GDPR advokat

Persondata – risikovurdering, kortlægning og sletning

I denne artikel kan virksomheder få et indblik i spørgsmål omkring risikovurdering og sletning af data.

Artiklen er skrevet af advokaterne Helle Groth Christensen og Wivi H. Larsen ved Ret&Råd Advokater Glostrup.

Skal virksomheder lave risikovurderinger?

Ja, persondataforordningen stiller krav om, at alle virksomheder laver en risikovurdering.

Skal den laves som en skriftlig redegørelse? Nej, ikke nødvendigvis.

Datatilsynet vil ofte bede om en skriftlig risikovurdering, og alle virksomheder har som nævnt en pligt til at lave en risikovurdering, men der er efter persondatareglerne ingen pligt til at lave den skriftligt.

Men virksomhederne skal altid kunne redegøre for deres risikoovervejelser, forstået på den måde, at de skal have overvejet, dels hvor stor en risiko, der er for et brud (sender man ukrypterede mails er risikoen stor) og dels have overvejet, hvilke konsekvenser dette brud måtte have for de registrerede personer (er oplysningen i mailen bare navn og adresse er konsekvensen ved et brud typisk lav).

Har virksomheden følsomme eller fortrolige oplysninger, som man efter den almindelige opfattelse i samfundet ikke ønsker at få offentliggjort, er konsekvensen ved et brud typisk høj. Så kan det være vigtigt at have en skriftlig risikovurdering, der danner grundlag for de sikkerhedsforanstaltninger, som virksomheden har truffet, så virksomheden har dokumentation for dens risikovurderinger.

Skal virksomheden kortlægge deres persondata?

Ja, persondataforordningen stiller krav om, at alle virksomheder skal udarbejde en intern fortegnelse, hvori de kortlægger deres persondata i hvert it –system.

Kortlægningen af persondata i virksomheden kan gribes an på to måder:

  1. Kortlægge arbejdsgange/processer eller
  2. Kortlægge systemer.

Den enkleste fremgangsmåde er utvivlsomt at lave en intern fortegnelse ud fra en kortlægning af it-systemerne.

Hvorfor? Fordi man så er mere sikker på, at man har det hele med, for det er ret mange oplysninger, der skal med i den interne fortegnelse, og ved sikkerhedsbrud vil Datatilsynet bede om en liste over de it-systemer (og ikke processer), som virksomheden anvender til behandling af personoplysninger.

Når virksomheden har kortlagt, hvilke systemer der bruges til at behandle data og beskrevet alle de forhold, der skal beskrives for hvert it-system, nærmer I jer at være klar til et besøg fra Datatilsynet, hvor de f.eks. kan spørge ind til virksomhedens sletning af personoplysninger.

Sletteproceduren

Er der så nogle særlige spørgsmål I kan forvente Datatilsynet stiller jer vedrørende virksomhedens sletteprocedure?

Det kan variere, men det kan være spørgsmål som:

  • Systemets navn
  • Hvilke behandlinger af personoplysninger finder sted – og hvilke typer af personoplysninger
  • Hvilke slettefrister har virksomheden fastsat
  • Hvordan understøtter systemet rent teknisk muligheden for angivelse af et tidspunkt for sletning
  • Beskriv de i systemet implementerede procedurer for automatisk sletning af personoplysninger
  • Beskriv proceduren for manuel sletning i systemet, herunder proceduren for autorisation af personale til at udføre den manuelle sletning
  • Beskriv procedurer for opfølgning på sletning i systemet, herunder 1) hvordan det sikres, at en given oplysning er slettet i alle systemer – 2) hvordan det kontrolleres, at oplysninger er slettet inden for de fastlagte frister og – 3) hvordan det kontrolleres, at oplysninger indgivet til manuel sletning er udført rettidigt
  • Beskriv hvorledes systemet understøtter en log over sletning af systemer
  • Beskriv proceduren for sletning i forbindelse med back ups af databaser, herunder 1) hvordan det sikres, at slettede oplysninger ikke gendannes i forbindelse med genindlæsning fra tidligere back up, og 2) hvordan det sikres, at integriteten af eventuelle logs over sletningskørsler, som skal genkøres efter genindlæsning af tidligere backup, bevares.

Persondataforordningens indførelse stiller store krav til virksomhederne og deres systemleverandører, som fremover vil blive mødt med disse spørgsmål fra deres kunder. Som kunde skal I have tillid til, at systemleverandøren kan besvare spørgsmålene fra Datatilsynet på en tilfredsstillende måde, da det også har indflydelse på jeres behandling.

Denne artikel er skrevet af advokat Helle Groth Christensen og Wivi H. Larsen, Ret&Råd Advokater Glostrup.

Find din lokale Ret&Råd advokat eller læs mere om Virksomhedsrådgivning.