Siden 25. maj har Databeskyttelsesforordningen (GDPR) stillet krav til, hvordan virksomheder håndterer persondata. GDPR finder anvendelse på al elektronisk behandling af personoplysninger, og den gælder for alle brancher – også advokatbranchen.
Alle de oplysninger, der kan henføres til en person – også hvis det kræver en kode eller lignende – er personoplysninger. Reglerne finder således anvendelse på såvel ansatte som på bipersoner. Hvis implementeringen ikke er helt i mål, får du her Advokatsamfundets ti vigtigste råd til, hvad der skal til for at leve op til reglerne om databeskyttelse.
1 Dataflow
Få styr på jeres data – hvilke data behandles og om hvem.
Det er vigtigt, at I kun indsamler de data, der er nødvendige for jeres formål (artikel 5) .
2 Behandlingsgrundlag
I skal finde ud af, på hvilket grundlag I behandler oplysningerne. Med hvilken hjemmel i databeskyttelsesforordningen eller anden lovgivning behandler I oplysninger (artikel 6-10 og databeskyttelseslovens §§ 6-14).
3 Adgang til data
Det er vigtigt at finde ud af, hvem der skal have adgang til hvilke data og sørge for, at kun disse personer har adgang til data (artikel 5, stk. 1, f).
4 Sletning af data
I skal sætte retningslinjer for, hvornår forskellige data skal slettes.
Slettede data skal rent faktisk slettes og ikke bare flyttes til et andet drev eller til et sted, hvor kun enkelte har adgang. I skal f.eks. sørge for, at ”slettet post” i Outlook bliver slettet (artikel 5, stk. 1, e).
5 Databehandleraftale
Hvis der er andre, der behandler oplysninger på jeres vegne – det kan eksempelvis være det firma, hvor I har jeres serverkapacitet, eller det firma, der hoster jeres hjemmeside – skal I indgå en databehandleraftale med dem, der sætter grænserne for jeres samarbejde (artikel 28). I kan finde mere om dette på Datatilsynets hjemmeside.
6 Brud på persondatasikkerheden
I skal have en oversigt over alle jeres brud på persondatasikkerheden, og nogle gange skal brud på persondatasikkerheden rapporteres til Datatilsynet og/eller til den, oplysningerne vedrører. Et brud på persondatasikkerheden kan blandt andet være, at der er nogle, der får adgang til data, der ikke skulle have dette, eller at data bliver sendt til en forkert modtager (artikel 33 og 34).
7 Rettigheder
I skal kunne håndtere anmodninger om indsigt, sletning m.v. (artikel 12-22).
8 Fortegnelse
I skal have en fortegnelse over, hvilke behandlinger I foretager (artikel 30).
9 Tredjelandsoverførsel
Hvis I overfører oplysninger til et land uden for EU, skal der være et særligt grundlag for dette (artikel 44-49).
10 Sikkerhed
I skal sørge for, at I har den nødvendige sikkerhed, så data ikke går tabt eller kommer til uvedkommendes kendskab. Niveauet af sikkerheden afhænger af risikoen ved behandlingen (artikel 32).