Med den nye generelle forordning om databeskyttelse (GDPR) skal virksomheder, der behandler data, sikre, at de har detaljerede optegnelser over, hvad de gør med data.
I artikel 30 står der: "Hver dataansvarlig og i givet fald den dataansvarliges repræsentant fører en fortegnelse over de behandlingsaktiviteter, som den dataansvarlige har ansvaret for."
GDPR vil gøre det slut med at skelne mellem interne og eksterne registre. Der er nu kun én slags registrering - den interne registrering - som skal stilles til rådighed for tilsynsmyndighederne på deres anmodning.
I ekstreme tilfælde kan din organisation, hvis den ikke opfylder kravene i GDPR, risikere en bøde på op til 20 millioner euro eller 4 % af den årlige globale omsætning - alt efter hvad der er højest.
Controller eller processor
Hvis det er din organisation, der beslutter, hvilket formål dataene indsamles til, eller hvordan de indsamles, er du dataansvarlig.
Hvis du derimod foretager behandlingen på vegne af en anden organisation, er du databehandler. Det er sandsynligt, at din organisation både er dataansvarlig og databehandler.
Den nye GDPR-forordning indeholder strenge krav, som både dataansvarlige og databehandlere skal følge. Det fremgår, at du skal registrere:
1) Dine organisatoriske oplysninger og kontaktoplysningerne for din databeskyttelsesansvarlige. Hvis din virksomhed ikke er beliggende i EU, skal du desuden give oplysninger om din udpegede repræsentant i EU
2) En beskrivelse af de sikkerhedsforanstaltninger, du har indført for at beskytte data. Dette omfatter både tekniske sikkerhedsforanstaltninger som f.eks. kryptering og organisatorisk sikkerhed, f.eks. interne restriktioner for, hvem der har adgang til hvilke dele af netværket
3) For dataoverførsler uden for EØS skal organisationer dokumentere, hvor dataene overføres til, og hvilke sikkerhedsforanstaltninger der er indført for at beskytte disse data.
Artikel 30 - Hvad betyder det for den registeransvarlige?
Hvis din rolle er at fungere som dataansvarlig, er det din opgave at fastlægge formålet med databehandlingen.
Du skal også registrere de typer af personer, hvis data du arbejder med, og de typer af data, du arbejder med, hvilket uundgåeligt vil være forskelligt afhængigt af din virksomheds karakter.
Hvis du er dataansvarlig, skal du også registrere de typer af modtagere, som du vil videregive oplysninger til. Det er også den dataansvarliges ansvar at dokumentere, hvor længe du planlægger at opbevare hver kategori af data, før de slettes.
Artikel 30 - Hvad betyder det for registerføreren?
Hvis du er databehandler, skal du tage dig af dokumentationen af data. Du skal registrere:
- Navne og kontaktoplysninger på den dataansvarlige, som du behandler data for
- Oplysninger om den dataansvarliges databeskyttelsesansvarlige (hvis de har en) og dennes repræsentant, hvis de ikke er baseret i EU.
Det lyder måske ikke så krævende, men du skal huske på, at en gennemsnitlig databehandler, f.eks. et marketingbureau, behandler data på vegne af mange kunder. Disse oplysninger skal også registreres for hver enkelt dataansvarlig, på hvis vegne databehandleren behandler oplysninger.
Desuden skal databehandlere dokumentere de forskellige kategorier af behandlinger, der udføres på vegne af hver enkelt dataansvarlig. GDPR definerer behandling som: "enhver operation eller række af operationer, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det sker ved hjælp af automatiserede midler eller ej, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller anden form for tilrådighedsstillelse, sammenstilling eller kombination, begrænsning, sletning eller tilintetgørelse."
Med så mange variabler kan du se, at det hurtigt kan blive et komplekst problem.
Hvad skal du ellers vide om artikel 30?
Mange er ikke forberedt på dette niveau af databeskyttelsesoverholdelse. De bliver hurtigt nødt til at vedtage modne retningslinjer for beskyttelse af privatlivets fred, der kan kontrollere behandlingsaktiviteter på tværs af flere afdelinger, virksomheder og markeder.
Du skal have en fortegnelse over al databehandling, uanset om dataene er i skriftligt eller elektronisk format eller ej, og den skal være tilgængelig for din lokale tilsynsmyndighed, når den anmoder om det.
Forberedelse af artikel 30
Relevante forretningsfunktioner og databehandlingsaktiviteter hos tredjepart skal identificeres, og der skal oprettes et register over personoplysninger. Dine politikker og meddelelser om beskyttelse af personlige oplysninger skal opdateres, og det interne personale skal opdateres med GDPR, da det vedrører deres specifikke jobtitel.
I en bredere sammenhæng ligger kernen i GDPR i dens vægt på ansvarlighed. Der bør etableres en kæde af ansvarlighed på afdelings-, virksomheds- og organisationsniveau for at opretholde en konsekvent håndtering af hændelser, operationelle processer og rapporteringsaktiviteter. Du kan læse mere om vigtigheden af ansvarlighed i vores tidligere blog her.
Hvis du vil have yderligere hjælp til dit GDPR-projekt, kan du besøge os på et af vores stop som en del af vores GDPR for Dummies roadshow, som snart kommer til en by nær dig. Tilmeld dig de gratis morgenmadsbriefinger her.
Vi har også udviklet MetaPrivacy - en GDPR-løsning, der er specielt designet til at hjælpe din virksomhed med at håndtere artikel 30. Du kan få flere oplysninger om MetaPrivacy og vores andre GDPR-ressourcer her.
