GDPR dokumentation | Tjekliste m. dokumenter
Introduktion
Hvis du er involveret i databehandling eller håndterer persondata i EU, kender du sikkert begrebet GDPR. GDPR står for General Data Protection Regulation. Det er en juridisk ramme, der har til formål at beskytte data og privatliv. Denne ramme gælder inden for Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Men én ting er at kende GDPR, noget andet er at implementere dens omfattende krav. Det er her, GDPR-dokumentation kommer ind i billedet.
GDPR-dokumentation fungerer som et konkret bevis på din compliance-rejse. Det er ikke en formalitet, men et afgørende element, der kan beskytte din virksomhed i tilfælde af revisioner eller databrud. Dokumentation sikrer, at du ikke bare påstår, at du overholder reglerne, men at du også gør det. Det er vigtigt for alle virksomheder, store som små, der behandler EU-borgeres data.
På denne side forsøger vi at give dig en omfattende liste over alle de obligatoriske dokumenter, der kræves for at overholde GDPR. Vi tilbyder også en GDPR-dokumentationstjekliste for at sikre, at du har alle dine grundlæggende dokumentationskrav dækket. Men vi stopper ikke der. For at give dig et omfattende overblik går vi ud over det grundlæggende. Vi vil diskutere ekstra dokumentation, som ikke er obligatorisk, men som kan være meget nyttig. Disse dokumenter kan forbedre din indsats for at være GDPR-compliant.
Uanset om du er ny inden for GDPR eller ønsker at opdatere din eksisterende dokumentation, er denne guide tænkt som en one-stop-ressource. Glem ikke, at vores Privacy-værktøj er her for at gøre dit liv lettere. Det strømliner din overholdelse af GDPR-dokumentation. Det betyder, at du kan fokusere på det, du er god til, nemlig at drive din virksomhed.
For detaljeret indsigt i GDPR og privatlivets fred, besøg vores dedikerede område om GDPR og privatlivets fred. Hvis du gerne vil vide mere om GDPR generelt, er her alt, hvad du har brug for at vide om GDPR.
Så lad os dykke ned i kompleksiteten af GDPR-dokumentation.
Liste over obligatoriske dokumenter, der kræves i henhold til EU's GDPR
Denne liste giver dig et hurtigt øjebliksbillede af de vigtige dokumenter til overholdelse af GDPR. Vi dykker ned i hver af dem i de følgende afsnit for at give en omfattende guide.
-
Politik for beskyttelse af personoplysninger
-
Privatlivspolitik
-
Medarbejder privatlivspolitik
-
Slettepolitik
-
Plan for opbevaring af data
-
Formular til samtykke fra den registrerede
-
Formular til forældresamtykke
-
Risiko-register
-
Databehandleraftale
-
Procedure for reaktion på og anmeldelse af brud på datasikkerheden
-
Hændelseslog over databrud
-
Formular til anmeldelse af brud på datasikkerheden til tilsynsmyndigheden
-
Formular til anmeldelse af databrud til registrerede personer
GDPR dokumentation checkliste
Det kan ofte føles overvældende at navigere i labyrinten af GDPR-compliance. Nøglen til succesfuld overholdelse har to hoveddele. For det første skal du forstå det juridiske sprog i GDPR. For det andet er det afgørende at få en række dokumenter på plads. Disse dokumenter hjælper med at beskytte både dig og de personer, hvis data du håndterer. Enkelt sagt fungerer disse dokumenter som en køreplan for din GDPR-compliance-rejse.
GDPR, eller General Data Protection Regulation, har sat en høj standard for databeskyttelse i hele verden. Den regulerer, hvordan virksomheder indsamler, opbevarer og håndterer persondata. Du skal være fortrolig med dens omfang, da selv mindre overtrædelser kan føre til alvorlige økonomiske sanktioner. GDPR indeholder generelle principper for beskyttelse af data. Men detaljerne i, hvordan man implementerer disse principper, afhænger ofte af din organisations dokumenter.
I dette afsnit vil vi gå i dybden med hvert obligatorisk dokument, der kræves for at overholde GDPR. Vi giver dig en trin-for-trin-guide til hvert dokument, som beskriver, hvad de er, hvad de betyder, og hvem der skal overholde dem. Vi linker også til de relevante GDPR-artikler for hvert dokument, så du kan dykke dybere ned i de juridiske krav efter behov.
