GDPR: På Færøerne skal de være compliant 1. januar 2021

11. november 2020

Jacob Høedt Larsen

Alle GDPR-ansvarlige kan huske foråret 2018, hvor de knoklede hårdt for at blive klar til EU’s persondataforordning. Virksomhederne skulle have overblik over it-systemer, leverandører og politikker, og tage stilling til hvad man ville gøre, hvis en registreret bad om indsigt. Det arbejdspres oplever de på Færøerne lige nu. Den 1. januar træder deres persondatalov – som tager udgangspunkt i EU-forordningen – nemlig i kraft.

I den forbindelse var Wired Relations’ Senior Compliance Officer, Lene Gram Skjoldager, på Færøerne og tale om de danske erfaringer med implementeringen. Hun havde et klart budskab:

“Der er ikke ret mange, der mener, at persondata er fantastisk. I Danmark var det sådan, at dem der var på toilettet på det møde, hvor det blev besluttet, hvem der skulle være ansvarlig for persondata, blev ansvarlige for området. Men, man kan faktisk godt gøre folk glade for det. Så I behøver ikke være helt deprimerede,” sagde hun.

Over 60 mennesker var fremmødt til det corona-venlige event

En konkurrencefordel

Lene Gram Skjoldager fremhævede tre områder, hvor virksomheder og offentlige organisationer kan få gavn af at arbejde struktureret med persondata: 

  • IT-sikkerhed, 
  • forbedret datakvalitet og 
  • intern forandring.

“IT-sikkerhed er det nye sort. I Danmark er det blevet en konkurrenceparameter. Folk undersøger det i dag, og de går udenom dem, der ikke har styr på sikkerheden,” sagde hun blandt andet.

Hun mener samtidig, at det er en oplagt mulighed for intern forandring. Hun fortalte om en virksomhed, hvor man havde et system, hvor pårørende til medarbejderne blev registreret. 

Lene Gram Skjoldager, Joan Sørensen og Emil Rønnebech

“Når der blev ansat kønne unge kvinder, var der stor aktivitet inde for at se, om de pårørende mon var mor og far eller en kæreste eller mand. Det må man selvfølgelig ikke. Jeg siger ikke, at jeres virksomheder har sådan et lokalt tinder, men det er godt at rydde op,” sagde hun.

Kom godt i gang

Lene Gram Skjoldager havde også gode råd om, hvordan de færøske persondata-ansvarlige skulle håndtere arbejdet med at blive klar 1. januar.

“Det helt overordnede emne er ansvarlighed. Min bedste anbefaling til jer er, at I skaber jer  overblikket over, hvilke systemer I har. Så får du det bedste udgangspunkt for at skabe et overblik,” sagde hun.

Ifølge Lene er det altså vigtigt at strukturere arbejdet fornuftigt, og ifølge hende handler det om:

Først at skabe overblik over IT-systemer og leverandører. Det overblik er nemlig hele grundlaget for at komme i mål med arbejdet. Mange bliver overrasket over, hvor mange IT-systemer, de rent faktisk har. Her kan du læse mere om, hvordan du gør det i praksis: Sådan identificerer man alle sine systemer og leverandører.

Herefter skal der udarbejdes fortegnelser over behandlingsaktiviteter. Lene kunne fortælle, at det er praksis i Danmark, at Datatilsynet i første omgang beder virksomhederne om at sende deres fortegnelser forud for kontrolbesøg. Derfor er fortegnelserne helt centrale. Du kan læse mere om, hvordan du udarbejder dem i denne artikel, som Lene har skrevet tidligere: Datatilsynets opdaterede vejledning om fortegnelser. Her kan du også bestille et eksempel på, hvordan en fortegnelse bør se ud.

Når overblikket er der, er det tid til at udarbejde politikker for blandt andet behandling indsigtsanmodninger og sletteregler. 

Arbejdet er ikke slut

Arbejdet med persondataloven slutter ikke 1. januar. Lene Gram Skjoldagers gode råd til de færøske virksomheder og offentlige organisationer er at dokumentere det, de gør – også efter 1. januar.

“Det er for eksempel en god ide at dokumentere, hver gang du laver noget undervisning for dine ansatte. Når der sker noget, kan man så sige: “Ja, det kan godt være at medarbejder det og det gjorde det, men vi havde faktisk fortalt det,”” siger hun.

Derudover mener hun, at der er brug for at dokumentere:

  • Hvornår og hvordan man fører tilsyn med eksterne databehandlere,
  • den interne audit,
  • en log over brud på persondatasikkerheden,
  • besvarelser af indsigtsanmodninger og
  • sletning af data

Der er to grunde til at dokumentere. For det første kan man få en ide om, hvor man kan forbedre sine systemer og politikker. Hvis der eksempelvis sker mange brud på persondatasikkerheden ved at ansatte kommer til at sende til forkerte mailadresser, så kan man have fokus på det.

For det andet kan man løbende dokumentere sine tiltag over for Datatilsynet og virksomhedens ledelse.

“En af DPO’ens fornemmeste opgaver er jo at lave en årlig rapport til direktionen. Det er de her punkter, de gerne vil vide noget om. Så når du har skrevet det ned i løbet af året, bliver det nemmere, når du skal lave rapporten. Det er en rigtig, rigtig god hjælp,” slutter Lene Gram Skjoldager.

Jacob Høedt Larsen

Head of Communications hos Wired Relations

Du er måske også interesseret i

Notat om Schrems II

Notat om Schrems II

EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset...