Få hele organisationen med
Er du og din organisation i gang med at kigge nærmere på EU’s persondataforordning, der træder i kraft i maj 2018? Der er stor forskel på, hvor meget det kræver af de forskellige virksomheder og organisationer at leve op til kravene, men når alt kommer til alt, er man godt med, hvis man allerede lever op til vores danske persondatalov (fra år 2000). Men EU’s persondataforordning sætter et fornyet fokus på håndtering af personfølsomme data, ikke mindst fordi manglende efterlevelse af de nye krav kan straffes med bøder af en anseelig størrelse.
Hvor starter vi?
For at kunne leve op til kravene må den enkelte virksomhed eller organisation tage et grundigt kig på, hvor og hvordan personfølsomme data bevæger sig rundt i organisationen: Hvem har adgang til hvilke informationer og, ikke mindst, hvor længe opbevares informationerne? Første skridt i processen er at finde ud af, hvor de personfølsomme data opbevares. Det er typisk i et centralt HR system og/eller i kundedatabaser. Næste skridt går på at kortlægge, hvor data fra de centrale systemer sendes hen. Der kan være mange andre it systemer, der benytter de centrale data, for eksempel lønsystemer og uddannelsessystemer. Dertil kommer et væld af lister, rapporter og oversigter, som baserer sig på personfølsomme data og som sendes ud til mange steder i organisationerne. EU’s persondataforordning kræver, at man kan dokumentere alle de bevægelser, som dataene foretager og dermed også bevise, at reglerne overholdes i alle trin af dataenes ’rejse’ gennem organisationen.
Når man har sit overblik skal man også finde ud af, hvordan man kan slette data. Det lyder nemt, men de enkelte it systemer har ofte forskellige egenskaber, der gør, at en egentlig sletning kan være problematisk. I nogle tilfælde er man nødt til at ’scramble’ data, så de ikke er læsbare, fordi man ikke kan slette dem.
En god start:
Tag et kig på Datatilsynets 12 spørgsmål til de dataansvarlige
Få hele organisationen med
Organisatorisk set står man også overfor en stor opgave: EU’s persondataforordning får betydning for alle dele af en organisation. Det betyder også, at opgaven med at afdække, analysere og skabe processer og en it løsning, der kan understøtte regelsættet ligger som et tværorganisatorisk projekt, hvor det er vigtigt, at alle afdelinger inddrages. Hele organisationen skal acceptere og efterleve de processer, der designes for den daglige håndtering af de følsomme persondata. Sådan et projekt kræver en stærk og korrekt sammensat styregruppe, der er højt forankret på tværs i organisationen, og som indser nødvendigheden af en solid løsning. Det kræver også en stærk projekt- eller programleder, som formår at samle alle tråde på kryds og tværs og sikre, at organisationen kommer i mål med projektet.
Kommunikationen undervejs i projektet er kritisk. Hele organisationen skal være klar over, at der er nye processer, der skal følges og eventuelt nye it systemer, der skal benyttes. Samtidig er projektets succes helt afhængig af, at der er en fuld og klar forståelse mellem forretningen, DPO (Data Protection Officer, hvis man har sådan en) og it afdelingen – det nytter ikke noget, hvis alle ikke er knivskarpe på, hvad der menes med de forskellige begreber og man kan definere opgaverne klart og tydeligt.
Er du international?
Få et overblik over hvilke regler og retningslinjer, der er gældende i de forskellige lande
Åbne spørgsmål
Når man dykker ned i processer og it systemlandskaber dukker der løbende nye spørgsmål op i forhold til forordningen. For eksempel bør man overveje, hvordan man håndterer data, der ligger som back-ups: Der vil være personfølsomme data, som ligger i arkiver, der ikke automatisk slettes, som de nye krav foreskriver. Og det vi kan kalde ’personers ret til at blive glemt’ er heller ikke let at håndtere, når der er afhængigheder i andre systemer, som kan være underlagt andre krav og lovgivning.
Hvem skal have en Data Protection Officer (DPO)?
Kravet om en DPO gælder for alle offentlige myndigheder på nær domstolene. For private virksomheder og organisationer er der krav om en DPO, hvis mindst et af følgende kriterier angivet i Forordningens artikel 35 er opfyldt:
- Den dataansvarliges kerneaktivitet indebærer en omfattende, regelmæssig og systematisk overvågning af de registrerede
- Den dataansvarliges kerneaktivitet indebærer en omfattende behandling af følsomme data (artikel 9) og/eller data om strafbare forhold (artikel 9a).
For private virksomheder og organisationer vil det bero på en konkret vurdering i forhold til ovenstående kriterier, om de er forpligtet til at udpege en DPO.
Der er i princippet ikke noget til hinder for, at en organisation vælger at udpege en DPO, selv om organisationen ikke er forpligtet til det. Hvis det vælges, skal alle krav for en DPO i forordningen overholdes.