GDPR / Persondataforordning – sådan har jeg gjort i min virksomhed.

GDPR, Persondataforordning, EU datalov etc… ”kært” barn mange navne….

I denne artikel vil jeg vise dig meget konkret, hvad jeg har gjort for at overholde GDPR, samt hvorledes jeg kan dokumentere dette overfor Datatilsynet, hvis de skulle bede mig herom. I alt tog det mig blot ca. 12 timer on & off over en periode.

Først lidt om min virksomhed: Hillerup Consult Group er en enmandsvirksomhed med to kerneydelser, to hjemmesider på to forskellige domæner. Den ene hedder GetRelated og er en konsulentvirksomhed, der har eksisteret siden 2013, med en hel del kundeforhold og et nyhedsbrev med abonnenter. I GetRelated har jeg blandt andet arbejdet med implementering af GDPR i flere lande.

Den anden ydelse hedder GDPRdok (www.gdprdok.dk) og er en tjenesteydelse, der netop beskæftiger sig med GDPR. I denne virksomhed har jeg, på baggrund af min erfaring fra GetRelated, udviklet et sæt skabeloner til procedurer, politikker mv. der gør arbejdet med GDPR relativt nemt og hurtigt. Dette sæt skabeloner er til salg i min onlineshop.

Qua disse ydelser behandler jeg en del persondata, men ingen følsomme persondata.

For at overholde GDPR har jeg har smagt min egen medicin, og brugt mine skabeloner til min egen GDPR opgave. Jeg håber at dette kan tjene til inspiration til at du og mange flere virksomheder får ro i maven og styr på GDPR.

Den indledende fase – GDPR vejledning og Gab analyse

Ja, jeg skulle jo gennem vejledningen, men sprang direkte til det aktionsprægede afsnit, der netop fokuserer på hvilke handlinger jeg skulle gøre og hvorledes skabelonerne kan anvendes hertil.

Således indledte jeg med en Gab analyse på baggrund af skemaet med samme navn.

En lang række krav opfyldte jeg allerede, og endnu flere var ikke relevante for min virksomhed, så jeg endte med denne liste med udfordringer:

KravOverholdelseNødvendige tilttag
Opbevares personoplysninger kun så længe det er nødvendigt?NejPerioderne skal defineres
Kan vi som Dataansvarlig påvise overensstemmelse med alle principper?NejMangler periode defintioner
Efterkommes de registreredes rettigheder som krævet?NejDer skal laves en procedure som dokumentation
Er der indført procedurer for besvarelse af anmodninger om adgang til personoplysninger samt tilvejebringelse af samme?NejLav procedure til dokumentation
Er oplysninger om internationale overførsler tilgængelige for den registrerede, når det er relevant?NejMailchimp: USA, Stripe USA
Er der indført procedure for at slette personoplysninger uden unødig forsinkelse, når en registreret anmoder herom af legitime grunde?NejSkal fremgå af ovenstående procedure
Er det klart defineret, under hvilke omstændigheder sletningsanmodninger vil blive accepteret eller nægtet?NejSkal fremgå af ovenstående procedure
Er der indført procedure til at modtage, vurdere og overholde indsigelser mod behandling af personoplysninger?NejDer skal udarbejdes procedure
Er der gennemført passende databeskyttelsespolitikker?NejDer skal udarbejdes politikker
Er der indført en procedure der sikrer, at der anmeldes brud på persondatasikkerheden til tilsynsmyndigheden inden for den tidsramme, der er fastsat i GDPR?NejDer udarbejdes procedure
Er der indført procedurer der sikrer, at anmeldelsen af et brud på persondatasikkerheden til tilsynsmyndigheden indeholder alle nødvendige oplysninger?NejDer udarbejdes procedure
Bliver alle brud på persondatasikkerheden dokumenteret?NejDer udarbejdes procedure
Er der indført procedurer til vurdering af, om det er nødvendigt at underrette den registrerede?NejSkal fremgå af proceduren

Nu havde jeg dannet mig et overordnet indryk af mine udfordringer, der handlede om indførsel af korrekte politikker og procedurer, som i sidste ende vil gøre, at mine kunder oplever den korrekte behandling af deres data og rettigheder, at jeg er forberedt hvis jeg skulle få et databrud, samt at jeg kan dokumentere alle mine handler og valg overfor Datatilsynet eller andre.