Denne tjekliste er et vigtigt værktøj, uanset om du er en erfaren databeskyttelsesansvarlig eller en virksomhedsejer, der skal i gang med compliance. Ved slutningen af denne guide vil du have et klart billede af den dokumentation, der er nødvendig for at tilpasse din organisation til GDPR-kravene.
Du er velkommen til at henvise til denne tjekliste ofte. Hvis du leder efter en effektiv måde at håndtere GDPR-dokumentation på, er vores Privacy-værktøj dit svar. Det er specielt designet til at gøre processen enklere for dig. Du kan også læse vores omfattende guide om GDPR for at få flere oplysninger eller udforske vores prisplaner for forskellige supportmuligheder.
Politik for beskyttelse af personoplysninger
Dette dokument beskriver, hvordan din organisation planlægger at beskytte personlige data. Det fungerer som en vejledning for medarbejderne og sætter standarden for datahåndteringspraksis. Det er vigtigt at sikre, at denne politik stemmer overens med artikel 24 i GDPR.
Privatlivspolitik
Din fortrolighedserklæring er et offentligt dokument, der informerer brugerne om, hvordan deres personlige data vil blive brugt, opbevaret og beskyttet af din organisation. Dette bør være i overensstemmelse med artikel 12, 13 og 14 i GDPR.
Medarbejder privatlivspolitik
Ligesom din privatlivspolitik er din medarbejder privatlivspolitik et internt dokument, der fortæller dine medarbejdere, hvordan deres data vil blive håndteret. De nærmere detaljer kan udledes af artikel 88 i GDPR.
Slettepolitik
Denne politik angiver, hvor længe data vil blive opbevaret, og retningslinjerne for sletning af data. Det er vigtigt at tilpasse dette til artikel 5(1)(e) og artikel 5(2) i GDPR.
Plan for opbevaring af data
Dette skema giver en detaljeret oversigt over specifikke datatyper og deres tilsvarende opbevaringsperioder i overensstemmelse med din politik for opbevaring af data.
Formular til samtykke fra den registrerede
Dette er den formular, som de registrerede udfylder for at give udtrykkeligt samtykke til databehandling. Dette er i overensstemmelse med artikel 7 i GDPR.
Formular til forældresamtykke
Når det drejer sig om mindreårige, er forældrenes samtykke ofte nødvendigt. Formularen skal være i overensstemmelse med artikel 8 i GDPR.
Risiko-register
Din risikovurdering er en proces, der hjælper med at evaluere, hvordan persondata behandles, og sikrer, at det er i overensstemmelse med GDPR. Risiko-registret holder styr på alle udførte risikovurderinger. Det er afgørende for overholdelse af artikel 35 i GDPR.
Læs også: Gennemførelse af risikovurderinger inden for GDPR: Hvorfor og hvordan?
Databehandleraftale
Denne aftale er mellem dig og dine leverandører, der behandler personoplysninger på dine vegne. Den skal være i overensstemmelse med artikel 28 i GDPR.
Procedure for reaktion på og anmeldelse af brud på datasikkerheden
Denne procedure beskriver de skridt, din organisation skal tage i tilfælde af et databrud. Overholdelse af artikel 33 og 34 i GDPR er obligatorisk for øjeblikkelig handling og kommunikation i tilfælde af et brud på datasikkerheden.
Hændelseslog over databrud
Dette er en fortegnelse over alle brud på datasikkerheden, uanset hvor alvorlige de er, som krævet i artikel 33 i GDPR. Det hjælper med at gennemgå og forebygge fremtidige hændelser.
Formular til anmeldelse af brud på datasikkerheden til tilsynsmyndigheden
I tilfælde af brud på datasikkerheden bruges denne formular til at informere tilsynsmyndigheden i overensstemmelse med retningslinjerne i artikel 33 i GDPR.
Formular til anmeldelse af databrud til registrerede personer
Dette er den formular, der bruges til at informere berørte registrerede i tilfælde af et databrud. Det er i overensstemmelse med artikel 34 i GDPR.
Du er velkommen til at læse vores omfattende guide til GDPR for at få et dybere indblik i hvert af disse krav. Hvis du vil vide mere, kan du tjekke vores prismuligheder.
