Indhold
Persondatapolitik
Vi anbefaler at virksomheden udarbejder en intern persondatapolitik, som indeholder alle de krav der er i GDPR – lige fra lovligt grundlag, formål og sletning, til krav om databehandleraftaler og notifikation ved sikkerhedsbrud. På denne måde kan virksomheden påvise at den er bekendt med kravene i lovgivningen og vise hvordan vi har forholdt os til dem. Derved kan den tjene som et praktisk instrument i virksomhedens arbejde med beskyttelsen af persondata, dels som en skriftlig dokumentation af virksomhedens indsats for at overholde GDPR.
En persondatapolitik gælder for hele virksomheden, dog kan der være specifikke instruktioner i forskellige afdelinger. Den er udformet i sammenhæng med virksomhedens overordnede strategi, værdier og visioner og er på den måde en integreret del af, hvordan virksomheden arbejder. Politikken skal være godkendt af ledelsen og de er gjort bekendt med deres ansvar i forhold til persondata.
Persondatapolitikken skal gennemgås og opdateres løbende, skemalæg gerne en fast procedure for dette. Vi anbefaler at den gennemgås en gang årligt.
Det er nemt at fare vild i alle de fagudtryk der bliver brugt indenfor GDPR, så du får lige en kort forklaring på to ord der lægger op ad hinanden, som man nemt kan tage fejl af nemlig persondatapolitik og privatlivspolitik.
En persondatapolitik gælder internt for virksomheden, mens en privatlivspolitik alene relaterer sig til besøgende på hjemmesiden samt kunder og andre eksterne parter, den skal indeholde information om, hvilke informationer, du indsamler, hvorfor du indsamler dem, hvad du bruger dem til, og hvem du deler dem med.
Nedenfor kan du se hvad vi anbefaler at en intern persondatapolitik indeholder:
- Definitioner
- Organisering og ansvar
- Krav
- Sikring af lovligt grundlag/hjemmel
- Sikring af formål og at data er relevante
- Sikring af oplysningspligt
- Sikring af retten til indsigt
- Sikring af retten til berigtigelse
- Slettepligt og sikring af retten til at sletning
- Sikring af retten til begrænset behandling
- Sikring af retten til dataportabilitet
- Sikring af retten til indsigelse
- Databehandleraftaler
- Sikring af dokumentation
- Datasikkerhed
- Fysisk sikkerhed
- Gæster
- Print og dokumenter med personoplysninger
- Sikring af medarbejder awareness
- Notifikation ved brud på datasikkerheden
- Privacy by Design og Privacy by Default
- DPO