Processen med at dokumentere DBF-overholdelse

Processen med at dokumentere og opretholde DBF (GDPR) overholdelse er en kontinuerlig løkke af flere aktiviteter:

Dette er en kort oversigt over nøgleaktiviteter, og en databeskyttelsesspecialist kan finde sig selv i at udføre mange andre opgaver relateret til databeskyttelse og overholdelse, som ikke er nævnt her: anmodninger fra registrerede, vurderinger af databeskyttelsens indvirkning, vurderinger af legitime interesser, vurderinger af overførselsindvirkninger, interne gennemgange af nye systemer og manuelle processer, intern uddannelse og rådgivning og mange andre. Men lad os se på det grundlæggende.

Opdagelse

Det starter med opdagelse. Du skal mistænke, at visse behandlinger udføres af dit firma. Det kan være let i et lille firma og meget svært i en større og distribueret virksomhed. Som en privatlivsspecialist, typisk ekstern til de fleste processejere, skal du mistænke, at nogen kan eje en behandlingsaktivitet inden for virksomheden, finde den ejer og arrangere et opkald.

Du kan mistænke, at der foregår visse aktiviteter (salg, marketing, HR, løn), men du kan også opdage mange specifikke eller interne aktiviteter. Ofte vil du opdage et kort over aktiviteter og datastreams, der ikke eksisterede før.

IT-afdelingen er ofte klar over størstedelen af de automatiske processer, selvom de ikke ejer eller driver dem. Manuelle processer kan være sværere at opdage, så du skal være proaktiv under interviewet for endelig at finde ud af, hvad alle laver.

Interviewing

For det meste er dokumentationen om DBF-overholdelse interviewbaseret: du spør processejere (eller hvem der er vidende) om detaljerne i hver specifik proces og skriver svarene ned. Det forventes (og er generelt accepteret), at computersystemer gør, hvad deres ejere mener, de gør, og at menneskelige kolleger gør, hvad de skal gøre. Du skal tage skridt, hvis du har mistanke om, at denne antagelse ikke længere er gyldig. For eksempel, hvis folk fortæller inkonsekvente historier om bestemte processer, eller hvis du selv kan observere processen.

Et interview er typisk dedikeret til en enkelt behandlingsaktivitet (eller et par nært beslægtede aktiviteter). Ofte har du to forskellige kolleger: en der er ansvarlig for aktiviteten og en anden der kender den i alle detaljer. Du ønsker måske at registrere deres navne i felterne 'Ansvarlig person' og 'Kontaktperson' i registrene over behandlingsaktiviteter i PrivacyDocs.

Processejere er ofte ikke i stand til at give dig det billede, du har brug for. For eksempel kan et IT-system betjene mange forskellige processer, og personer involveret i processerne er måske ikke klar over detaljerne om, hvordan dataene føres ind i systemet, gældende sikkerhedsforanstaltninger, opbevaring, information givet til enkeltpersoner osv. Det er også almindeligt, at den juridiske afdeling vedligeholder alle kontrakter, og personer, der ejer en proces i en virksomhed, ikke har en kopi af den.

Register over behandlingsaktiviteter

Målet med interviewene er at udfylde registre over behandlingsaktiviteter og at foreløbigt notere nye aktiviteter, der opdages under interviewene.

En time er ofte ikke nok til det indledende interview, og opfølgninger kan være nødvendige. (Årlige) gennemgange er normalt meget kortere og udvikler sig til hurtige e-mailudvekslinger: 'Er der sket nogen ændringer?'

At dele PrivacyDocs-skærmen med den relevante post med dine kolleger under et interview hjælper dem med at forstå det bedre og blive involveret. Du kan dele den endelige tilstand af posten efter interviewet med interessenterne for at bekræfte og undgå misforståelser.