Det konkrete arbejde

Som første led i det konkrete arbejde udarbejdede jeg en liste over alle mine databehandlingsaktiviteter med basis i skabelonen ”Registrering af behandlingsaktiviteter”.Jeg støttede mig til det konkrete eksempel herpå, der også er inkluderet i det sæt jeg har udarbejdet.

Således har jeg dokumenteret alle persondatabehandlinger jeg foretager, og kan vende tilbage hertil og tilføje eller slette, hvis der sker ændringer, samt anvende det overfor Datatilsynet som dokumentation.

Nedenfor ser du et uddrag af listen, idet en lang række andre kolonner ikke kan vises her af pladsmæssige årsager.

ForretningsaktivitetDataposterBeskrivelseSærlig kategori (følsomme persondata)Indhentet fra den registrerede?DataejerFormål med behandlingLovlig behandling
Website salg i GDPRdokKunde navnKundens navn; undertiden forskellig fra navnet på den person, der modtager supportNejJaClaus HillerupSalgsposter og løbende supportOpfyldelse af kontrrakt
Website salg i GDPRdokKunde mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupSalgsposter og løbende supportOpfyldelse af kontrrakt
Website salg i GDPRdokKunde telefonnummerTelefonnummer, normalt et virksomhedsnummer, men kan være personligtNejJaClaus HillerupKontaktmulighed hvis mail ikke virkerOpfyldelse af kontrrakt
Website salg i GDPRdokKreditkort oplysningerNummer, udløb og CVC fra kundens kreditkortNejJaClaus HillerupBetaling – oplysninger opbevares ikke af os.Opfyldelse af kontrrakt
Website salg i GDPRdokKunde adresseFysisk adresse, herunder gade, by, postnummer og landNejJaClaus HillerupVerification på kundes korrekthedOpfyldelse af kontrrakt
Salgsopfølgning GDPRdokKunde navn og mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupMersalg og marketingMarkedsføringsloven §10 stk 2
Faktura generering og fremsendelse på mailKunde navn og mailadresseAlle kundeinformationer (kreditkort undtaget)NejJaClaus HillerupRegnskabsopfølgning og kvittering til kundeOpfyldelse af kontrakt
Nyhedsbrev fra GetrelatedKunde navn og mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupMersalg og marketingSamtykke
Download af vejledning GDPRdokKunde navn og mailadresseKundens emailadresse, normalt en virksomhedsmail, men ofte en Gmail-eller Hotmail-kontoNejJaClaus HillerupLevere vejledning efter anmodning fra kundenLegitim interesse
        

Sideløbende udarbejdede jeg en politik for sletning af data på baggrund af skabelonen ”Politik for opbevaring og sletning af persondata”,hvor jeg fastsatte hvor længe jeg ville beholde f.eks. mails og andre dokumenter med persondata. Disse valg har jeg dokumenteret i det skema som ligger i skabelonen, som følger:

BeskrivelseOpbevaringsperiode og begrundelse herforLagringsmedier

Kunder

Personlige oplysninger, herunder kundernes navne, adresser, ordrehistorik, og bankoplysninger

5 år efter sidste køb

Begrundelse herfor er Regnskabslovens bestemmelser

Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive. Data ligger også i Billys Billing, der anvendes til regnskab.

