GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

GDPR – dokumenter

Ulike politikk som virksomhetene kan ha behov for

Det er ulike politikk som virksomhetene kan ha behov for i henhold til GDPR overholdes av selskapet og de ansatte.

Hva er forskjellen mellom praksis og politikk?

Prosedyrer og politikk er ikke det samme. En politikk er mer omfattende og strategisk, og avgjøres ofte av styret eller toppledelsen. En policy beskriver arten og hensikten med å jobbe på en bestemt måte. I motsetning til en prosedyre, som beskriver hvordan den skal gjennomføres i praksis. Det kan fastsettes flere framgangsmåter for å overholde en politikk. En politikk omfatter foretakets mål og strategiske retning samt prinsippene som foretakets ansatte følger for å nå disse målene. En prosedyre er spesifikke instruksjoner om hvordan man skal oppnå det som er angitt i en politikk i praksis. 

What breaches of the GDPR can lead to an administrative fine?

Eksempler på framgangsmåter som kan være nyttige for et foretak å etablere og gjennomføre

  • Sletting av personopplysninger. 
  • Dokumentasjon, etterforskning og rapportering av brudd på personopplysninger.
  • Gi de registrerte rettigheter på forespørsel. 
  • Onboarding og offboarding av personell. 
  • Deling av data internt mellom ansatte eller innenfor gruppen av selskaper.
  • Innhenting og tilbaketrekking av samtykke. 
  • Sosiale medier ledelse og fotografering.

Eksempler på politikk selskaper kan ha behov for å etablere og gjennomføre

Det sikkerhetspolitikk

En IT-sikkerhetspolicy sikrer at selskapet har sterk IT-beskyttelse som er risikobasert og tilpasset dagens trussellandskap. I tillegg klargjør retningslinjene verktøyene og metodene som skal brukes av ansatte for å forhindre brudd på personopplysninger og for å overholde de andre reglene i GDPR. En IT-sikkerhetspolicy kan være hensiktsmessig for de fleste bedrifter å etablere og implementere i sin virksomhet, for å opprettholde en konsistent intern standard for IT-sikkerhet. 

Retningslinjene er et omfattende policydokument om hvordan selskapet arbeider i IT-miljøet på en sikker måte i samsvar med blant annet GDPR. For eksempel databeskyttelsesprinsippene som selskapet bygger på når det gjelder kontroll av tilgang, teknisk beskyttelse, drift, hvordan selskapet skal beskytte personopplysninger både internt og eksternt, etc. I tillegg beskriver en IT-sikkerhetspolicy vanligvis de ulike sikkerhetsnivåene for personopplysninger som behandles. Utgangspunktet er at jo viktigere personopplysninger er, desto høyere er sikkerhetsnivået.

Personvernpolitikk

En personvernpolitikk er et viktig internt styringsdokument og et godt organisatorisk sikkerhetstiltak som skal implementeres. Personvernpolitikk er et internt dokument som beskriver hvordan medarbeiderne vil arbeide i tråd med GDPR. Det er derfor de ansatte som må overholde personvernreglene ved behandling av personopplysninger i sammenheng med utførelsen av deres arbeid. For eksempel inneholder en personvernpolitikk informasjon om de juridiske grunnene som brukes av selskapet ved behandling av personopplysninger. Det bør også beskrive de syv (7) grunnleggende prinsippene i GDPR som gjelder, den interne ansvarsfordelingen, kontaktpersoner, etc. 

Personvernerklæring og personvernpolitikk er ikke det samme

En personvernerklæring er et eksternt informativt dokument adressert til registrerte personer. Den beskriver det juridiske grunnlaget for behandlingen, oppbevaringsperioden, rettighetene til de registrerte, formålet med behandlingen, etc. Formålet med en personvernmelding er å informere de registrerte om behandlingen av deres personopplysninger av selskapet, i samsvar med artikkel 13 GDPR og artikkel 14 GDPR. En personvernerklæring bør offentliggjøres på selskapets nettsted. I stedet er en personvernpolitikk et internt policydokument som gir veiledning til ansatte om hvordan de skal arbeide i samsvar med GDPR. En personvernpolitikk bør derfor ikke offentliggjøres på selskapets nettsted.

Mer informasjon om målingene bedrifter kan trenge å ta

Vurderinger som selskaper kan måtte gjøre i henhold til GDPR

Enheter må kanskje gjøre visse vurderinger før visse behandlinger begynner å bli utført. For eksempel en vurdering av personvernkonsekvenser (DPIA) for å finne ut om behandlingen utgjør en høy risiko for de registrertes rettigheter og friheter. I tillegg kan det være nødvendig for selskaper å be om forhåndskonsultasjon med den nasjonale personvernmyndigheten dersom risikoen fortsatt er høy etter en konsekvensanalyse. En annen type vurdering er en interesseavveining (LIA), for å avgjøre om selskapet har en legitim interesse for en bestemt behandling. 

Lyst til å lære mer?

Les mer
Skroll til toppen