Krav til GDPR-dokumentation: Tjekliste over dokumenter, der kræves af EU's GDPR

Introduktion

gdpr-checklist

Hvis du er involveret i databehandling eller håndterer persondata i EU, kender du sikkert begrebet GDPR. GDPR står for General Data Protection Regulation. Det er en juridisk ramme, der har til formål at beskytte data og privatliv. Denne ramme gælder inden for Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Men én ting er at kende GDPR, noget andet er at implementere dens omfattende krav. Det er her, GDPR-dokumentation kommer ind i billedet.

GDPR-dokumentation fungerer som et konkret bevis på din compliance-rejse. Det er ikke en formalitet, men et afgørende element, der kan beskytte din virksomhed i tilfælde af revisioner eller databrud. Dokumentation sikrer, at du ikke bare påstår, at du overholder reglerne, men at du også gør det. Det er vigtigt for alle virksomheder, store som små, der behandler EU-borgeres data.

På denne side forsøger vi at give dig en omfattende liste over alle de obligatoriske dokumenter, der kræves for at overholde GDPR. Vi tilbyder også en GDPR-dokumentationstjekliste for at sikre, at du har alle dine grundlæggende dokumentationskrav dækket. Men vi stopper ikke der. For at give dig et omfattende overblik går vi ud over det grundlæggende. Vi vil diskutere ekstra dokumentation, som ikke er obligatorisk, men som kan være meget nyttig. Disse dokumenter kan forbedre din indsats for at være GDPR-compliant.

Uanset om du er ny inden for GDPR eller ønsker at opdatere din eksisterende dokumentation, er denne guide tænkt som en one-stop-ressource. Glem ikke, at vores Privacy-værktøj er her for at gøre dit liv lettere. Det strømliner din overholdelse af GDPR-dokumentation. Det betyder, at du kan fokusere på det, du er god til, nemlig at drive din virksomhed.

For detaljeret indsigt i GDPR og privatlivets fred, besøg vores dedikerede område om GDPR og privatlivets fred. Hvis du gerne vil vide mere om GDPR generelt, er her alt, hvad du har brug for at vide om GDPR.

Så lad os dykke ned i kompleksiteten af GDPR-dokumentation.

Liste over obligatoriske dokumenter, der kræves i henhold til EU's GDPR

Denne liste giver dig et hurtigt øjebliksbillede af de vigtige dokumenter til overholdelse af GDPR. Vi dykker ned i hver af dem i de følgende afsnit for at give en omfattende guide.

Politik for beskyttelse af personoplysninger
Privatlivspolitik
Medarbejder privatlivspolitik
Slettepolitik
Plan for opbevaring af data
Formular til samtykke fra den registrerede
Formular til forældresamtykke
Risiko-register
Databehandleraftale
Procedure for reaktion på og anmeldelse af brud på datasikkerheden
Hændelseslog over databrud
Formular til anmeldelse af brud på datasikkerheden til tilsynsmyndigheden
Formular til anmeldelse af databrud til registrerede personer

GDPR dokumentation checkliste

Det kan ofte føles overvældende at navigere i labyrinten af GDPR-compliance. Nøglen til succesfuld overholdelse har to hoveddele. For det første skal du forstå det juridiske sprog i GDPR. For det andet er det afgørende at få en række dokumenter på plads. Disse dokumenter hjælper med at beskytte både dig og de personer, hvis data du håndterer. Enkelt sagt fungerer disse dokumenter som en køreplan for din GDPR-compliance-rejse.

GDPR, eller General Data Protection Regulation, har sat en høj standard for databeskyttelse i hele verden. Den regulerer, hvordan virksomheder indsamler, opbevarer og håndterer persondata. Du skal være fortrolig med dens omfang, da selv mindre overtrædelser kan føre til alvorlige økonomiske sanktioner. GDPR indeholder generelle principper for beskyttelse af data. Men detaljerne i, hvordan man implementerer disse principper, afhænger ofte af din organisations dokumenter.