Leverandører

Personlige oplysninger, herunder Leverandørers navne, adresser, ordrehistorik, og bankoplysninger

5 år efter sidste køb

Begrundelse herfor er Regnskabslovens bestemmelser

Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive

Medarbejdere

Hillerup Consult har ingen medarbejder

  

Kontrakter

juridiske kontrakter, vilkår og betingelser,

5 år efter udløb

Begrundelse herfor er Regnskabslovens bestemmelser

Elektronisk på Bærbar Mac med sikkerhedskopi i Google drive

Regnskab

fakturaer, indkøbsordrer, regnskaber og andre historiske regnskaber

5 år i henhold til Regnskabslovens bestemmelserElektronisk på Bærbar Mac med sikkerhedskopi i Google drive. Data ligger også i Billys Billing, der anvendes til regnskab.

Budgetter og Planer

Fremadrettede finansielle skøn og planer indeholder ingen persondata

  

System Transaktioner logfiler

Hillerup Consult Group benytter ikke disse

  

Overvågningslogfiler

Hillerup Consult Group benytter ikke disse

  

Videoovervågning

Hillerup Consult Group benytter ikke dette

  
E-mails i mailsystem

Efter 2 år slettes mails automatisk fra alle postkasser og bakker

Elektronisk på Bærbar Mac, samt i skyen hos Google, Microsoft samt Unoeuro.

Registreringen af behandlingsaktiviteterne endte ud i en konkret handlingsplan som følger:

Action
Få udarbejdet ligitim interesse dokumentation for leadopfølgning, samt tilhørende privatlivsmeddelelse
Få lavet databehandleraftaler med Stripe, UnoEuro, Google og Mailchimp
Få sat automatisk sletning på mailkonti
Følg op på om de nuværende handelsbetingelserne og privatlivsmeddelser i online shoppen opfylder GDPR krav

 

Udarbejdelse af Legitim Interesse / Interesse afvejning

Til den første opgave benyttede jeg skabelonerne ”Procedure for udarbejdelse af Legitim Interesse”samt ”Formular til udarbejdelse af Legitim Interesse”, hvilket har klarlagt min rimelige argumentation for at jeg kontakter mine leads uden deres samtykke. På baggrund af denne har jeg efterfølgende udarbejdet en privatlivsmeddelelse som fremtidige leads kan læse, hvis de har interesse herfor (hvilket jeg tvivler på). Dette kan jeg så fremvise til Datatilsynet, hvis jeg skulle blive kontaktet af dem.

Databehanderaftaler

Databehandleraftalerne var nemt at komme omkring. Alle leverandører havde udarbejdet standardaftaler, der overholder GDPR, som blot skulle accepteres ved underskrift og i nogle tilfælde er de faktisk indarbejdet i eksisterende standardkontrakter. Så jeg har downloadet disse, og lagt dem i en mappe for sig selv. Du kan nemt finde disse ved at Google leverandørens navn efterfulgt af GDPR, data processing agreement eller andet. Her er nogle links som måske kan hjælpe dig:

https://www.unoeuro.com/compliance/

https://cloud.google.com/terms/data-processing-terms

https://mailchimp.com/help/about-mailchimp-the-eu-swiss-privacy-shield-and-the-gdpr/

http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=46

 

Automatisk sletning på mailkonti

I min virksomhed benytter jeg Macbook, og benytter Apples egen Mail til at administrere alle mine mailkonti, hvad enten de ligger hos Google (Gmail), Microsoft (Outlook) eller UnoEuro. Således har jeg udarbejdet regler for automatisk at slette alle mails, der er ældre end 600 dage (mindre end 2 år). Det er min oplevelse af ældre mails primært er nice to have og ikke need to have. Skulle der være mails jeg ikke vil slette, har jeg gemt disse på min Mac samt sikret mig at persondata i mailen er slettet.

Endvidere har jeg opsat mere restriktive sletteregler for en lang række andre mails jeg modtager, således at min mailboks ikke fyldes unødigt. Nedenfor ser du et skærmprint af opsætningen af mine regler.

