KRAV til dokumentation

Særligt over de seneste 2-3 år har vi flere gange behandlet emnet om uddannelse af medarbejdere, der arbejder med personoplysninger.

Det har både været i form af konkrete uddannelsestilbud, men også anbefalinger og værktøjer til planer, den praktiske gennemførelse og videopræsentationer.

En ting vi ikke specifikt har fremhævet, er kravet til 

• at kunne dokumentere hvilke medarbejdere, der har taget GDPR-uddannelse og at denne gentages hvert 2. år. 
• at hvis medarbejdere undtages for GDPR-uddannelse, skal begrundelsen herfor kunne dokumenteres skriftligt.

Vi kan berette, at der i øjeblikket er et øget fokus på dokumentationen for at medarbejdere er uddannet.

Der er eksempler på, at personer har misbrugt den adgang til personoplysninger, som de pågældende havde i kraft af deres ansættelse, men hvor personerne efterfølgende ikke kan stilles til ansvar, netop fordi det ikke kan påvises, at de har modtaget undervisning, og/eller at der er opstillet regler for, hvordan personoplysninger må behandles.

Derfor skal vi på det kraftigste anbefale:

• At alle medarbejdere gennemfører relevant GDPR-uddannelse svarer til medarbejderens ansvar og opgaver i forhold til behandling af personoplysninger.
• At medarbejderne er opdaterede på gældende regler for håndteringen af personoplysninger (institutionens retningslinjer).
• At der foreligger en skriftlig uddannelsesplan for, indholdet af GDPR-uddannelse pr. medarbejdergruppe og hvordan GDPR-uddannelsen sikres gennemført. 
• At uddannelsen sker ved ansættelsesstart og ved ændring af stilling, ansvar eller opgaver.
• At medarbejdere gennemfører GDPR-uddannelse minimum hvert andet år.
• At det kan dokumenteres at medarbejdere har gennemført GDPR-uddannelser og hvornår.

Kig nærmere på vores nyheder fra 24.07.24 og 06.06.24, der kan hjælpe med det praktiske