GDPR-tjekliste - Er du klar til besøg af datatilsynet?

Overholder I GDPR-reglerne? 

Selv seks år efter indførelsen kan GDPR-reglerne stadig være en udfordring at navigere i.  

Forordningen stiller skrappe krav til, hvordan personoplysninger indsamles, registreres, organiseres, systematiseres og opbevares. Derudover fastsætter den klare retningslinjer for, hvornår og hvordan personoplysninger må behandles, samt hvilke særligt følsomme oplysninger, der kun undtagelsesvist må indsamles. 

For at sikre, at din virksomhed lever op til GDPR-kravene, bør du kunne svare på disse 10 spørgsmål: 

1. Hvilke personoplysninger behandler I? 
   Har I et fuldstændigt overblik over alle de typer af personoplysninger, I behandler, og hvorfor? 
2. Hvilken information giver I de registrerede? 
   Informerer I de registrerede klart og tydeligt om, hvordan deres data bliver brugt, og hvilke rettigheder de har? 
3. Hvordan opfylder I de registreredes rettigheder? 
   Har I procedurer på plads til at håndtere anmodninger om adgang, rettelse, sletning (retten til at blive glemt) og dataportabilitet?
4. På hvilket retligt grundlag behandler I personoplysninger? 
   Har I dokumenteret det retlige grundlag for hver behandlingsaktivitet? Er det nødvendigt med samtykke, kontrakt, lovmæssig forpligtelse, vitale interesser, opgaver i samfundets interesse eller berettigede interesser?
5. Hvordan indhenter I samtykke? 
   Er jeres samtykkeprocedurer i overensstemmelse med GDPR’s krav om frivillighed, specifikhed, informerethed og utvetydighed? Hvordan dokumenterer I samtykke? 
6. Hvad skal I gøre ved brud på persondatasikkerheden? 
   Har I en klar handlingsplan, hvis der sker brud på persondatasikkerheden, inklusive procedurer for anmeldelse til Datatilsynet og underretning af de berørte? 
7. Er jeres behandlinger forbundet med særlige risici? 
   Har I gennemført en Data Protection Impact Assessment (DPIA) for behandlingsaktiviteter, der kan medføre høj risiko for de registrerede? 
8. Har I indtænkt databeskyttelse i jeres it-systemer? 
   Er principperne om 'privacy by design' og 'privacy by default' indarbejdet i jeres systemer og processer? 
9. Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation? 
   Har I udpeget en databeskyttelsesrådgiver (DPO), hvis det er nødvendigt? Er roller og ansvar tydeligt defineret? 
10. Driver I virksomhed i flere lande?
    Hvis jeres virksomhed opererer i flere EU-lande, har I så styr på reglerne for internationale dataoverførsler, herunder brug af Standard Contractual Clauses eller Binding Corporate Rules? 

Er I klar til besøg af Datatilsynet?  

Datatilsynet gennemfører hvert år både planlagte og uanmeldte tilsyn hos offentlige myndigheder og private virksomheder. Hvis din virksomhed bliver udvalgt til et tilsyn, får du normalt besked på forhånd, sammen med en orientering om, hvilke overordnede temaer, tilsynet vil fokusere på. 

Under tilsynet har Datatilsynet ret til at inspicere alle dine lokaler, computere og systemer. De kan også kræve adgang til alle nødvendige oplysninger for at kunne gennemføre tilsynet. Dog skal Datatilsynet overholde reglerne om proportionalitet og fremgangsmåden ved inspektioner i ikke-offentligt tilgængelige områder. 

Vigtigt at bemærke er, at Datatilsynet ikke kan kræve oplysninger, hvis der er en konkret mistanke om en lovovertrædelse, der kan føre til straf. Dette betyder, at du har ret til ikke at inkriminere dig selv. 

Hvis Datatilsynet konstaterer overtrædelser af GDPR under tilsynet, kan de pålægge din virksomhed påtaler, påbud eller bøder, afhængigt af alvoren af overtrædelsen. Er du uenig i Datatilsynets afgørelse, har du mulighed for at indbringe sagen for domstolene. 

Husk, at GDPR ikke er statisk. Datatilsynet og andre relevante myndigheder udsender løbende nye vejledninger og tolkninger af GDPR, som kan påvirke, hvordan reglerne skal efterleves. Sørg for, at din virksomhed altid er opdateret på de nyeste krav og praksis, så du er bedst muligt forberedt på et tilsyn.