I dette afsnit vil vi gå i dybden med hvert obligatorisk dokument, der kræves for at overholde GDPR. Vi giver dig en trin-for-trin-guide til hvert dokument, som beskriver, hvad de er, hvad de betyder, og hvem der skal overholde dem. Vi linker også til de relevante GDPR-artikler for hvert dokument, så du kan dykke dybere ned i de juridiske krav efter behov.

Denne tjekliste er et vigtigt værktøj, uanset om du er en erfaren databeskyttelsesansvarlig eller en virksomhedsejer, der skal i gang med compliance. Ved slutningen af denne guide vil du have et klart billede af den dokumentation, der er nødvendig for at tilpasse din organisation til GDPR-kravene.

Du er velkommen til at henvise til denne tjekliste ofte. Hvis du leder efter en effektiv måde at håndtere GDPR-dokumentation på, er vores Privacy-værktøj dit svar. Det er specielt designet til at gøre processen enklere for dig. Du kan også læse vores omfattende guide om GDPR for at få flere oplysninger eller udforske vores prisplaner for forskellige supportmuligheder.

Politik for beskyttelse af personoplysninger

Dette dokument beskriver, hvordan din organisation planlægger at beskytte personlige data. Det fungerer som en vejledning for medarbejderne og sætter standarden for datahåndteringspraksis. Det er vigtigt at sikre, at denne politik stemmer overens med artikel 24 i GDPR.

Privatlivspolitik

Din fortrolighedserklæring er et offentligt dokument, der informerer brugerne om, hvordan deres personlige data vil blive brugt, opbevaret og beskyttet af din organisation. Dette bør være i overensstemmelse med artikel 12, 13 og 14 i GDPR.

Medarbejder privatlivspolitik

Ligesom din privatlivspolitik er din medarbejder privatlivspolitik et internt dokument, der fortæller dine medarbejdere, hvordan deres data vil blive håndteret. De nærmere detaljer kan udledes af artikel 88 i GDPR.

Slettepolitik

Denne politik angiver, hvor længe data vil blive opbevaret, og retningslinjerne for sletning af data. Det er vigtigt at tilpasse dette til artikel 5(1)(e) og artikel 5(2) i GDPR.

Plan for opbevaring af data

Dette skema giver en detaljeret oversigt over specifikke datatyper og deres tilsvarende opbevaringsperioder i overensstemmelse med din politik for opbevaring af data.

Formular til samtykke fra den registrerede

Dette er den formular, som de registrerede udfylder for at give udtrykkeligt samtykke til databehandling. Dette er i overensstemmelse med artikel 7 i GDPR.

Formular til forældresamtykke

Når det drejer sig om mindreårige, er forældrenes samtykke ofte nødvendigt. Formularen skal være i overensstemmelse med artikel 8 i GDPR.

Risiko-register

Din risikovurdering er en proces, der hjælper med at evaluere, hvordan persondata behandles, og sikrer, at det er i overensstemmelse med GDPR. Risiko-registret holder styr på alle udførte risikovurderinger. Det er afgørende for overholdelse af artikel 35 i GDPR.

Læs også: Gennemførelse af risikovurderinger inden for GDPR: Hvorfor og hvordan?

Databehandleraftale

Denne aftale er mellem dig og dine leverandører, der behandler personoplysninger på dine vegne. Den skal være i overensstemmelse med artikel 28 i GDPR.

Procedure for reaktion på og anmeldelse af brud på datasikkerheden

Denne procedure beskriver de skridt, din organisation skal tage i tilfælde af et databrud. Overholdelse af artikel 33 og 34 i GDPR er obligatorisk for øjeblikkelig handling og kommunikation i tilfælde af et brud på datasikkerheden.

Hændelseslog over databrud

Dette er en fortegnelse over alle brud på datasikkerheden, uanset hvor alvorlige de er, som krævet i artikel 33 i GDPR. Det hjælper med at gennemgå og forebygge fremtidige hændelser.

Formular til anmeldelse af brud på datasikkerheden til tilsynsmyndigheden

I tilfælde af brud på datasikkerheden bruges denne formular til at informere tilsynsmyndigheden i overensstemmelse med retningslinjerne i artikel 33 i GDPR.

Formular til anmeldelse af databrud til registrerede personer

Dette er den formular, der bruges til at informere berørte registrerede i tilfælde af et databrud. Det er i overensstemmelse med artikel 34 i GDPR.

