GDPR Scanner - Få et digitalt kontrolværktøj til GDPR compliance

Processer og politikker er gode til at dokumentere praksis, men hvordan sikrer I, at de også efterleves i praksis?

Med GDPR Scanner får dine medarbejdere indsigt i, hvor der ligger dokumenter, som indeholder personoplysninger. Dette gør det lettere for dem at håndtere personoplysningerne efter virksomhedens gældende retningslinjer. GDPR Scanner indeholder desuden et dashboard, der giver din virksomhed et konsolideret overblik, der kan anvendes som kontrolværktøj.

Har din virksomhed defineret frister for, hvornår I skal slette dokumenter med personoplysninger? Og er fristerne implementeret i praksis? Vi ved erfaringsmæssigt at sletning af personoplysninger udgør en helt særlig udfordring.

PwC’s GDPR Scanner hjælper med at finde data, som medarbejderne efterfølgende kan identificere og afgøre, om virksomhedens slettefrister efterleves i praksis.

Da persondataforordningen (GDPR) trådte i kraft tilbage i 2018 skabte den store udfordringer og bekymringer for mange virksomheder, som blev pålagt at være compliant med forordningen. Der blev brugt mandeår på at opstille processer og procedurer. Men vi tror på, at for rigtigt at kunne monitorere GDPR compliance, så skal man have en datadrevet tilgang og løbende monitorere de oplysninger, som virksomhedens medarbejdere rent faktisk behandler til dagligt.

Vi tror på, at hvis virksomheder i praksis skal kunne leve op til GDPR, så er der behov for den rette balance mellem centralisering og decentralisering. Virksomheden bør have et samlet og centralt overblik over persondata på tværs af systemer, e-mails og medarbejdernes computere. Men der er også behov for, at den enkelte medarbejder bliver hjulpet med de rette værktøjer til selv at tage stilling til de dokumenter, der ligger ude på medarbejderens computer.

Virksomheder sikrer kontinuérlig overholdelse af GDPR ved hele tiden at fastholde fokus på behandling af personoplysninger. GDPR Scanner understøtter, at der løbende kan følges op på GDPR compliance med den frekvens, der passer til den enkelte virksomhed - fx årligt, kvartalsvist, månedligt eller i løbende, når medarbejderen kan finde tid til det i en travl hverdag!

Det er ultimativt ejeren af virksomheden (den dataansvarlige), der er overordnet ansvarlig for, at virksomheden lever op til GDPR. Det gælder dog for private virksomheder, der som deres kerneaktivitet behandler følsomme oplysninger eller foretager regelmæssig og systematisk overvågning af personer i stort omfang, er forpligtede til at udpege en “Data Protection Officer” (Databeskyttelsesrådgiver). Denne har til opgave at rådgive den dataansvarlige om de databeskyttelsesretlige regler, for på bedste vis at understøtte en god databeskyttelse hos den dataansvarlige. Den dataansvarlige skal tage højde for databeskyttelsesrådgiverens opfattelse af en given situation, men det er den dataansvarlige, der har ansvaret for at sikre, at reglerne overholdes. Det er således også den dataansvarlige, der i sidste ende beslutter, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Ligeledes er det den dataansvarlige, som sanktioneres, såfremt reglerne ikke overholdes - også selvom dette skyldes manglende eller ukorrekt rådgivning fra databeskyttelsesrådgiverens side.

Datatilsynet i Danmark definerer en personoplysning som: “Enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.” 

Personoplysninger inddeles i:

• Almindelige personoplysninger - ikke-følsomme personoplysninger (fx navn og adresse)
  
• Særlige kategorier af personoplysninger - følsomme personoplysninger (fx oplysninger om helbred, religion eller fagforeningsmæssige tilhørsforhold)
  

Datatilsynet definerer desuden nogle oplysninger som særlige fortrolige personoplysninger, der ikke er følsomme men stadigvæk er særskilt reguleret i databeskyttelsesloven. CPR-nummer er fx en sådan fortrolig oplysning.

GDPR gælder alle organisationer verden over, der behandler persondata om borgere fra Den Europæiske Union (EU). I praksis vil det sige, at stort set alle organisationer og virksomheder, der har kunder, medarbejdere eller medlemmer inden for EU er underlagt GDPR.