 

Handelsbetingelser og privatlivsmeddelelser

Til den sidste opgave i handlingsplanen udarbejdede jeg en procedure til skabelse af privatlivserklæringer / fortrolighedserklæringer. Dette er både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom. Efterfølgende læste jeg eksemplerne på fortrolighedserklæringer til såvel hjemmeside som til e-handel, hvorefter jeg benyttede ”Formular til udarbejdelse af fortrolighedserklæringer” til at skabe mine egne. En smule omstændigt, I know, men nu har jeg dokumentation på hvorledes jeg er kommet frem til resultatet.

Jeg benyttede endvidere ”Formular til udarbejdelse af samtykke” til samtykkeerklæringerne jeg benytter, såvel på mit nyhedsbrev i GetRelated, samt til betingelser for e-handel i GDPRdok.

Sletning af øvrige dokumenter

Dernæst gennemgik jeg min Macbook og fysiske mapper for de øvrige dokumenter, kontrakter mv., og smed det ud som politikken krævede, hvilket ikke var meget, da Getrelated kun har eksisteret i små 6 år.

Øvrige politikker og procedurer

Jeg kunne nu vende tilbage til den oprindelige Gab analyse, og koncentrerede mig om at få udarbejdet de fornødne politikker og procedurer.

Således har jeg tilpasset skabelonen ”Politik for sikring af Privatliv og Persondatasikkerhed”,der dokumenterer mine tiltag for at overholde GDPR på et overordnet plan. Igen er dette både til egen hukommelse samt til Datatilsynet, hvis jeg skulle blive bedt herom.

I forlængelse af dette, har jeg på 15 minutter udarbejdet en procedure for imødekommelse af anmodninger om indsigt i data fra de registrerede, samt udarbejdet en formular der skal udfyldes af den registrerede, hvis de vil ønsker indsigt, som de er berettiget til. Dette ved at benytte skabelonerne ”Procedure for imødekommelse af anmodninger”samt ”Formular til imødekommelse af anmodninger”.Formularen har jeg uploadet på mine hjemmesider.

Endelig har jeg kort hurtigt tilpasset ”Procedure for anmeldelse af brud på Persondatasikkerheden”samt noteret mig, at der ligger 2 eksempler på hvorledes man kan kommunikere et sådant brud til omverden. Så er jeg forberedt hvis dette skulle ske.

Nu overholder jeg GDPR

Og det var sådan set det. Nu kan jeg gå tilbage til min Gab analyse og skrive ja til alle punkter hvor jeg havde udfordringer. Jeg overholder, baseret på min bedste overbevisning, GDPR til fulde, og er fortrøstningsfuld ift. at blive kontaktet af Datatilsynet.

Ud af de 34 dokumenter der udgør sættet af skabeloner til politikker, procedurer mv, har jeg kun brugt 18 dokumenter, eksklusiv den generelle vejledning. Men jeg har sparet masser af tid, og jeg har nu et sæt dokumenter, hvor jeg har dokumenteret hvilke data jeg har og hvorledes jeg passer på dem, hvornår jeg sletter dem mv.

Dette kan jeg bruge til en årlig revurdering af mine tiltag, sådan som GDPR faktisk kræver, og jeg kan bruge det til at dokumentere mine tiltag overfor Datatilsynet. Skulle jeg få en medarbejder på et tidspunkt, er der også relativt let at sætte vedkommende ind i tingene.

Så ja, jeg føler mit tryg, kan sætte et flueben ved GDPR compliance, og fokusere på noget ”reelt” arbejde.

Få alle mine GDPR dokumenter

Jeg har uploadet alle mine tilpassede dokumenter til det samlede sæt af dokumenter som du kan købe på www.GDPRdok.dk, så du kan se de konkrete eksempler og støtte dig til dem i dit GDPR arbejde. Jeg håber at du har fundet inspiration og mod til enten at komme igang med dit GDPR arbejde eller at gøre det helt færdigt.