Husk, at hvert dokument spiller en afgørende rolle for at sikre fuld overholdelse af GDPR. Selvom processen kan virke skræmmende, forenkler vores Privacy-værktøj GDPR-dokumentationen og gør opgaven langt mindre overvældende.

Du er velkommen til at læse vores omfattende guide til GDPR for at få et dybere indblik i hvert af disse krav. Hvis du vil vide mere, kan du tjekke vores prismuligheder.

Ikke obligatorisk, men brugbar dokumentation

Mens de obligatoriske dokumenter er afgørende for at overholde GDPR, kan du også få brug for yderligere dokumenter. Disse bliver nødvendige under specifikke forhold. Disse betingelser er baseret på dine behandlingsaktiviteter. De afhænger også af mængden af data, du håndterer, og den type dataoverførsel, din organisation foretager. Nedenfor gennemgår vi hvert af disse "betingede" dokumenter og beskriver, hvornår du har brug for dem, og hvad de indebærer.

Data Protection Officer arbejdsbeskrivelse
Fortegnelse over organisationens compliance
Standard Contractual Clauses (SCC'er) når der overføres data til dataansvarlige
Standard Contractual Clauses (SCC'er) når der overføres data til databehandlere

Ikke obligatorisk, men brugbar dokumentation Checkliste

Data Protection Officer arbejdsbeskrivelse

Hvis din organisation håndterer store mængder følsomme data, kan det være nødvendigt at udpege en databeskyttelsesrådgiver (DPO). Det samme gælder, hvis jeres kerneaktiviteter involverer regelmæssig overvågning af de registrerede. DPO'ens jobbeskrivelse er et afgørende dokument. Den skitserer de roller, ansvarsområder og kvalifikationer, der er nødvendige for denne stilling. Den hjælper både dit personale og den udpegede DPO med at forstå, hvad der forventes. Læs mere om DPO'ens rolle i Artikel 37 i GDPR.

Læs også: Hvad er en GDPR Data Protection Officer (DPO) og har jeg brug for én?

Fortegnelse over behandlingsaktiviteter

Under visse omstændigheder skal du føre en fortegnelse over alle databehandlingsaktiviteter. Denne fortegnelse fungerer som en hovedbog, der beskriver, hvilke data der behandles, af hvem og til hvilket formål. Det er især vigtigt for organisationer, der håndterer en bred vifte af datakategorier. Alle virksomheder skal leve op til i Artikel 30 GDPR. Det er også baseret på denne fortegnelse, at du får et godt udgangspunkt ift. at lave f.eks. dine risikovurderinger.

Standard Contractual Clauses (SCC'er) når der overføres data til dataansvarlige

Når du overfører data til lande, der er registreret som "usikrede tredjelande", skal du angive en SCC. Det er forhåndsgodkendte klausuler. De sikrer, at modtagerens dataansvarlige tilbyder et tilstrækkeligt databeskyttelsesniveau i henhold til artikel 46 i GDPR. Vær opmærksom på overførsler til USA. Her kan virksomheder registrere sig under Privacy Framework - læs mere her.

Standard Contractual Clauses (SCC'er) når der overføres data til databehandlere

For dataoverførsler til databehandlere i usikre lande er standardkontraktbestemmelser også et must. Disse klausuler har til formål at sikre, at databehandleren håndterer dataene med omhu. De sikrer også, at databehandleren opfylder de beskyttelsesniveauer, der kræves i GDPR. Artikel 46 i GDPR. Vær opmærksom på overførsler til USA. Her kan virksomheder også registrere sig under Privacy Framework.

Ved at være proaktiv og forberede disse ekstra dokumenter, vil du være et skridt foran i din GDPR-compliance-rejse.

Gør dit GDPR arbejde simpelt - brug .legals Privacy værktøj gratis

Start med at bruge Privacy - helt gratis

Vil du høre mere om vores GDPR platform?

