Informasjon om GDPR
Interne prosedyrer og instrukser til personalet
Etter ansvarlighetsprinsippet må selskapet kunne bevise at det overholder GDPR i praksis. En måte å gjøre dette på er ved å dokumentere skriftlig sine interne prosedyrer og prosesser. Det er også en utmerket måte å informere sine ansatte om hvordan de skal håndtere personopplysninger i praksis. Dette vil gjøre det enklere for selskapet å sikre at ansatte behandler personopplysninger korrekt, i henhold til de skriftlige prosedyrene. Det er derfor flere fordeler med å ha skriftlige prosedyrer på plass.
Utfylle interne prosedyrer med sjekklister
I tillegg til disse prosedyrene er det også nødvendig å utarbeide smarte sjekklister som kan brukes av ansatte i ulike situasjoner. Sjekklister kan for eksempel forholde seg til viktige handlingspunkter og skritt som skal tas i bestemte situasjoner. For eksempel en sjekkliste som skal brukes ved innsamling av samtykke. Eller en sjekkliste som skal brukes i tilfelle brudd på personopplysninger.
Eksempler på interne prosedyrer og skriftlige instrukser til personalet
Nedenfor oppsummerer vi noen eksempler på interne rutiner og instrukser for ansatte som bedrifter kan implementere og utarbeide skriftlig. Vær oppmerksom på at det er mange flere interne prosedyrer enn vi nevner her, avhengig av selskapets aktiviteter og behov.
Interne prosedyrer for kompetansestyring
Det er viktig å rette personalets kompetanse og tilgangsrettigheter til systemer som behandler personopplysninger. Målet er å sikre at bare de ansatte som trenger tilgang til personopplysningene, har det.
Fordeler ved å gjennomføre kontroll av godkjenninger
Riktig godkjenningsstyring er et godt organisatorisk sikkerhetstiltak. Det minimerer risikoen for at uvedkommende får tilgang til personopplysninger. I tillegg er det også mulig å tildele tilgangsrettigheter internt i selskapet, når behovet for tilgang oppstår. Etter det er det nyttig å kontrollere kompetansen ved å begrense tilgangen, når den ikke lenger er nødvendig. Foretaket bør også innføre klare interne framgangsmåter for tilbakekalling av tilgangsrettigheter når en arbeidstaker forlater foretaket.
Interne prosedyrer for håndtering av de registrertes anmodninger om å utøve sine rettigheter i henhold til GDPR
Under GDPR har de registrerte flere rettigheter i forhold til deres personopplysninger. Disse inkluderer retten til tilgang til behandlede personopplysninger (utdrag fra registeret), retten til korrigering av personopplysninger og retten til sletting av personopplysninger. Når en registrert sender inn en forespørsel om hans eller hennes rettigheter i henhold til GDPR til selskapet, må selskapet kunne tilfredsstille dem. Slike anmodninger skal behandles innen én måned. I visse unntakstilfeller kan fristen forlenges med ytterligere to måneder, og i så fall må den registrerte informeres om dette innen den første måneden.
Svarene til de registrerte må være i samsvar med innholdskravene i GDPR
Skriftlige interne prosedyrer kan hjelpe personalet med å håndtere de registrertes forespørsler om rettighetene sine på en korrekt måte, i tråd med GDPR-reglene. GDPR inneholder klare bestemmelser om innholdet i svaret til den registrerte. Det er et brudd på GDPR å ikke behandle den registrertes forespørsel på riktig måte, og det er derfor viktig å informere den registrerte om hvordan dette gjøres på riktig måte.
Selskapet kan lage svarmaler som ansatte kan bruke som grunnlag
Ved å implementere klare skriftlige prosedyrer kan medarbeiderne lettere svare på den registrertes forespørsel og håndtere den på riktig måte i samsvar med GDPR. Foretaket kan for eksempel også inkludere svar i sin modell for interne framgangsmåter som kan brukes av ansatte. Dette sikrer mer konsistent kommunikasjon av selskapet og veileder den ansatte i praksis. Selvfølgelig må den ansatte justere og tilpasse svarmaler til hvert enkelt tilfelle, men dette er mye enklere enn å formulere et riktig svar fra bakken.
Interne prosedyrer for håndtering av brudd på personopplysninger under GDPR
Det er viktig at selskapet håndterer brudd på personopplysninger på en rettidig og effektiv måte. I tillegg må visse brudd på personopplysninger meldes til tilsynsmyndigheten innen 72 timer etter påvisning. I noen tilfeller må selskapet også informere de berørte registrerte om hendelsen. Det er derfor av største betydning at virksomheten på forhånd har utarbeidet interne rutiner for håndtering av slike situasjoner. Tid er svært verdifull i disse situasjonene, og skriftlige prosedyrer kan virkelig lette enhver prosess som må utføres i tilfelle brudd på personopplysninger.