Ikke obligatorisk, men brugbar dokumentation
-
Data Protection Officer arbejdsbeskrivelse
-
Fortegnelse over organisationens compliance
-
Standard Contractual Clauses (SCC'er) når der overføres data til dataansvarlige
-
Standard Contractual Clauses (SCC'er) når der overføres data til databehandlere
Ikke obligatorisk, men brugbar dokumentation Checkliste
Data Protection Officer arbejdsbeskrivelse
Hvis din organisation håndterer store mængder følsomme data, kan det være nødvendigt at udpege en databeskyttelsesrådgiver (DPO). Det samme gælder, hvis jeres kerneaktiviteter involverer regelmæssig overvågning af de registrerede. DPO'ens jobbeskrivelse er et afgørende dokument. Den skitserer de roller, ansvarsområder og kvalifikationer, der er nødvendige for denne stilling. Den hjælper både dit personale og den udpegede DPO med at forstå, hvad der forventes. Læs mere om DPO'ens rolle i Artikel 37 i GDPR.
Fortegnelse over behandlingsaktiviteter
Under visse omstændigheder skal du føre en fortegnelse over alle databehandlingsaktiviteter. Denne fortegnelse fungerer som en hovedbog, der beskriver, hvilke data der behandles, af hvem og til hvilket formål. Det er især vigtigt for organisationer, der håndterer en bred vifte af datakategorier. Alle virksomheder skal leve op til i Artikel 30 GDPR. Det er også baseret på denne fortegnelse, at du får et godt udgangspunkt ift. at lave f.eks. dine risikovurderinger.
Standard Contractual Clauses (SCC'er) når der overføres data til dataansvarlige
Når du overfører data til lande, der er registreret som "usikrede tredjelande", skal du angive en SCC. Det er forhåndsgodkendte klausuler. De sikrer, at modtagerens dataansvarlige tilbyder et tilstrækkeligt databeskyttelsesniveau i henhold til artikel 46 i GDPR. Vær opmærksom på overførsler til USA. Her kan virksomheder registrere sig under Privacy Framework - læs mere her.
Standard Contractual Clauses (SCC'er) når der overføres data til databehandlere
For dataoverførsler til databehandlere i usikre lande er standardkontraktbestemmelser også et must. Disse klausuler har til formål at sikre, at databehandleren håndterer dataene med omhu. De sikrer også, at databehandleren opfylder de beskyttelsesniveauer, der kræves i GDPR. Artikel 46 i GDPR. Vær opmærksom på overførsler til USA. Her kan virksomheder også registrere sig under Privacy Framework.
Ved at være proaktiv og forberede disse ekstra dokumenter, vil du være et skridt foran i din GDPR-compliance-rejse.
Ikke obligatoriske, men brugbare dokumenter
-
Vurdering af GDPR modenhed
-
GDPR implementerings projektplan
-
Politik for beskyttelse af medarbejderes personlige data
-
Register over privatlivspolitikker
-
Guidlines for data mapping og ajourføring af fortegnelser
-
Formular til tilbagetrækning af samtykke fra den registrerede
-
Formular til tilbagetrækning af forældresamtykke
-
Procedure for anmodning om adgang for registrerede
-
Formular til anmodning om adgang for registrerede
-
Formular til oplysning om registrerede
-
Metode til konsekvensanalyse
-
Procedure for overførsel af persondata på tværs af grænser
-
Spørgeskema om overholdelse af GDPR for databehandlere
-
Dokumenter, der regulerer sikkerheden af personlige data
Ikke obligatoriske, men brugbare dokumenter Tjekliste
Vurdering af GDPR modenhed
Før du kaster dig ud i at overholde GDPR, er det nyttigt at måle, hvor du står. En "GDPR modenhedsvurdering" giver dig mulighed for at teste dine eksisterende databeskyttelsesforanstaltninger. Det er især nyttigt for virksomheder, der er nye inden for GDPR. Eller virksomheder, der er usikre på deres niveau af overholdelse.
GDPR implementering projektplan
Udvikling af en projektplan skitserer de skridt, du skal tage for at opnå fuld GDPR-compliance. Det hjælper med at sætte mål, allokere ressourcer og etablere tidslinjer. Det giver en struktureret tilgang til det, der kan være en kompleks proces.