Book et møde med vores CPO Johannes her

Ikke obligatoriske, men brugbare dokumenter

Du skal være i overensstemmelse med den obligatoriske dokumentation. Men der er også valgfrie dokumenter. De kan forbedre din compliance-strategi. Disse dokumenter er nyttige til specifikke scenarier eller som en del af en databeskyttelsesplan. Nedenfor er nogle ikke-obligatoriske, men anbefalede dokumenter:

Vurdering af GDPR modenhed
GDPR implementerings projektplan
Politik for beskyttelse af medarbejderes personlige data
Register over privatlivspolitikker
Guidlines for data mapping og ajourføring af fortegnelser
Formular til tilbagetrækning af samtykke fra den registrerede
Formular til tilbagetrækning af forældresamtykke
Procedure for anmodning om adgang for registrerede
Formular til anmodning om adgang for registrerede
Formular til oplysning om registrerede
Metode til konsekvensanalyse
Procedure for overførsel af persondata på tværs af grænser
Spørgeskema om overholdelse af GDPR for databehandlere
Dokumenter, der regulerer sikkerheden af personlige data

Ikke obligatoriske, men brugbare dokumenter Checklist

Vurdering af GDPR modenhed

Før du kaster dig ud i at overholde GDPR, er det nyttigt at måle, hvor du står. En "GDPR modenhedsvurdering" giver dig mulighed for at teste dine eksisterende databeskyttelsesforanstaltninger. Det er især nyttigt for virksomheder, der er nye inden for GDPR. Eller virksomheder, der er usikre på deres niveau af overholdelse.

GDPR implementering projektplan

Udvikling af en projektplan skitserer de skridt, du skal tage for at opnå fuld GDPR-compliance. Det hjælper med at sætte mål, allokere ressourcer og etablere tidslinjer. Det giver en struktureret tilgang til det, der kan være en kompleks proces.

Politik for beskyttelse af medarbejderes personlige data

Selvom en bredere databeskyttelsespolitik er obligatorisk, kan en skræddersyet politik for medarbejderne tilføje endnu et lag af sikkerhed. Dette specialiserede dokument kan dække detaljer, der er specifikke for din arbejdsstyrke. Det kan f.eks. skitsere de data, der indsamles under rekrutteringsprocessen. Den kan også indeholde retningslinjer for, hvordan man håndterer persondata i intern kommunikation.

Register over privatlivspolitikker

At føre en fortegnelse over alle dine prvatlivspolitikker kan fungere som en fremragende reference. Det er især nyttigt i forbindelse med interne gennemgange. Det er også værdifuldt i tilfælde af en databeskyttelsesrevision.

Guidelines for data mapping og ajourføring af fortegnelser

Korrekt datahåndtering starter med at vide, hvilke data du har, og hvordan de behandles. Retningslinjer for dataopgørelse og kortlægning kan give en systematisk måde at holde styr på dine behandlingsaktiviteter.

Formular til tilbagetrækning af samtykke fra den registrerede

Selvom det er obligatorisk at have en formular til indsamling af samtykke, er det lige så vigtigt at have en metode til, at de registrerede kan trække deres samtykke tilbage. En ligetil procedure kan forenkle denne proces for både dig og de registrerede. En færdiglavet formular gør processen mere strømlinet for begge parter.

Formular til tilbagetrækning af forældresamtykke

I lighed med samtykkeformularen skal der være en tilbagetrækningsformular, hvis du indsamler data fra mindreårige. Forældre eller værger skal nemt kunne trække samtykket tilbage.

Procedure for anmodning om adgang for den registrerede

Denne procedure skitserer de trin, en registreret skal følge for at få adgang til sine data. Den er med til at sikre, at de registrerede kender deres rettigheder, og at din organisation ved, hvordan den skal reagere hensigtsmæssigt.

Formular til anmodning om adgang for registrerede

En standardformular kan gøre det lettere at håndtere anmodninger om indsigt. Det strømliner processen for både de registrerede og din organisation. Det er med til at muliggøre en effektiv håndtering af disse anmodninger.

Formular til oplysning om registrerede

Denne formular er beregnet til, at de registrerede kan give tilladelse til videregivelse af deres data til tredjeparter. Den sikrer klarhed og samtykke, når data deles eksternt.

