DataMapper - opdater datapolitikker i din virksomhed (skabelon)
Hvordan påvirker DataMapper mine processer og procedurer?
DataMapper er en del af en større persondataindsats, og derfor påvirker DataMapper andre ting, som I skal huske at opdatere og være opmærksom på. Vi har forsøgt at samle en lille tjekliste, hvor vi kommer med anbefalinger, herunder hvad I skal opdatere i jeres procedurer og politikker. Vores lister er ikke udtømmende, og I er også nødt til at gennemgå jeres egne procedurer og politikker for at være på den sikre side.
DataMapper behandler persondata
Vi starter med forholdet mellem jer og DataMapper. Da DataMapper (af gode grunde) behandler persondata, som et led i faktisk at finde persondata, bliver DataMapper databehandler på den persondata, hvor I er dataansvarlig. (Se længere nede om forskellen mellem dataansvarlige og databehandler) Derfor skal vi have en databehandleraftale på plads. Det er allerede en del af vores standardvilkår, og da I begyndte at bruge vores platform, DataMapper, accepterede I den aftale. I kan altid finde den på DataMapper terms of use.
Jeres procedurer og politikker
Når I er påbegyndt at bruge vores værktøj, DataMapper, er det vigtigt, at I også opdaterer jeres procedurer og politikker vedrørende persondataindsatsen. Uanset hvilken opsætning, I har på plads, vil brugen af DataMapper udløse et behov for at beskrive hvilke formål og aktiviteter i behandlingen af persondata, DataMapper berører. Men bare rolig – dette er en god ting, for I bruger netop DataMapper til at få styr på persondata.
Vi har forsøgt at inddele nedenstående i nogle forskellige typer af dokumenter, som man som virksomhed, der behandler persondata, skal have på plads. De vil variere i betegnelse fra virksomhed til virksomhed, så vi har forsøgt at markere dem med flere kaldenavne, så vi dækker så bredt som muligt. Vi kommer også med forslag til formuleringer, men husk at tilpasse dem til jeres ”eget” sprog i dokumenterne, så det hele hænger sammen.
1. Persondatapolitik (Data Protection Policy)
I denne politik skal I beskrive, hvad I gør for at sikre jeres behandling af persondata. Da DataMapper er et centralt element i denne indsats, bør I beskrive brugen under et relevant punkt.
Vi anbefaler I indsætter følgende ordlyd:
De enkelte behandlingsaktiviteter kan enten behandles i persondatapolitikken eller i separate fortegnelser over behandling af persondata. Vi har i vores templatepakke lagt op til, at de er separate, og derfor kan I læse mere under punkt 2 straks nedenfor.
2. Fortegnelser over behandling af persondata (Internal Processing Procedure)
Fortegnelserne, er det sted, hvor I forklarer hvilke aktiviteter, I har, og hvor I behandler persondata internt i virksomheden. Det er dette, som Datatilsynet refererer til som ”fortegnelseskravet”. Som eksempel herpå kan nævnes behandlingen af jobansøgninger og CV’er. Hvad gør I med en jobansøgning, der kommer på en e-mail, og hvem har adgang til denne? Hvornår bliver de slettet, og har I et HR-system, hvor disse oplysninger håndteres? I kan med fordel nævne alle jeres aktiviteter i en indledende liste, hvorefter I, i detaljer, beskriver hver aktivitet.
Her skal DataMapper naturligvis også nævnes, da I bruger værktøjet til at finde, strukturere og slette jeres persondata. I vores template finder I et konkret eksempel på, hvordan det kan udfyldes.
Følgende informationer skal som minimum beskrives ud fra hver aktivitet* (her er det behandlingen af CV’er og jobansøgninger):
3. Privatlivspolitik (Privacy Policy)
I modsætning til jeres interne fortegnelser, er dette jeres politik udadtil. Dvs. de aktiviteter I har, hvor I behandler persondata om eksempelvis kunder, og hvor I beskriver på hvilke retlige grundlag, I udfører disse aktiviteter. Ofte er denne tilgængelig på virksomheders hjemmeside, men dette er ikke et krav. Eneste krav er, at den er tilgængelig for dem, som I behandler persondata på.
