Baker Tilly Denmark Legal Logo
Close
Pexels andrea piacquadio 927022
Nyheder

Persondata – risikovurdering, kortlægning og sletning

Wivi H. Larsen 28. nov. 2023
Artikel
Compliance (GDPR/ESG)

I denne artikel kan virksomheder få et indblik i spørgsmål omkring risikovurdering og sletning af data

Skal virksomheder lave risikovurderinger?

Ja, persondataforordningen stiller krav om, at alle virksomheder laver en risikovurdering.

Skal den laves som en skriftlig redegørelse? Nej, ikke nødvendigvis.

Datatilsynet vil ofte bede om en skriftlig risikovurdering, og alle virksomheder har som nævnt en pligt til at lave en risikovurdering, men der er efter persondatareglerne ingen pligt til at lave den skriftligt.

Men virksomhederne skal altid kunne redegøre for deres risikoovervejelser, forstået på den måde, at de skal have overvejet, dels hvor stor en risiko, der er for et brud (sender man ukrypterede mails er risikoen stor) og dels have overvejet, hvilke konsekvenser dette brud måtte have for de registrerede personer (er oplysningen i mailen bare navn og adresse er konsekvensen ved et brud typisk lav).

Har virksomheden følsomme eller fortrolige oplysninger, som man efter den almindelige opfattelse i samfundet ikke ønsker at få offentliggjort, er konsekvensen ved et brud typisk høj. Så kan det være vigtigt at have en skriftlig risikovurdering, der danner grundlag for de sikkerhedsforanstaltninger, som virksomheden har truffet, så virksomheden har dokumentation for dens risikovurderinger.

Skal virksomheden kortlægge deres persondata?

Ja, persondataforordningen stiller krav om, at alle virksomheder skal udarbejde en intern fortegnelse, hvori de kortlægger deres persondata i hvert it –system.

Kortlægningen af persondata i virksomheden kan gribes an på to måder:

  1. Kortlægge arbejdsgange/processer eller
  2. Kortlægge systemer.

Den enkleste fremgangsmåde er utvivlsomt at lave en intern fortegnelse ud fra en kortlægning af it-systemerne.

Hvorfor? Fordi man så er mere sikker på, at man har det hele med, for det er ret mange oplysninger, der skal med i den interne fortegnelse, og ved sikkerhedsbrud vil Datatilsynet bede om en liste over de it-systemer (og ikke processer), som virksomheden anvender til behandling af personoplysninger.

Når virksomheden har kortlagt, hvilke systemer der bruges til at behandle data og beskrevet alle de forhold, der skal beskrives for hvert it-system, nærmer I jer at være klar til et besøg fra Datatilsynet, hvor de f.eks. kan spørge ind til virksomhedens sletning af personoplysninger.

Sletteproceduren

Er der så nogle særlige spørgsmål I kan forvente Datatilsynet stiller jer vedrørende virksomhedens sletteprocedure?

Det kan variere, men det kan være spørgsmål som:

  • Systemets navn
  • Hvilke behandlinger af personoplysninger finder sted – og hvilke typer af personoplysninger
  • Hvilke slettefrister har virksomheden fastsat
  • Hvordan understøtter systemet rent teknisk muligheden for angivelse af et tidspunkt for sletning
  • Beskriv de i systemet implementerede procedurer for automatisk sletning af personoplysninger
  • Beskriv proceduren for manuel sletning i systemet, herunder proceduren for autorisation af personale til at udføre den manuelle sletning
  • Beskriv procedurer for opfølgning på sletning i systemet, herunder 1) hvordan det sikres, at en given oplysning er slettet i alle systemer – 2) hvordan det kontrolleres, at oplysninger er slettet inden for de fastlagte frister og – 3) hvordan det kontrolleres, at oplysninger indgivet til manuel sletning er udført rettidigt
  • Beskriv hvorledes systemet understøtter en log over sletning af systemer
  • Beskriv proceduren for sletning i forbindelse med back ups af databaser, herunder 1) hvordan det sikres, at slettede oplysninger ikke gendannes i forbindelse med genindlæsning fra tidligere back up, og 2) hvordan det sikres, at integriteten af eventuelle logs over sletningskørsler, som skal genkøres efter genindlæsning af tidligere backup, bevares.

Persondataforordningens indførelse stiller store krav til virksomhederne og deres systemleverandører, som fremover vil blive mødt med disse spørgsmål fra deres kunder. Som kunde skal I have tillid til, at systemleverandøren kan besvare spørgsmålene fra Datatilsynet på en tilfredsstillende måde, da det også har indflydelse på jeres behandling.

Læs mere om
Kontakt
Photo of Wivi H. Larsen
Wivi H. Larsen
Advokat (H)
Læs mere

Relateret indhold

Artikel Ansættelsesret
Loyalitetspligt og konkurrencehandlinger
Nicholas Ørum Keller • 2. jan. 2024
Artikel Selskabsret Ansættelsesret
Konkurrenceklausul for medarbejder-aktionær? Her er 3 faldgruber der gør klausulen ugyldig
Nicholas Ørum Keller • 2. jan. 2024
Artikel Dødsbobehandling Arv og testamente
Dødsboskifteformer i Danmark
Sajitha Sureshkanna • 2. jan. 2024
Artikel Ansættelsesret
Må du opsige far, inden han går på barsel?
Nicholas Ørum Keller • 12. dec. 2023
Artikel Compliance (GDPR/ESG)
Persondata på arbejdspladsen
6. dec. 2023
Artikel Arv og testamente Ægtepagt
Har I sikret hinanden?
Sajitha Sureshkanna • 6. dec. 2023
Artikel Erhverv
Sådan beskattes crowdfunding
Wivi H. Larsen • 6. dec. 2023
Artikel Retssager / Voldgift
Ambi-sager og EU-ret
Steen Petersen • 5. dec. 2023
Artikel Arv og testamente Ægtepagt Separation og skilsmisse
Mine, dine og vores børn – moderne sammenbragte familier
Sajitha Sureshkanna • 3. dec. 2023
Artikel Marketingret
Social Selling på LinkedIn
Nicholas Ørum Keller • 28. nov. 2023