Få styr på de enkelte lovgrundlag og oplys herom
Alle organisationer skal kunne redegøre for, hvilke personoplysninger de behandler, til hvilke formål de enkelte personoplysninger behandles og på hvilket lovgrundlag.
Langt de fleste behandler udover de almindelige personoplysninger – som fx navn, adresse, økonomiske oplysninger m.v. – også personnumre og i visse tilfælde følsomme personoplysninger som fx helbredsoplysninger. Men de fleste organisationer er ikke opmærksomme på, at lovgrundlaget for at behandle disse oplysninger er forskelligt.
Det betyder også, at organisationerne ikke nødvendigvis får indhentet de ofte få men meget vigtige samtykker, ligesom de lovpligtige oplysningstekster typisk i kraft heraf ligeledes vil være mangelfulde.
Skab overblik over databehandlerne og få styr på aftalegrundlaget
I dag bliver der fra mange organisationers side brugt meget tid på først at identificere databehandlerne for herefter at indgå de enkelte databehandleraftaler. På trods af, at Datatilsynet har udarbejdet en standard databehandleraftale, der tilmed er godkendt af det Europæiske Databeskyttelsesråd, anvender mange organisationer fortsat deres ”egen” aftaletemplate. Dette medfører i sig selv, at der vil skulle foretages review og tilpasninger af ordlyden af de enkelte aftaleudkast, hvilket øger risikoen for, at aftalerne ikke overholder minimumskravene i GDPR.
Hertil kommer, at mange organisationer først nu så småt er gået i gang med at gennemføre kontrol med deres databehandlere, og særligt denne del volder besvær, da mange ikke rettidigt har vurderet, hvilken form for kontrol, der er den rette, ligesom mange har måttet sande, at de ikke besidder de fornødne kompetencer til selv at gennemføre passende kontrol.
Organisationerne oplever især, at det også kommercielt er forbundet med udfordringer, hvis beslutning om kontrolfor først træffes på bagkant – efter at hovedaftalen er indgået.
Tag hul på udfordringerne ved tredjelandsoverførsler
Særligt sikring af lovlige tredjelandsoverførsler, hvor der sker overførsel af persondata til de såkaldte usikre tredjelande udenfor EU, volder problemer i praksis. Det kan fx være i situationer, hvor personoplysninger overføres til en leverandør i Asien eller USA.
I kølvandet på EU-Domstolens afgørelser i Schrems sagerne er det i dag fortsat uafklaret og en udfordring, hvordan den dataansvarlige reelt skal vurdere, om der i modtagerlandet stilles de nødvendige retlige garantier, som EU kræver. Vi venter alle i spænding på mere konkret rådgivning fra Datatilsynet såvel som fra EU.
Udarbejd den samlede GDPR-dokumentation (defence file)
Som nævnt er det langt fra alle, som kan fremlægge den nødvendige dokumentation for de GDPR-relaterede indsatser. Populært sagt så skal alle organisationer kunne fremlægge en GDPR defence file og således dokumentation på deres GDPR-compliance.
En organisation skal fx kunne dokumentere, at de har kortlagt deres behandlingsaktiviteter, har udarbejdet de enkelte generelle og konkrete implementeringstiltag (den skriftlige dokumentpakke), har fortaget en risikovurdering og på dette grundlag har fastsat og reelt implementeret passende sikkerhedsforanstaltninger.
Det er samtidig ikke nok, at dokumenterne er udarbejdet, hvis ikke organisationen efterlever dem i praksis. Organisationerne har derfor pligt til at sikre, at de enkelte medarbejdere på behørig vis er instrueret og vejledt i, hvordan de skal behandle de personoplysninger, som flyder i organisationen.