen her

GDPR checkliste. I denne artikel kan du læse om, hvad du skal have styr på i forbindelse med persondataforordningen. Se checklisten herunder.

Vil du have en checkliste til persondataforordningen, så du kan blive klar til GDPR? Så du kan vide, hvad du som minimum skal have styr på, hvis Datatilsynet kommer forbi?

Herunder er nogle af de mest relevante spørgsmål, hvis du skal igang med GDPR og den nye persondataforordning. 

Vi anbefaler altid, at du får rådgivning, hvis du skal overholde GDPR. Der er mange regler og lignende at holde styr på, og der er aldrig to sager, der er ens. Derfor er checklisten kun vejledende. Hvis du har brug for hjælp til at sikre, at I er 'compliant' og overholder reglerne, så er du velkommen til at kontakte os.

Checklisten indeholder 7 punkter:

1. Er der overblik over data?
2. Styr på artikel 30-fortegnelse?
3. Indgået databehandleraftaler?
4. Overholdes oplysningspligten?
5. Er der afgivet samtykke?
6. Overholdes reglerne for følsomme oplysninger?
7. Hvis den registrerede beder om indsigt, sletning eller lignende?

Lad os se lidt nærmere på de 7 punkter herunder.

1. Er der overblik over data?

Først og fremmest skal du have et overblik over data.

Hvis du ikke har overblikket over, hvor personoplysningerne kommer fra, hvordan de kommer og bevæger sig og formålene med oplysningerne, vil det være svært at overholde lovgivningen.

Derfor skal du have et overblik over behandlingen af personoplysningerne i organisation ved at finde ud af:

1. Hvor kommer oplysningerne fra?
2. Hvordan kom oplysningerne?
3. Til hvilke formål behandles oplysningerne?

2. Styr på artikel 30-fortegnelse?

Du skal have lavet en artikel 30-fortegnelse.

Dette er et dokument, som skal kunne vises til Datatilsynet, hvis de ønsker at se det. Der er ikke noget formkrav til fortegnelsen, det vil sige, at det kan være et word-dokument, excel-fil eller noget helt tredje.

Men hvad skal en artikel 30 fortegnelse indeholde? Den skal danne et overblik over alle processer eller systemer, hvor der bliver behandlet personoplysninger og vise, at I generelt overholder forordningen og bl.a. principperne nævnt i artikel 5 i forordningen.

Artikel 30-fortegnelsen skal indeholde oplysninger om fx:

• Formål
• Kategorier af modtagere
• Tekniske og organisatoriske foranstaltninger, men også viser, at man overholder principperne nævnt i artikel 5 i forordningen og generelt forordningen
• Er der fastsat slettefrister, som er nævnt i artikel 30-fortegnelsen, i oplysningspligten til den registrerede og som eventuelle ansatte er oplyst om?
• Er der styr på tekniske og organisatoriske foranstaltninger? Har alle fx adgang til alle personoplysninger eller er der noget, der skal opbevares i et fildrev beskyttet med password?

(Artiklen fortsætter under billedet...)99% af alle, der skal overholde GDPR, skal også lave en såkaldt artikel 30-fortegnelse. Fortegnelsen skal indeholde visse oplysninger fx formål, kategorier, tekniske og organisatoriske foranstaltninger og lignende.

3. Indgået databehandleraftaler?

Der skal indgås databehandleraftaler med jeres databehandlere.

Men hvem er databehandlere? Det spørgsmål er der mange, der har svært ved at få helt styr på, og det er selv noget som vi jurister kan bøvle lidt med, fordi det er en konkret vurdering. Du kan læse om reglerne og selve vurderingen i vores artikel om databehandleraftale.

4. Overholdes oplysningspligten?

Er oplysningspligten overholdt fx med persondatapolitikker og lignende?

Artikel 13 og 14 bestemmer, at den registrerede skal oplyses om bl.a.:

• Formålet
• Modtagere af personoplysninger
• Tidsrummet, hvor personoplysningerne vil blive opbevaret
• Den registreredes rettigheder osv.

Dette skal den registrerede blive oplyst om, medmindre den registrerede allerede er bekendt med dette.

Derfor vil det i mange tilfælde være nødvendigt med nogle skrivelser, der oplyser den registrerede for eksempel i form af persondatapolitikkerne.

