Målinger – GDPR
Personvernpolitikk for personvern er et internt styrings dokument
En personvernpolitikk er et internt styringsdokument som blant annet angir den overordnede visjonen for arbeidet med databeskyttelse for ansatte og gir dem et klart rammeverk for å basere sitt arbeid på.
Hva er en personvernpolitikk?
En personvernpolitikk beskriver hvordan selskapet vil arbeide internt i tråd med GDPR. Det gir veiledning til ansatte om hvordan de skal tenke i sine oppgaver i forhold til GDPR. Retningslinjene beskriver blant annet hvilke databeskyttelsesprinsipper som gjelder og hvordan selskapet vil anvende dem, det juridiske grunnlaget som brukes av selskapet, roller og ansvar, etc.
Hva er forskjellen mellom en personvernpolitikk og en personvernerklæring?
Det er vanlig å forveksle personvernpolitikk og personvernerklæring. De er ikke like. Enkelt forklart er en personvernerklæring et eksternt dokument adressert til registrerte og bør publiseres på selskapets nettsted.Den bør blant annet inneholde en beskrivelse av det rettslige grunnlaget for behandlingen, formålet med behandlingen, de registrertes rettigheter, oppbevaringsperioden osv.
Hvorfor det kan være nyttig for selskaper å ha en personvernpolitikk
- Gir et klart rammeverk for ansatte til å behandle sine personopplysninger i samsvar med GDPR.
- Beskriver de grunnleggende prinsippene i forhold til selskapets egne prosesser.
- Gir en god struktur og intern sikkerhet.
Hvilke elementer er nyttige å inkludere i en personvernpolitikk?
Prinsipper
Det er syv (7) grunnleggende prinsipper i GDPR som gjennomsyrer hele regelverket. Beskriv hvordan selskapet overholder dem i personvernreglene.
Roller og ansvar
Det er nyttig å avklare hvem som skal gjøre hva. Ved å ha klare ansvarslinjer kan selskapet forhindre feil og misforståelser.
Juridisk grunnlag som brukes
Selskaper som omfattes av GDPR må alltid ha et rettslig grunnlag for å behandle personopplysninger. Det er nyttig å avklare i personvernerklæringen hvilke rettslige grunnlag som brukes i hvilke situasjoner.
Oppbevaringsperiode og tilgangsbegrensning
Selskapet skal samle inn personopplysningene regelmessig, samt når en registrert ber om det i samsvar med hans eller hennes rettigheter. Det er nyttig å inkludere kravene til tynning, mulige unntak, prinsippene som selskapet bygger på ved tildeling av tilgangsrettigheter, etc.
Sikkerhetskrav
Det er medarbeiderne som i praksis arbeider med GDPR-relaterte tiltak. Derfor er det viktig at de vet hvordan de skal handle riktig, for å overholde de interne instruksjonene og ikke bryte GDPR. For eksempel informasjon om tekniske og organisatoriske sikkerhetsforanstaltninger som skal tas.
Håndtering av brudd på personopplysningssikkerheten
Det er viktig at ansatte vet hvordan de skal handle i tilfelle brudd på personopplysningssikkerheten. For eksempel hvem de skal rapportere til internt og hva gjeldende tidsfrister er. I henhold til GDPR må visse typer brudd på personopplysninger rapporteres til den nasjonale databeskyttelsesmyndigheten innen 72 timer etter påvisning. Derfor er det viktig at ansatte vet hvordan de skal handle i tilfelle en hendelse, slik at de overholder de juridiske kravene.
Dokumentasjon
Selskapet må kunne demonstrere samsvar med GDPR, og dette betyr blant annet at det må etableres passende skriftlig GDPR-dokumentasjon. Det er derfor nyttig å avklare hva, hvor og hvordan ansatte skal dokumentere.
Deling med tredjeparter
Bedrifter deler vanligvis personopplysninger med eksterne parter, dvs. en tredjepart. Det er nyttig å spesifisere når dette kan gjøres, når partene må inngå en skriftlig databehandleravtale, tidspunkt for oppfølging og kontroll mv.
Utdannelse
Ansatte trenger litt opplæring under GDPR for å vite hvordan de skal utføre sine oppgaver i samsvar med regelverket. Det er derfor nyttig å inkludere opplæringskrav i en personvernpolitikk, for eksempel on- og off-boarding, samt spesifikk mer grundig opplæring for ansatte som behandler viktige personopplysninger eller behandlingsoperasjoner som utgjør en høy risiko for de registrerte.
Etablere prosedyrer for å gi praktiske instruksjoner om hvordan medarbeiderne skal overholde retningslinjene
En politikk er et overordnet internt politikkdokument med strategiske mål, mens prosedyrer er praktiske instruksjoner for ansatte om hvordan målene skal nås. Det er derfor ofte hensiktsmessig å etablere ulike prosedyrer for å hjelpe ansatte til å følge visjonen om politikken.
Mer informasjon
Etablere en IT-sikkerhetspolitikk
En annen politikk som kan være nyttig for bedrifter å sette opp er en IT-sikkerhetspolitikk. Den regulerer hvordan IT-miljøet skal beskyttes på en helhetlig og strategisk måte. For eksempel prinsippene som foretaket bygger på når det gjelder adgangskontroll, ansvarsfordeling, tekniske sikkerhetstiltak som foretaket har truffet osv.