Skriftliga rutiner
Rutiner för delning av data internt
Det är vanligt att medarbetare delar personuppgifter mellan varandra inom arbetet. Därför är det bra att upprätta rutiner för delning av data internt.
Vanligt med misstag vid delning av data internt mellan medarbetarna
Många interna datadelningar mellan medarbetare inom ett företag sker snabbt eller under tidspress. Exempelvis när en medarbetare skickar ett mejl eller sms till en annan medarbetare. Därför är det inte ovanligt att misstag sker. För att förebygga misstag och personuppgiftsincidenter, är det bra att ha rutiner som är tydliga och enkla att följa.
Muntlig delning av data internt
Det är viktigt att inte glömma att data kan delas muntligt och kan råka höras av någon obehörig. Därför är det bra att reglera i rutinerna vart sådana samtal får föras. Exempelvis att det inte är tillåtet i offentliga miljöer under lunchrasten på en restaurang. Om datan avser känsliga personuppgifter är det extra viktigt att reglera hur det får delas, och det kan vara nödvändigt att det enbart får diskuteras inom privata arbetsrum på arbetsplatsen.
Rutiner är ett bra sätt att visa efterlevnaden av principen om ansvarsskyldighet
GDPR kräver att företag kan visa att de följer GDPR, vilket bland annat innebär att företag ska inneha vissa dokument och avtal. Med andra ord ligger bevisbördan på företaget att kunna visa att de följer GDPR i praktiken, inte registrerade eller tillsynsmyndighet som behöver visa att företaget bryter mot förordningen. Skriftliga rutiner kan därmed vara bra att ha för att skapa en tydlig struktur, minimera misstag och kunna visa efterlevnad av GDPR.
Alla på företaget behöver oftast inte få åtkomst till alla personuppgifter
Det är viktigt att tänka på att bara för att ett företag behandlar personuppgifter, behöver inte alla på företaget ha åtkomst till dem. Ju viktigare personuppgifterna är, desto viktigare är det att begränsa behörigheten. Utgångspunkten ska vara att enbart medarbetare som behöver åtkomst till personuppgifterna för att fullgöra sina arbetsuppgifter, ska få åtkomst. Exempelvis kan en ekonomichef behöva behandla personuppgifter om alla medarbetare, till och med känsliga personuppgifter såsom information om sjukfrånvaro. Däremot är det inte nödvändigt för övriga medarbetare att ha tillgång till den informationen.
Exempel på personuppgiftsincidenter vid delning av data internt
Ett e-postmeddelande som innehåller personuppgifter skickas till fel kollega, som inte har behörighet att behandla dem.
Vissa medarbetare får ta del av personuppgifter “för säkerhets skull”.
En medarbetare som arbetar med känsliga personuppgifter i ett öppet kontorslandskap har inget automatiskt skärmlås installerat på arbetsdatorn, och lämnar sin arbetsplats för att fylla på en kopp kaffe. Under tiden, förblir känsliga personuppgifter på datorskärmen synliga för övriga, obehöriga, förbipasserande medarbetare.
Exempel på vad rutiner för delning av data internt bör innehålla
Kategorier av personuppgifter
Rutinerna bör inkludera vilka typer av personuppgifter som företaget behandlar och vilka som kräver extra skydd, såsom särskilda kategorier personuppgifter eller andra typer av integritetskänsliga personuppgifter.
Delningsbehovet
Inkludera analysen om delningsbehovet av personuppgifterna i rutinen. Huvudregeln bör vara att om en medarbetare inte behöver personuppgifterna för att utföra sina arbetsuppgifter, bör denne inte ha åtkomst till dem.
Kommunikationskanaler
Det finns flera olika kommunikationskanaler som medarbetare brukar använda dagligen. Exempelvis sms och e-post. Rutinerna för delning av data internt bör specificera vilka kanaler medarbetarna ska använda. Om det avser känsliga personuppgifter, är det viktigt att kommunikationskanalen uppfyller säkerhetskraven enligt GDPR.
Behörighetsstyrning
Det är bra att inkludera vem som får ta del av vilka personuppgifter i rutinerna, så att medarbetarna ska veta vem de får dela vad med. Tänk också på att aldrig dela personuppgifter i förebyggande syfte.
Specificera vilka behandlingar som kräver dokumentation
Vissa behandlingar är bra att dokumentera, speciellt om behandlingen avser känsliga personuppgifter. Det är bra att specificera vilka datadelningar som behöver genomföras och varför.
Reglera muntlig delning
Många glömmer bort att personuppgifter kan delas muntligen av medarbetare på ett företag. Det är viktigt att det sker på platser där obehöriga inte hör det som delas. Dessutom är det bra att reglera att medarbetarna inte får prata om vissa saker utanför arbetsplatsen, såsom på en restaurang under lunchen.
Hemarbete/distansarbete
När medarbetarna på ett företag arbetar på distans, sker det ofta fler överföringar av personuppgifter och risken för obehörig exponering är större. Speciellt om arbetet sker på offentliga platser. Rutinerna bör inkludera hur medarbetarna ska arbeta på distans.
Hantering av incidenter
Rutinen bör även inkludera vad medarbetarna ska göra om de upptäcker en personuppgiftsincident. Till exempel vem denne ska kontakta och hur dokumentationen av incidenten ska ske.
Mer info
Rutiner för inhämtning och återkallelse av samtycke
Om företag använder samtycke som rättslig grund för en viss behandling, är det viktigt att kunna visa att samtycket är giltigt och inhämtat på ett korrekt sätt. Det innebär bland annat att samtycket ska vara aktivt givet och frivilligt lämnat. Dessutom ska det vara lika enkelt för den registrerade att återkalla sitt samtycke, som att ge det. Därför är det bra att införa rutiner för att kunna säkerställa detta.