SKRIFTLIGE PROCEDURER
Procedurer for intern dataudveksling
Det er almindeligt, at ansatte deler personoplysninger med hinanden i forbindelse med deres arbejde. Det er derfor nyttigt at fastlægge procedurer for intern dataudveksling.
Fælles med fejl i den interne udveksling af data blandt personalet
Mange interne dataudvekslinger mellem medarbejdere i en virksomhed finder sted hurtigt eller under tidspres. F.eks. når en medarbejder sender en e-mail eller SMS til en anden medarbejder. Det er derfor ikke usædvanligt, at der opstår fejl. For at forhindre fejl og brud på datasikkerheden er det nyttigt at have procedurer, der er klare og lette at følge.
Mundtlig udveksling af data internt
Det er vigtigt ikke at glemme, at data kan deles mundtligt og kan blive hørt af en person uden tilladelse. Det er derfor hensigtsmæssigt at regulere de procedurer, hvor sådanne opkald kan foretages. Det er f.eks. ikke tilladt i det offentlige rum i frokostpausen i en restaurant. Hvis oplysningerne vedrører følsomme personoplysninger, er det særlig vigtigt at regulere, hvordan de kan deles, og det kan være nødvendigt kun at drøfte dem på private arbejdspladser på arbejdspladsen.
Procedurer er en god måde at påvise overholdelse af princippet om ansvarlighed på
I henhold til GDPR skal virksomheder kunne påvise overholdelse af GDPR, hvilket bl.a. betyder, at virksomheder skal være i besiddelse af visse dokumenter og kontrakter. Med andre ord ligger bevisbyrden hos virksomheden for at påvise, at den overholder GDPR i praksis, ikke hos de registrerede eller tilsynsmyndighederne, som skal påvise, at virksomheden overtræder GDPR. Skriftlige procedurer kan således være nyttige til at skabe en klar struktur, minimere fejl og være i stand til at påvise overholdelse af GDPR.
I de fleste tilfælde behøver ikke alle i virksomheden at have adgang til alle personoplysninger
Det er vigtigt at huske på, at det, blot fordi en virksomhed behandler personoplysninger, ikke er alle i virksomheden, der skal have adgang til dem. Jo vigtigere personoplysningerne er, desto vigtigere er det at begrænse kompetencen. Udgangspunktet er, at kun medarbejdere, der har brug for adgang til personoplysningerne for at kunne udføre deres opgaver, har adgang. En finansiel forvalter kan f.eks. være nødt til at behandle personoplysninger om alle medarbejdere, selv følsomme personoplysninger såsom oplysninger om sygeorlov. Det er derimod ikke nødvendigt, at andre ansatte har adgang til disse oplysninger.
Eksempler på brud på persondatasikkerheden ved intern dataudveksling
En e-mail med personoplysninger sendes til den forkerte kollega, som ikke har tilladelse til at behandle den.
Personoplysninger kan deles med visse medarbejdere "af sikkerhedsmæssige årsager".
En medarbejder, der arbejder med følsomme personoplysninger i et åbent kontorlandskab, har ikke en automatisk screenshotlås installeret på arbejdscomputeren og forlader arbejdspladsen for at genopfylde en kop kaffe. I mellemtiden forbliver følsomme personoplysninger på computerskærmen synlige for andre uautoriserede forbipasserende medarbejdere.
Eksempler på, hvad interne datadelingsordninger bør omfatte
Kategorier af personoplysninger
Procedurerne bør omfatte, hvilke typer personoplysninger der behandles af virksomheden, og hvilke der kræver ekstra beskyttelse, såsom særlige kategorier af personoplysninger eller andre typer personoplysninger, der er følsomme over for privatlivets fred.
Behov for deling
Medtage analysen af behovet for deling af personoplysninger i proceduren. Hvis en medarbejder ikke har brug for personoplysningerne for at udføre sine opgaver, bør vedkommende som hovedregel ikke have adgang til dem.
Kommunikationskanaler
Der er flere kommunikationskanaler, som ansatte normalt bruger dagligt. F.eks. SMS og e-mail. Procedurerne for intern datadeling bør præcisere de kanaler, der skal anvendes af de ansatte. Hvis der er tale om følsomme personoplysninger, er det vigtigt, at kommunikationskanalen opfylder sikkerhedskravene i GDPR.
Kontrol af kompetence
Det er nyttigt at medtage modtagerne af hvilke personoplysninger i procedurerne, så medarbejderne ved, hvem de kan dele hvad med. Vær også opmærksom på, at personoplysninger aldrig deles med henblik på forebyggelse.
Angiv, hvilke behandlinger der kræver dokumentation
Nogle behandlingsaktiviteter er nyttige at dokumentere, navnlig hvis behandlingen vedrører følsomme personoplysninger. Det er nyttigt at præcisere, hvilken datadeling der skal gennemføres, og hvorfor.
Regulere mundtlig deling
Mange glemmer, at personoplysninger kan deles mundtligt af en virksomheds ansatte. Det er vigtigt, at dette sker på steder, hvor uautoriserede personer ikke hører, hvad der deles. Desuden er det godt at regulere, at ansatte ikke må tale om visse ting uden for arbejdspladsen, f.eks. i en restaurant under frokosten.
Hjemmearbejde/telearbejde
Når ansatte i en virksomhed telearbejder, sker der ofte flere overførsler af personoplysninger, og risikoen for uautoriseret eksponering er højere. Især hvis arbejdet udføres på offentlige steder. Procedurerne bør omfatte, hvordan medarbejderne skal arbejde på afstand.
Hændelsesstyring
Proceduren bør også omfatte, hvad medarbejderne skal gøre, hvis de opdager et brud på persondatasikkerheden. F.eks. hvem man skal kontakte, og hvordan man dokumenterer hændelsen.
FLERE OPLYSNINGER
Procedurer for indhentning og tilbagetrækning af samtykke
Hvis virksomheder anvender samtykke som retsgrundlag for en given behandlingsaktivitet, er det vigtigt at kunne påvise, at samtykket er gyldigt og korrekt indhentet. Dette betyder bl.a., at samtykke skal gives aktivt og frivilligt. Desuden bør det være lige så let for den registrerede at trække sit samtykke tilbage som at give det. Det er derfor nyttigt at indføre procedurer for at sikre dette.