Har I offentliggjort persondatapolitikker på jeres hjemmeside?

Vi hjælper gerne med at sørge for, at I overholder oplysningspligten og har udfærdiget de nødvendige persondatapolitikker, privatlivspolitikker osv. Du kan kontakte os her for at høre nærmere.

5. Er der afgivet samtykke?

Er samtykkerne udarbejdet korrekt?

Er det vurderet, om samtykke overhoved er nødvendigt, eller om der i stedet kan indgås aftale, eller om legitim interesse kan bruges? Husk, at et samtykke altid kan trækkes tilbage, hvilket er en ulempe ved at bruge samtykke.

Hvis samtykke skal bruges, skal det leve op til kravene om, at det skal være informeret, specificeret, udtrykkeligt og utvetydigt. Med andre ord skal I være sikre på, at samtykket er juridisk korrekt. Hvis det ikke er det, kan I alligevel risikere bøde fra Datatilsynet.

Husk også samtykke i forbindelse med e-mail markedsføring som for eksempel ved udsendelse af nyhedsbreve og lignende. Læs om dette i vores artikel om GDPR og nyhedsbreve.

Du kan læse mere om samtykke i vores artikel om persondataforordningen og samtykke.

(Artiklen fortsætter efter billedet...)

Der er mange juridiske krav til et samtykke. Hvis du for eksempel vil sende e-mails ud til kunder eller potentielle kunder, skal du have et korrekt samtykke. Samtykket skal bl.a. være informeret, specifikt, utvetydigt og frivilligt.

6. Overholdes reglerne for følsomme oplysninger?

Du skal finde ud af: behandler I følsomme oplysninger? Altså, oplysninger af den særlige kategori, som er nævnt under artikel 9 i persondataforordningen.

Følsomme oplysninger er oplysninger om:

• Fagforening
• Helbred
• Seksuelle orientering/seksuelle forhold
  Politisk eller filosofisk overbevisning
• Race/etknisk oprindelse
• Genetisk data og biometrisk data og
• CPR-nummer anbefales også at behandles som følsom oplysning

Hvis du behandler følsomme oplysninger, overholder du så reglerne for dette?

Har du samtykket sikret ordentligt? Det skal være udtrykkeligt, hvilket ikke defineres nærmere, men understreger vigtigheden af, at der skal indhentes juridisk korrekt samtykke.

Du kan læse mere om reglerne for følsomme oplysninger (blandt folkemunde betegnet som "personfølsomme oplysninger") i vores artikel om opbevaring af følsomme personoplysninger.

7. Er der styr på, hvad I gør, hvis den registrerede beder om indsigt, sletning eller lignende?

Har I en procedure, der sikrer, at I overholder kravene, hvis en kunde, samarbejdspartner eller lignende for eksempel beder om indsigt?

Eller hvis en person, der blot har skrevet et par mails til jer, beder om sletning?

Hvis I ikke overholder reglerne om den registreredes rettigheder, kan I risikere, at den registrerede klager til Datatilsynet.

Hvis den registrerede klager til Datatilsynet, har Datatilsynet pligt til at reagere på klagen. En klage om, at I ikke kan imødekomme den registreredes rettigheder, kan medføre en sag og bøder fra Datatilsynet.

Her hos Persondatakonsulenterne kan vi hjælpe med at sikre, at I overholder kravene. Kontakt os her for at høre nærmere.

Brug for mere hjælp til GDPR og persondataforordningen?

Har du brug for hjælp til GDPR, persondataforordningen og alle reglerne?

Udover denne checkliste til GDPR, kan du også læse mange af vores andre artikler - helt gratis - som måske kan hjælpe dig.

Vi anbefaler dog altid, at hvis du vil være sikker på at kunne overholde reglerne i GDPR og persondataforordningen, at du tager fat i nogle, der kan hjælpe dig med konkret juridisk rådgivning. 

Her hos Persondatakonsulenterne kan vi hjælpe dig og din organisation med at blive compliant. Vi er opdateret med den seneste viden inden for persondataretten og kan rådgive jer, så I overholder den gældende lovgivning.

Du kan kontakte os herunder for at høre nærmere om, hvordan vi kan hjælpe dig:

Kontakt os her for at få hjælp til GDPR

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.