Kan virksomheder selv udføre de lovpligtige GDPR krav

Det store spørgsmål jeg altid får når jeg snakker med nye kunder, er om de i deres virksomhed selv kan stå for at udføre alle de lovpligtige GDPR krav der stilles og spørgsmålet om hvad det koster i bøder, hvis den enkelte virksomhed ikke har styr på et af de lovpligtige krav.

Artiklen er skrevet af Rene Nørbjerg den 8 September 2022

Mit svar er altid, JA, som virksomhed kan I godt udføre jeres GDPR krav /opgaver uden tilknytning af en konsulent.

MEN…

Som udgangspunkt er svaret, JA til at virksomheden selv kunne udføre de lovpligtige GDPR krav, men virksomheden skal også sætte tid af til denne opgave samtidig skal virksomheden sikre sig at medarbejderen, der har opgaven bliver efteruddannet og får tid til, at udføre opgaven. Enhver virksomhed skal spørge sig selv, ”er dette en opgave, vi vil ofre tid på eller skal vi outsource den til nogen der er eksperter på området?”, helt på samme måde som virksomhedens lønbogholderi eller vedligeholdelse af virksomhedens hjemmeside. Disse 2 områder er det jo meget almindeligt i mindre virksomheder, at der er eksterne samarbejdspartnere, der står for disse opgaver og baggrunden for dette skyldes at de er eksperter på området, løbende efteruddanner sig og grundet de arbejder med området hverdag tager det kortere tid for dem end for os andre, som hver gang skal starte med at læse vejledningen.

HVEM er omfattet af GDPR kravet…  Overordnet set er du omfattet af GDPR lovgivningen, hvis du har et CVR-nummer og udveksler persondata. Dette vil sige at både virksomheder, foreninger, o.lign. der har et CVR-nummer, skal stille sig selv spørgsmålet: ”Udveksler vi persondata?” svares der ”Ja, det gør vi” kan arbejdet med udarbejdelse af den lovpligtige Intern Fortegnelse / artikel 30 samt risikovurdering starte.

Sådan kan den enkelte virksomhed kan implementere og udføre egne GDPR- opgaver.

For at din virksomhed selv kan implementerer og overholde de GDPR krav i er underlagt, så skal i forholde jer til de forskellige overskrifter, som den Interne fortegnelse/ artikel 30 skal indeholde. Samtidig er der nederst i artiklen, en PDF-fil, hvor jeg har udarbejdet en mindre præsentation med baggrund for hvorfor GDPR blev indført, størrelser på nogle udvalgte bøder samt links til hvor du kan læse endnu mere om GDPR, vejledninger, bødestørrelser osv.  og ved at følge den vejledning kan du selv udføre virksomhedens GDPR- opgaver.

Skulle du støde på et spørgsmål eller to, så send det gerne til mig på en e-mail, jeg skal gerne komme mit svar på spørgsmålet. Og ja, overvejer du at outsource din virksomheds GDPR- opgaver, så tager jeg også gerne en dialog om dette emne. Målet for mig er at du og din virksomhed får styr på jeres GDPR, så I er klar til, at få besøg af Datatilsynet, samtidig med at det ikke skal være GDPR, der holder dig vågen om natten.

Intern fortegnelse/Artikel 30 skal som min. indeholde:

Udgangspunktet for nedenstående er at der er personfølsomme data i det.

  1. Oversigt over IT-systemer samt fysiske arkiver samt hvem anvender dem

F.eks. Kan der anvendes en Excel fil eller et system. Jeg anvender Lexoforms.com

  1. Underskrevne databehandleraftaler med virksomhedens leverandører

F.eks. Ved brug af vejledning samt skabelon fra Datatilsynet

  1. Risikovurdering af ovenstående IT-systemer samt fysiske arkiver (aflåste?)

F.eks. Ved brug af vejledning fra Datatilsynet

  1. Standardtekster udarbejdes

F.eks. Personlivspolitik, Cookies, Oplysningspligt (kunder, ansatte, jobsøgende), samtykkeerklæring, IT- Sikkerhedspolitik, Brud på datasikkerheden, sletning

  1. Eventuelt aftaler som databehandler (Til jeres virksomhedskunder)

F.eks. Hvis I er ansvarlige for en hjemmeside for en anden virksomhed

Rene Nørbjerg

Rene Nørbjerg

Ejer af GDPR-Regler.dk