FORANSTALTNINGER — GDPR
Politikken for beskyttelse af privatlivets fred er et internt politikdokument
En politik for beskyttelse af privatlivets fred er et internt forvaltningsdokument, der bl.a. fastlægger den overordnede vision for arbejdet med databeskyttelse for medarbejdere og giver dem en klar ramme, som de kan basere deres arbejde på.
Hvad er en politik til beskyttelse af privatlivets fred?
En privatlivspolitik beskriver, hvordan virksomheden vil arbejde internt i overensstemmelse med GDPR. Den vejleder personalet om, hvordan de skal tænke i deres opgaver i forbindelse med GDPR. Politikken beskriver bl.a., hvilke databeskyttelsesprincipper der gælder, og hvordan virksomheden vil anvende dem, det retsgrundlag, som virksomheden anvender, roller og ansvarsområder osv.
Hvad er forskellen mellem en databeskyttelsespolitik og en meddelelse om databeskyttelse?
Det er almindeligt at sammenblande databeskyttelsespolitik og databeskyttelsesmeddelelse. Disse er ikke de samme. En meddelelse om beskyttelse af privatlivets fred er et eksternt dokument rettet til registrerede og bør offentliggøres på virksomhedens websted.Den bør bl.a. indeholde en beskrivelse af retsgrundlaget for behandlingen, formålet, de registreredes rettigheder, opbevaringsperioden osv. I stedet er en politik for beskyttelse af privatlivets fred et internt dokument for en virksomheds medarbejdere om, hvordan de skal forholde sig til databeskyttelse i deres arbejde.
Hvorfor det kan være nyttigt for virksomheder at have en politik for beskyttelse af privatlivets fred
- Udgør en klar ramme for medarbejdernes behandling af deres personoplysninger i overensstemmelse med GDPR.
- Beskriver de grundlæggende principper i forhold til virksomhedens egne processer.
- Sikrer en god struktur og intern sikkerhed.
Hvilke elementer er nyttige at medtage i en politik for beskyttelse af privatlivets fred?
Principper
Der er syv (7) grundlæggende principper i GDPR, som gennemsyrer hele den lovgivningsmæssige ramme. Beskriv, hvordan virksomheden overholder dem i privatlivspolitikken.
Funktioner og ansvarsområder
Det er nyttigt at præcisere, hvem der skal gøre hvad. Ved at have en klar ansvarsfordeling kan virksomheden forhindre fejl og misforståelser.
Anvendte retsgrundlag
Virksomheder, der er omfattet af GDPR, skal altid have et retsgrundlag for behandling af personoplysninger. Det er nyttigt i politikken for beskyttelse af privatlivets fred at præcisere, hvilke retsgrundlag der anvendes i hvilke situationer.
Opbevaringsperiode og adgangsbegrænsning
Virksomheden indsamler regelmæssigt personoplysningerne, samt når en registreret anmoder herom i overensstemmelse med sine rettigheder. Det er nyttigt at medtage kravene til udtynding, eventuelle undtagelser, de principper, som virksomheden baserer sig på, når den tildeler adgangsrettigheder osv.
Sikkerhedskrav
Det er medarbejderne, der arbejder med GDPR-relaterede foranstaltninger i praksis. Det er derfor vigtigt, at de ved, hvordan de skal handle korrekt, for at overholde de interne instrukser og ikke overtræde GDPR. F.eks. oplysninger om tekniske og organisatoriske sikkerhedsforanstaltninger, der skal træffes.
Håndtering af brud på persondatasikkerheden
Det er vigtigt, at medarbejderne ved, hvordan de skal handle i tilfælde af brud på persondatasikkerheden. F.eks. hvem de skal rapportere til internt, og hvad de gældende frister er. I henhold til GDPR skal visse typer brud på persondatasikkerheden indberettes til den nationale databeskyttelsesmyndighed senest 72 timer efter opdagelsen. Det er derfor vigtigt, at medarbejderne ved, hvordan de skal handle i tilfælde af en hændelse, så de opfylder de retlige krav.
Dokumentation
Virksomheden skal kunne påvise overholdelse af GDPR, og dette betyder bl.a., at der skal udarbejdes passende skriftlig GDPR-dokumentation. Det er derfor nyttigt at præcisere, hvad, hvor og hvordan medarbejderne skal dokumentere.
Deling med tredjeparter
Virksomheder deler normalt personoplysninger med eksterne parter, dvs. en tredjepart. Det er nyttigt at præcisere, hvornår dette kan ske, hvornår parterne skal indgå en skriftlig databehandleraftale, tidspunktet for opfølgning og kontrol osv.
Uddannelse
Medarbejderne har brug for en vis uddannelse i henhold til GDPR for at vide, hvordan de skal udføre deres opgaver i overensstemmelse med de lovgivningsmæssige rammer. Det er derfor nyttigt at medtage uddannelseskrav i en politik til beskyttelse af privatlivets fred, såsom on- og off-boarding, samt specifik mere dybtgående uddannelse af medarbejdere, der behandler vigtige personoplysninger eller behandlingsaktiviteter, der udgør en høj risiko for de registrerede.
Fastlægge procedurer for at give praktiske instrukser om, hvordan medarbejderne skal overholde politikken
En politik er et overordnet internt politikdokument med strategiske mål, mens procedurerne er praktiske instrukser til personalet om, hvordan målene skal nås. Det er derfor ofte hensigtsmæssigt at indføre forskellige procedurer for at hjælpe medarbejderne med at følge politikkens vision.
FLERE OPLYSNINGER
Udarbejdelse af en IT-sikkerhedspolitik
En anden politik, der kan være nyttig for virksomheder at etablere, er en IT-sikkerhedspolitik. Den regulerer, hvordan IT-miljøet kan beskyttes på en omfattende og strategisk måde. F.eks. de principper, som virksomheden baserer sig på i forbindelse med adgangskontrol, ansvarsfordeling, tekniske sikkerhedsforanstaltninger truffet af virksomheden osv. En IT-sikkerhedspolitik er en overordnet ramme, som andre sikkerhedsdokumenter, f.eks. en passorsprocedure, er baseret på.