Beskrive, dokumentere og igangsette GDPR arbeidet
Hvem har ansvar? Hva må du gjøre ? Hvilke dokumenter ?
Det første skrittet er å finne ut hvem det er som skal ha ansvar for GDPR i firmaet.
Ledelsen har ansvar for at arbeidet blir gjort, men det betyr ikke at det er sjefen som må gjøre det.
Det er ikke nødvendigvis dataansvarlig sin oppgave heller- GDPR handler om informasjon, ikke bare databaser, kundesystemer og nettsider. Så selv om de dataansvarlige kanskje har en bedre forståelse for disse systemer, kan det være at andre i bedriften, for eksempel de som jobber med administrasjon, som har en bedre oversikt over personopplysninger og det er det som er viktig for GDPR. Det kan også være en fordel å ha flere som er involvert, selv om det er bare en som er GDPR ansvarlig. På den måten får GDPR teamet en bedre oversikt over bruk av personopplysninger i hele bedriften.
Gjennom vårt abbonement på 950 kr pr år så får du alle maler, skjemaer og nødvendig logg og avviksystem på en nettside som du enkelt kan oppdatere. Vi kan også hjelpe til med å fylle ut gjennom vanlig konsulenttimer.
Oppstartsmøte
Nå skal dere gjennomføre deres første GDPR møte. I dette møtet kan du dokumentere hvem som har ansvar for GDPR og planlegge 3 møter til i løpet av året. Dette er starten på ditt internkontrollsystem. Disse møtene skal handle om kartlegging, planlegging og oppfølging. Du vil se på startside.net at vi har en side som skal hjelpe til med hvert av disse møtene.
Nå er du i gang med GDPR og ditt internkontrollsystem. Det er viktig at dere, hele tiden, dokumentere arbeidet du gjøre med GDPR. På dette møtet kan dere dokumentere hvem har ansvar og eventuelt hvilke ansvar og alle oppgaver som dere har gjort frem til nå.
Møtet skal nå gå videre mot å forme en behandlingsprotokoll som omfatter alle opplysninger du skal lagre, både kategorier og selve datatypen.
Vi kan hjelpe deg å lage en slik, eventuelt at du bruker den som datatilsynet har https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/, eventuelt at du ser på Sandtro sine: https://sandtro.no/2023/11/07/behandlingsoversikt-protokoll-etter-gdpr-artikkel-30/
Hvis du er en kunde og har vårt internkontrollsystem så kan du skrive dette opp på logg siden din.
Når du skriver inn her få du en kode som beviser hva du har gjort og når du gjorde det. Dette kan være veldig bra å vise fram til datatilsynet hvis du eventuelt får kontroll.
Kunder hos Omsorgsverket kan også gå inn på GDPR siden og finne internkontrollsystem siden hvor du kan skrive datoene til de neste tre møtene. Igjen, det å ha tydelig dokumentasjon om prosessen deres kan være en fordel når det gjelder datatilsynet.
GRATULERER, du har nå gjort del 1
Start nå med del 2 hvor du skal fullfører behandlingsprotokollen ved å Kartlegge og vurdere
Sett av tid til GDPR arbeidet
Noen spørsmål dere kan starte med å finne ut av:
1: Hvilke personer i ditt firma har ansvar for GDPR ?
2: Hvilke personer bør være med på et oppstartsmøte? Hvilke funksjoner har de i bedriften. Hvilken hjelp er nødvendig ?
3: Hvor mange møter må man ha totalt vært år om GDPR ? Hvordan gjør dere dette praktisk ?