Metode til konvekvensanalyse

Dette dokument skitserer metoderne og kriterierne for at gennemføre en konsekvensanalyse af databeskyttelse (DPIA). Mens et DPIA-register er obligatorisk for specifikke forhold, er det en fordel for alle scenarier at have en metodologi på plads.

Læs mere om GDPR risikovurderinger her

Procedure for overførsel af persondata på tværs af grænser

Den beskriver protokollerne for overførsel af personlige data på tværs af grænser. Det er især nyttigt for organisationer, der opererer internationalt.

Spørgeskema om overholdelse af GDPR for databehandlere

Hvis du bruger tredjepartsbehandlere, kan dette spørgeskema være et værdifuldt værktøj. Det hjælper med at vurdere og sikre, at de er i overensstemmelse med GDPR.

Dokumenter, der regulerer sikkerheden af personlige data

Disse dokumenter er omfattende og dækker to hovedområder. De skitserer de tekniske foranstaltninger og de organisatoriske foranstaltninger, du har på plads for datasikkerhed.

Hvert af disse dokumenter tjener et formål med at skabe en robust ramme for databeskyttelse. Disse dokumenter kan hjælpe på to måder. For det første kan de hjælpe dig med at overholde reglerne. For det andet kan de forenkle din GDPR-dokumentationsproces.

Gør din GDPR dokumentation lettere med .legals Privacy platform

Håndtering af GDPR-dokumentation er en kompleks opgave, der kræver omhyggelig opmærksomhed på detaljer. Privacy-værktøjet fra .legal er designet til at gøre denne proces ubesværet og hjælpe dig med at overholde GDPR. Lad os dykke ned i funktionerne og fordelene ved Privacy.

Lad Privacy guide dig igennem dokumentationskravende

Det kan være en uoverskuelig opgave at gå i gang med GDPR-dokumentationen. Det er her, Privacy kommer ind i billedet. Privacy er et digitalt værktøj, der forenkler dokumentationen og styringen af din organisations behandling af persondata. Platformen tilbyder funktioner som skabeloner skabt af juridiske eksperter og indbygget hjælpefunktionalitet, der sikrer, at du bliver guidet på hvert trin. Det er en platform, der er designet til at hjælpe dig med blandt andet:

Kom hurtigt i gang: Brug vores skabeloner til at få et forspring.
Indbygget vejledning: Brug hjælpefunktionen til at navigere gennem compliance-kravene.
Komplet oversigt: Opbevar og administrer al GDPR-relateret dokumentation ét sted.

Registrering af behandlingsaktiviteter-1

Opbevar og få adgang til relevante dokumenter ét sted

Organisering er nøglen til overholdelse af GDPR. Privacy giver dig mulighed for at forberede, gemme og få et overblik over al din GDPR-dokumentation på ét centralt sted. Du kan tildele roller til forskellige brugere baseret på deres ansvarsområder, uddelegere opgaver og endda samarbejde på tværs af afdelinger. Værktøjet hjælper med at:

Delegering af opgaver: Tildel nemt opgaver relateret til dataindsamling og compliance.
Adgangskontrol: Begræns eller udvid adgangen til dokumentation baseret på brugerroller.
Overblik og overvågning: Se hurtigt, hvem der skal give input, og hvor der mangler dokumentation.

Omfattende støtte

Privacy er ikke bare et værktøj, men et komplet supportsystem til din rejse mod GDPR-compliance. Uanset om det drejer sig om at udføre risikovurderinger eller forstå dit overordnede risikolandskab, tilbyder Privacy funktioner til at strømline disse processer. Du vil være i stand til at:

Vurder risici: Brug værktøjet til at udføre risikovurderinger af dine behandlingsaktiviteter.
Automatiseret risikoanalyse: Få et automatisk øjebliksbillede af, hvor kritiske dine processer er.
Kontinuerlig forbedring: Platformens brugervenlighed sikrer, at den er tilgængelig, hvilket giver mulighed for løbende forbedringer i din GDPR-compliance-rejse.

Privacy fra .legal er ikke bare endnu et softwareværktøj; det er en robust platform, der er designet til at forenkle overholdelse af GDPR, gøre det mere effektivt og mindre tilbøjeligt til fejl. Kom i gang i dag.