Et eksempel herpå kunne være nyhedsbreve, oprettelse af profiler på hjemmesiden og andre services I tilbyder. I vores template findes en boks, med nogle overskrifter (se nedenfor). I skal udfylde disse bokse med information om, hvilke services I udfører, hvilke data I behandler og på hvilket retligt grundlag disse data behandles.
Denne øvelse skal altså udføres på samtlige af jeres services og aktiviteter, herunder en beskrivelse om brugen af DataMapper, som netop er en af jeres services. DataMapper skal nævnes som et værktøj I bruger, til at hjælpe jer med, at overholde persondataforordningen. Et eksempel på denne hjælp er, hvis en kunde anmoder om indsigt (indsigtsbegæring) i vedkommendes persondata I har lagret om ham/hende.
Beskrivelsen bør se ud som følger:
Udover at nævne DataMapper som en af jeres services, skal DataMapper også nævnes som en underdatabehandler. Alle de underdatabehandlere I bruger til at levere jeres services skal nævnes i en liste og beskrives nøje i jeres privatlivspolitik. F.eks. jeres e-mailleverandør, brug af hosting osv.
De skal beskrives som følgende:
4. Procedure for indsigtsbegæringer (Access Request Procedure)
I denne procedure beskriver I, hvordan I håndterer indsigtsbegæringer fra kunder, medarbejdere eller andre personer.
Hvem har ansvaret for at svare inden fristens udløb (30 dage), I hvilken form skal en begæring modtages og hvilke krav I stiller til disse? DataMapper kan bruges til at finde data om en person i forbindelse med en indsigtsbegæring, og derfor skal I også beskrive, at I anvender værktøjet til netop dette formål. ”Vi benytter softwareprogrammet DataMapper til at hjælpe os med at finde og identificere dokumenter med personfølsom information. DataMapper scanner vores dokumenter, og fortæller os præcis, hvor et givent dokument ligger og hvis der er kopier af denne. På den måde sikrer vi, at vi kan give et datasubjekt et fuldstændigt overblik over hvilke data vi har om vedkommende, hvem der har adgang til det og hvor det ligger.”
5. Databehandleraftaler (Data Processing Agreements)
NB: dette er kun relevant, hvis I optræder som databehandler overfor andre. Hvis du er i tvivl, så har Datatilsynet skrevet en fin artikel om det her.
Den vigtigste forskel på en dataansvarlig og en databehandler er selve instrukselementet. En databehandler vil i sin rolle altid handle efter instruks fra den dataansvarlige. Se et eksempel fra datatilsynet her:
Hvis I, ligesom i ovenstående eksempel agerer databehandler, skal DataMapper således indskrives i databehandleraftalen som en godkendt underdatabehandler, da I benytter DataMapper til at holde styr på den data, I har fået instruks om at behandle.
Godkendte underdatabehandlere
Safe Online ApS
CVR: 38589962
Nørrebrogade 47, 1.
2200 Copenhagen N, Denmark
Copenhagen, Denmark
Beskrivelse: Software vi benytter til at finde og strukturere dokumenter, der indeholder persondata.
Behandlingssteder:
Amsterdam, Holland – (Azure server placering).
Datasubjekter:
Personer der findes i udvekslet dokumentation modtaget fra kunden, kontrakter, andet materiale og informationer, som er delt i forbindelse med aftaleindgåelsen og samarbejdet generelt.
Typer af data
Dataindholdet kan være, men begrænser sig ikke til; Navn, efternavn, jobtitel, antal ansatte, e-mail, telefonnummer, personlige arbejdsområder, virksomhedsoplysninger inklusive driftsland, oprindelse og filialer. (listen er ikke udtømmende)