Hjemmeside
Start med hjemmesiden. Din virksomhed skal i det mindste se ud til at være i overensstemmelse. Tjek følgende:
- Hvis din hjemmeside bruger cookies, skal den vise en cookie-dialog. Du ved, hvad de er, da du allerede har lukket mange af disse dialoger. Din hjemmesideplatform eller partner ved, hvordan man aktiverer en simpel cookie-dialog.
- Bed PrivacyDocs AI-chatbot om at generere en standard privatlivspolitik for hjemmesiden. Den vil dække hjemmesiden, ikke resten af din virksomhed. Du kan adoptere en velskreven politik fundet på nettet, eller bare bede PrivacyDocs AI-chatbot om at generere en baseret på de indtastede optegnelser. En overholdelsespolitik bør passe på to sider og tale om to-tre behandlingsaktiviteter (placering af cookies, levering af hjemmesiden, opbevaring af adgangslogfiler, potentielt behandling af feedbackformularer).
Tjek din hjemmeside for tredjeparter, såsom Google Analytics, marketingsoftware, indlejret video osv. Mange hjemmesider bruger andre hjemmesider og videregiver dine besøgendes data til andre virksomheder.
Inventar
Næste skridt er at opbygge et inventar over behandlingsaktiviteter (såkaldte registre over behandlingsaktiviteter). DBF (GDPR) er bygget op omkring behandlingsaktiviteter, som hver især skal beskrives.
Webstedets aktiviteter er et godt udgangspunkt. Tag de demoregistre, der leveres med PrivacyDocs, og tilpas dem til dine specifikationer.
Udfyld hver post i PrivacyDocs. Dette kan inkludere følgende:
- Forstå hvilke systemer der er involveret i gennemførelsen af en behandling.
- Find ud af, hvilke virksomheder der leverer disse systemer og er involveret, samt kontrollere eksistensen af databehandlingsaftaler med disse virksomheder.
- Bestemmelse af opbevaringsperioder for data.
- Opdagelse af datadelingstier.
- Gennemgang af de oplysninger, der gives til enkeltpersoner (tekster, der vises på hjemmesiden, hjemmesideprivatlivspolitik, interne privatlivspolitikker, kontrakter med dine kunder).
Nogle optegnelser vil kræve, at der gennemføres vurderinger (typisk, Vurdering af Legitim Interesse eller en Databeskyttelseseffektvurdering). Du kan konsultere de prøvevurderinger, der leveres med PrivacyDocs. Du kan også kontakte PrivacyDocs GDPR-rådgivningstjeneste. Disse vurderinger er ikke for mange (du kan forvente kun at have brug for et par stykker), men de kræver, at du undersøger dine processer fra en særlig vinkel. De udføres ofte bedst af eksterne konsulenter.
Privatlivspolitikker
Privatlivspolitikker er ikke et sted, hvor du giver et resumé af DBF (GDPR) og taler om dens principper, men hvor du præciserer specifikke detaljer om de behandlingsaktiviteter, du udfører. Privatlivspolitikken bør fortælle dine medarbejdere, hvordan de skal behandle personoplysninger, men også informere dem om, hvordan deres data behandles.
Anmodninger
Forbered din virksomhed på at håndtere de såkaldte Anmodninger fra Registrerede (DSR): normalt e-mailanmodninger sendt af enhver til din virksomhed.
- Opsæt en e-mailadresse som det foretrukne kontaktpunkt, og nævn det i dine privatlivspolitikker og på hjemmesiden.
- Denne e-mail ville normalt føre til dig eller til en, der håndterer juridiske anmodninger.
- Sørg for, at de indkommende anmodninger først vurderes fra et juridisk perspektiv, da de fleste muligvis ikke er juridisk begrundede.
- Sørg for, at alle handlinger, der træffes som følge af
Overtrædelser
Forklar alle i dit firma, hvad et brud er, og opret en mekanisme til at rapportere dem. Det er mere en social proces. Fra et teknisk synspunkt understøtter PrivacyDocs dette med brudregisteret og skabeloner til obligatoriske brudvurderinger, der skal udføres af virksomheden.
Uddannelse
Du skal træne dine medarbejdere om DBF. Der er mange gratis grundkurser tilgængelige. Et halvtimes kursus kan være tilstrækkeligt for de fleste medarbejdere, mens kun få har brug for mere dybdegående viden. Du kan have en privatlivs-fredag aften og se et kursusvideo sammen, eller anmode om en kort træning fra PrivacyDocs konsulenttjeneste.
Det er vigtigt at registrere faktum om træning i PrivacyDocs for at have det som bevis på overholdelse.
Risici
Du vil sandsynligvis ikke få det hele gjort helt. Nogle kontrakter vil mangle, nogle systemer eller processer skal opdateres osv. Disse er alle overholdelsesgaps, der udgør risici for manglende overholdelse. De fleste virksomheder har en ret lang liste over overholdelsesgaps og risici, de bærer. Du skal registrere disse risici i PrivacyDocs.
Det vigtigste her er at gennemgå disse risici periodisk og fortsætte med at arbejde på risikoreduktion. At ignorere en risiko er ikke i overensstemmelse. Men at registrere og vurdere en risiko, sammen med at håndtere og udføre nogle risikoreduktionsforanstaltninger, kan gøre din virksomhed i overensstemmelse, selvom risikoen ikke straks elimineres.
Anmeldelser
Du skal regelmæssigt gennemgå de processer, der ikke forventes at ændre sig, og at vælge en årlig gennemgang er ofte forsvarligt. Sæt en DBF-gennemgang for det næste år i din kalender. Processer, der er forfaldne eller for sent, er markeret i PrivacyDocs for at være synlige.