Ogólne rozporządzenie o ochronie danych (GDPR), znane w Danii jako „databeskyttelsesforordningen”, to nie tylko zestaw reguł, ale ciągły obowiązek dbania o prywatność danych klientów i pracowników. Duński organ nadzorczy, Datatilsynet, może w każdej chwili zapukać do drzwi Twojej firmy z audytem. Oto checklista, która pomoże Ci się do niego przygotować.
Wprowadzenie GDPR w 2018 roku zrewolucjonizowało podejście do danych osobowych. Dla wielu firm był to jednorazowy projekt wdrożeniowy. To jednak błąd. Zgodność z GDPR to proces, który wymaga stałego monitorowania, aktualizacji i gotowości do wykazania, że Twoja firma przetwarza dane w sposób legalny, uczciwy i przejrzysty. Audyt może być wynikiem skargi, incydentu bezpieczeństwa lub losowej kontroli sektorowej.
Checklista zgodności: kluczowe obszary audytu GDPR
Kontrola z Datatilsynet będzie koncentrować się na kilku fundamentalnych filarach GDPR. Upewnij się, że masz porządek w każdym z poniższych obszarów. W AJ Økonomi Og Regnskab, choć nie jesteśmy prawnikami, pomagamy naszym klientom zrozumieć ryzyka biznesowe związane z nieprzestrzeganiem przepisów.
1. Mapowanie i rejestr czynności przetwarzania
To absolutna podstawa. Musisz wiedzieć i potrafić udokumentować:
-
Jakie dane osobowe przetwarzasz? (np. imiona, adresy, numery CPR, dane o zdrowiu)
-
W jakim celu to robisz? (np. realizacja umowy, marketing, rekrutacja)
-
Na jakiej podstawie prawnej? (zgoda, umowa, obowiązek prawny, uzasadniony interes)
-
Gdzie przechowujesz dane i kto ma do nich dostęp?
-
Jak długo je przechowujesz (retencja)?
Wszystkie te informacje powinny być zebrane w dokumencie zwanym „rejestrem czynności przetwarzania” (fortegnelse over behandlingsaktiviteter).
2. Dokumentacja i polityki
Audytor poprosi o wgląd do Twojej dokumentacji. Musisz mieć przygotowane m.in.: politykę prywatności (dla klientów i pracowników), politykę bezpieczeństwa informacji, procedury obsługi praw osób, których dane dotyczą, oraz umowy powierzenia przetwarzania danych (databehandleraftaler) ze wszystkimi podwykonawcami (np. firmą księgową, dostawcą hostingu, systemem do newsletterów).
3. Bezpieczeństwo techniczne i organizacyjne
Musisz wykazać, że wdrożyłeś odpowiednie środki do ochrony danych przed nieautoryzowanym dostępem, utratą czy zniszczeniem. Przykłady to: szyfrowanie dysków, silne hasła i uwierzytelnianie dwuskładnikowe, regularne backupy, kontrola dostępu (nadawanie uprawnień tylko w niezbędnym zakresie), aktualne oprogramowanie antywirusowe. Na portalu podatkiwdanii.dk znajdziesz artykuły o bezpiecznych praktykach w biznesie.
4. Obsługa praw i procedura na wypadek naruszeń
Musisz mieć sprawną procedurę reagowania na żądania osób fizycznych (np. prośbę o dostęp do swoich danych lub ich usunięcie). Równie ważna jest procedura na wypadek naruszenia ochrony danych (wycieku). Musisz wiedzieć, jak ocenić ryzyko, kogo poinformować i co najważniejsze – zgłosić naruszenie do Datatilsynet w ciągu 72 godzin od jego stwierdzenia, jeśli stwarza ono ryzyko naruszenia praw lub wolności osób fizycznych.
Przygotowanie firmy do audytu GDPR to nie tylko unikanie gigantycznych kar finansowych (do 4% rocznego światowego obrotu). To przede wszystkim budowanie zaufania klientów i partnerów biznesowych. Pokazuje, że traktujesz ich prywatność poważnie. Jeśli czujesz, że samodzielne wdrożenie i utrzymanie zgodności z GDPR jest przytłaczające, warto zainwestować w pomoc zewnętrznych specjalistów ds. ochrony danych. Zespół AJ Økonomi Og Regnskab może również wskazać, które procesy w firmie generują największe ryzyka związane z danymi i wymagają szczególnej uwagi.