Sjekkliste for en jevn oversikt over viktige implementeringstrinn
En intern prosedyre for håndtering av brudd på personopplysninger kan med fordel suppleres med en lean sjekkliste. Det gjør det enklere for ansatte å raskt få oversikt over de mest kritiske øyeblikkene som må implementeres, slik at selskapet kan handle riktig under GDPR.
Informere relevante parter i selskapet
Informasjon om hendelsen som skjedde må flyte internt i selskapet til relevante parter, for eksempel styret, partnere, etc. Samtidig må den interne undersøkelsen av hendelsen startes, i så fall kan personer fra IT-avdelingen eller prosessorer også måtte være involvert i prosessen.
Dokumentere forekomsten av brudd på personopplysninger i en loggbok
Selskapet bør føre en detaljert oversikt over alle tiltak som er truffet, og dokumentere hendelsesforløpet i en loggbok over det aktuelle bruddet på personopplysningssikkerheten. Alle underlagsdokumenter kan brukes, om nødvendig, i forbindelse med rettssaker eller lignende, og det er derfor nyttig å være forsiktig i dette dokumentasjonsarbeidet. Foretaket bør for eksempel dokumentere når de ble oppmerksomme på bruddet på personopplysningssikkerheten (dato og klokkeslett), beskrivelse av hendelsesforløpet, oversikt over tiltak som er truffet etter påvisning (tidsstempler og beskrivelse), osv.
Instruksjon om intern informasjonsdeling
De interne framgangsmåtene for håndtering av brudd på personopplysningssikkerheten bør også omfatte klare opplysninger om hvilke personer i selskapet som bør kontaktes i saken, for å sikre at medarbeidere som oppdager bruddet, vet hvem de skal henvende seg til.
Interne prosedyrer for innsamling og registrering av samtykke under GDPR
Bedrifter som behandler personopplysninger basert på samtykke, må kunne bevise samtykket som er innhentet og dets gyldighet. Det er derfor viktig for foretaket å sikre at det innhentede samtykket dokumenteres på en strukturert og tydelig måte.
Krav til samtykke for å anses som gyldig i henhold til GDPR
GDPR definerer et gyldig samtykke fra en registrert som en fritt gitt, spesifikk, informert og utvetydig indikasjon på hans eller hennes ønsker der den registrerte angir hans eller hennes samtykke til behandling av hans eller hennes personopplysninger. Aksept kan være ved en uttalelse eller ved en klar bekreftende handling. GDPR fastsetter derfor strenge regler og krav som må oppfylles for at samtykke skal anses som gyldig.
Prosedyrer og instruksjoner om hvordan du får gyldig samtykke
En måte som selskaper kan søke å sikre innsamling av gyldige samtykker er å etablere skriftlige interne prosedyrer som skal følges av ansatte i en slik prosess. På denne måten kan bedriften gjøre det enklere for de ansatte å innhente gyldige samtykker. Den dokumenterte interne prosedyren for håndtering av samtykke kan også med fordel suppleres med en fleksibel sjekkliste som skal følges av personalet. Hensikten med sjekklisten bør være å sikre at personalet ikke går glipp av et kritisk skritt i prosessen.
Dokumentinnsamlede samtykker
Når samtykke er innhentet, skal selskapet også dokumentere dette i en samtykkedagbok. Inkludert en indikasjon på når samtykke ble samlet inn, formålet med behandlingen av personopplysningene og hvilken informasjon som ble gitt til den registrerte på tidspunktet for innsamling av samtykke; Dokumentasjonen av det innsamlede samtykket kan senere brukes av selskapet til å bevise samtykket og bevise lovligheten av behandlingen av personopplysninger.
Mer informasjon om GDPR
Opplæring av ansatte
I praksis er det de ansatte i selskapet som jobber med de daglige GDPR-spørsmålene, for eksempel å svare på forespørsler fra registrerte om å overholde deres rettigheter under GDPR. Derfor er det viktig at ansatte som arbeider med GDPR-relaterte spørsmål har de rette ferdighetene, og arbeidsgiveren bør gi dem relevant opplæring. I tillegg er det nyttig å lage skriftlige instruksjoner om behandlingen for å gjøre det enklere for ansatte, minimere risikoen for feil og gjøre arbeidet mer effektivt.