Kontrakter

At fastlægge det juridiske grundlag for hver aktivitet er en separat opgave, da det ofte ikke er let tilgængeligt under interviewene. Følgende situationer opstår ofte:

• Behandling baseret på kontrakt, såsom en ansættelseskontrakt eller en salgscontract. Som en privatlivsprofessionel skal du finde kontrakten, som den er underskrevet af de registrerede (individer), indsamle alle varianter af kontrakterne og vurdere dem for at sikre, at det, der er aftalt, stemmer overens med det, der er dokumenteret i din overholdelsesdokumentation. Disse kontrakter kan administreres af andre afdelinger, kun eksistere elektronisk eller bestå af forskellige juridiske dokumenter. Referencer til kontrakterne og deres tekster indtastes derefter i PrivacyDocs i de tilsvarende felter.
• Behandling baseret på legitim interesse. Ifølge DBF skal du 'etablere' en legitim interesse ved at udfylde en Vurdering af Legitim Interesse. En ren tro på, at virksomheden har ret til at udføre en bestemt behandlingsaktivitet, er ikke tilstrækkelig til at være i overensstemmelse. PrivacyDocs tilbyder en specialiseret formular, som du kan udfylde. Mens du gør dette, kan du finde ud af, at virksomheden faktisk ikke har en 'legitim' interesse i at udføre behandlingen, eller at behandlingen skal opdateres, eller at de tilknyttede risici skal vurderes og håndteres.
• Behandling baseret på samtykke kræver typisk, at man finder de nøjagtige tekster, som individerne er enige om. Disse tekster leveres ofte af salgs- eller markedsføringssystemer, er ikke ensartede og håndteres ikke rigtig som kontraktlige aftaler. De skal indtastes i de relevante felter i PrivacyDocs.

Opdater politikker

Når en behandlingspost opdateres, kan det være en god idé at gennemgå politikker, meddelelser og kontrakter, hvor de registrerede informeres om eller accepterer behandlingen. En veldefineret politik eller meddelelse ville være tilstrækkeligt omfattende til ikke at kræve regelmæssige opdateringer. Det giver stadig mening at gennemgå dem for at holde sig synkroniseret med resten af dokumentationen om databeskyttelse.

PrivacyDocs understøtter genereringen af disse dokumenter med 'Politik'-knapperne på værktøjslinjen. Efter at have afsluttet din årlige gennemgang kan du regenerere politikkerne og sammenligne dem med sidste års versioner ved hjælp af sammenligningsfunktioner i Microsoft Word eller andre værktøjer. På denne måde sikrer du, at dine politikdokumenter er opdaterede.

Undersøge overtrædelser

Du kan registrere og undersøge brud på personoplysninger, efterhånden som de sker. Normalt bør små lavrisiko brud ske regelmæssigt, og et veludfyldt register over disse brud er det bedste tegn på din overholdelse af kravene til registrering af brud i henhold til DBF (GDPR).

Et brud ville typisk fremhæve en risiko, der skal afbødes eller accepteres.

Identificere og håndtere risici

Risici kan identificeres tre steder:

• Foreløbig risikoklassificering som en del af et register over behandlingsaktiviteter (felt 'Risici')
• Vurdering af databeskyttelsens indvirkning (tabel 'VDP - Vurderinger af databeskyttelsens indvirkning')
• Vurdering af brud under registrering af brud

De fleste risici fører til en forretningsbeslutning, der spænder fra at acceptere risiciene som de er til at ændre de behandlingsaktiviteter, der forårsager risikoen. Du skal dokumentere disse trin, da de udgør en del af overholdelsesdokumentationen. Processen med at reagere på en risiko kan tage tid, især hvis et korrekt svar kræver en væsentlig ændring i behandlingen.

Dokumentere beslutninger

Dokumentation om beslutningstagning er en del af compliance-dokumentationen. Tilsvarende e-mails, chatbeskeder og samtalesammenfatninger skal indsamles og vedhæftes hver risiko. De opbevares bedst i en separat mappe, der er linket fra PrivacyDocs.

Arbejde med overholdelsesgaps

DBF-overholdelse er altid et igangværende arbejde. Der er altid noget, der ikke er færdigt: manglende dokumentationsdele, risici der kræver afbødning, osv. Disse huller og virksomhedens løbende fremskridt med at dække dem bør afspejles i dokumentationen for databeskyttelse.

Vi kan hjælpe dig

Vi kan hjælpe med at gennemføre interviewene og opdage dit kort over behandlingsaktiviteter som en del af PrivacyDocs DBF-rådgivningstjenester.