Politik for beskyttelse af medarbejderes personlige data
Selvom en bredere databeskyttelsespolitik er obligatorisk, kan en skræddersyet politik for medarbejderne tilføje endnu et lag af sikkerhed. Dette specialiserede dokument kan dække detaljer, der er specifikke for din arbejdsstyrke. Det kan f.eks. skitsere de data, der indsamles under rekrutteringsprocessen. Den kan også indeholde retningslinjer for, hvordan man håndterer persondata i intern kommunikation.
Register over privatlivspolitikker
At føre en fortegnelse over alle dine prvatlivspolitikker kan fungere som en fremragende reference. Det er især nyttigt i forbindelse med interne gennemgange. Det er også værdifuldt i tilfælde af en databeskyttelsesrevision.
Guidelines for data mapping og ajourføring af fortegnelser
Korrekt datahåndtering starter med at vide, hvilke data du har, og hvordan de behandles. Retningslinjer for dataopgørelse og kortlægning kan give en systematisk måde at holde styr på dine behandlingsaktiviteter.
Formular til tilbagetrækning af samtykke fra den registrerede
Selvom det er obligatorisk at have en formular til indsamling af samtykke, er det lige så vigtigt at have en metode til, at de registrerede kan trække deres samtykke tilbage. En ligetil procedure kan forenkle denne proces for både dig og de registrerede. En færdiglavet formular gør processen mere strømlinet for begge parter.
Formular til tilbagetrækning af forældresamtykke
I lighed med samtykkeformularen skal der være en tilbagetrækningsformular, hvis du indsamler data fra mindreårige. Forældre eller værger skal nemt kunne trække samtykket tilbage.
Procedure for anmodning om adgang for den registrerede
Denne procedure skitserer de trin, en registreret skal følge for at få adgang til sine data. Den er med til at sikre, at de registrerede kender deres rettigheder, og at din organisation ved, hvordan den skal reagere hensigtsmæssigt.
Formular til anmodning om adgang for registrerede
En standardformular kan gøre det lettere at håndtere anmodninger om indsigt. Det strømliner processen for både de registrerede og din organisation. Det er med til at muliggøre en effektiv håndtering af disse anmodninger.
Formular til oplysning om registrerede
Denne formular er beregnet til, at de registrerede kan give tilladelse til videregivelse af deres data til tredjeparter. Den sikrer klarhed og samtykke, når data deles eksternt.
Metode til konvekvensanalyse
Dette dokument skitserer metoderne og kriterierne for at gennemføre en konsekvensanalyse af databeskyttelse (DPIA). Mens et DPIA-register er obligatorisk for specifikke forhold, er det en fordel for alle scenarier at have en metodologi på plads.
Læs mere om GDPR risikovurderinger her
Procedure for overførsel af persondata på tværs af grænser
Den beskriver protokollerne for overførsel af personlige data på tværs af grænser. Det er især nyttigt for organisationer, der opererer internationalt.
Spørgeskema om overholdelse af GDPR for databehandlere
Hvis du bruger tredjepartsbehandlere, kan dette spørgeskema være et værdifuldt værktøj. Det hjælper med at vurdere og sikre, at de er i overensstemmelse med GDPR.
Dokumenter, der regulerer sikkerheden af personlige data
Disse dokumenter er omfattende og dækker to hovedområder. De skitserer de tekniske foranstaltninger og de organisatoriske foranstaltninger, du har på plads for datasikkerhed.
Hvert af disse dokumenter tjener et formål med at skabe en robust ramme for databeskyttelse. Disse dokumenter kan hjælpe på to måder. For det første kan de hjælpe dig med at overholde reglerne. For det andet kan de forenkle din GDPR-dokumentationsproces.
Gør din GDPR dokumentation lettere med .legals Privacy software.
Lad Privacy guide dig igennem dokumentationskravende
Opbevar og få adgang til relevante dokumenter ét sted
Omfattende støtte
Info
.legal A/S
hello@dotlegal.com
+45 7027 0127
CVR: 40888888
Support
support@dotlegal.com
+45 7027 0127
Brug for hjælp?
Lad mig hjælpe jer i gang
.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.