Skriftlige Prosedyrer
Prosedyrer for deling av data internt
Det er vanlig at ansatte deler personopplysninger seg imellom i løpet av arbeidet. Det er derfor nyttig å etablere prosedyrer for deling av data internt.
Vanlig med feil ved deling av data internt blant ansatte
Mange interne datadeling mellom ansatte i et selskap skjer raskt eller under tidspress. For eksempel når en ansatt sender en e-post eller SMS til en annen ansatt. Det er derfor ikke uvanlig at feil oppstår. For å forhindre feil og datainnbrudd, er det nyttig å ha prosedyrer som er klare og enkle å følge.
Muntlig deling av data internt
Det er viktig å ikke glemme at data kan deles muntlig og kan tilfeldigvis bli hørt av noen uten autorisasjon. Det er derfor nyttig å regulere i prosedyrene der slike samtaler kan gjøres. Det er for eksempel ikke tillatt å oppholde seg på offentlige steder i lunsjpausen på en restaurant. Dersom opplysningene gjelder sensitive personopplysninger, er det særlig viktig å regulere hvordan de kan deles, og det kan være nødvendig at de bare diskuteres på private arbeidsplasser på arbeidsplassen.
Prosedyrer er en god måte å demonstrere overholdelse av prinsippet om ansvarlighet
GDPR krever at selskaper skal kunne demonstrere overholdelse av GDPR, noe som blant annet betyr at selskaper må ha visse dokumenter og kontrakter. Bevisbyrden ligger med andre ord hos selskapet for å demonstrere at de overholder GDPR i praksis, ikke hos registrerte eller tilsynsmyndigheter som trenger å demonstrere at selskapet bryter med GDPR. Skriftlige prosedyrer kan dermed være nyttige for å skape en klar struktur, minimere feil og kunne demonstrere overholdelse av GDPR.
I de fleste tilfeller trenger ikke alle i selskapet å ha tilgang til alle personopplysninger
Det er viktig å huske på at bare fordi et selskap behandler personopplysninger, trenger ikke alle i selskapet å ha tilgang til det. Jo viktigere personopplysningene er, desto viktigere er det å begrense kompetansen. Utgangspunktet skal være at bare medarbeidere som trenger tilgang til personopplysningene for å kunne utføre sine oppgaver, skal ha tilgang. For eksempel kan en økonomisjef må behandle personopplysninger om alle ansatte, selv sensitive personopplysninger som informasjon om sykefravær. På den annen side er det ikke nødvendig for andre ansatte å ha tilgang til denne informasjonen.
Eksempler på brudd på personopplysninger ved deling av data internt
En e-post som inneholder personopplysninger sendes til feil kollega, som ikke er autorisert til å behandle den.
Personopplysninger kan deles med enkelte ansatte «av sikkerhetsmessige årsaker».
En ansatt som arbeider med sensitive personopplysninger i et åpent kontorlandskap, har ikke en automatisk skjermdumplås installert på arbeidsdatamaskinen, og forlater arbeidsplassen for å fylle på en kopp kaffe. I mellomtiden forblir sensitive personopplysninger på dataskjermen synlige for andre uautoriserte forbipasserende ansatte.
Eksempler på hva interne datadelingsordninger bør inneholde
Kategorier av personopplysninger
Framgangsmåtene bør omfatte hvilke typer personopplysninger som behandles av selskapet, og som krever ekstra vern, for eksempel særlige kategorier av personopplysninger eller andre typer personvernsensitive personopplysninger.
Behov for å dele
Inkludere analysen om delingsbehovet for personopplysningene i prosedyren. Som en generell regel, hvis en ansatt ikke trenger personopplysningene for å utføre sine oppgaver, bør han eller hun ikke ha tilgang til dem.
Kommunikasjonskanaler
Det er flere kommunikasjonskanaler som ansatte vanligvis bruker på daglig basis. For eksempel SMS og e-post. Framgangsmåtene for å dele data internt bør angi hvilke kanaler som skal brukes av de ansatte. Hvis det gjelder sensitive personopplysninger, er det viktig at kommunikasjonskanalen overholder sikkerhetskravene i GDPR.
Kontroll av kompetanse
Det er nyttig å inkludere mottakerne av hvilke personopplysninger i prosedyrene, slik at ansatte vet hvem de kan dele hva med. Vær også oppmerksom på at personopplysninger aldri deles for forebyggende formål.
Angi hvilke behandlinger som krever dokumentasjon
Noen behandlingsoperasjoner er nyttige å dokumentere, spesielt hvis behandlingen gjelder sensitive personopplysninger. Det er nyttig å spesifisere hvilke datadeling som må implementeres og hvorfor.
Regulerer muntlig deling
Mange glemmer at personopplysninger kan deles muntlig av ansatte i et selskap. Det er viktig at dette skjer på steder der uvedkommende ikke hører hva som deles. I tillegg er det godt å regulere at ansatte ikke har lov til å snakke om visse ting utenfor arbeidsplassen, for eksempel i en restaurant under lunsj.
Arbeide hjemmefra / telearbeid
Når ansatte i et selskap jobber eksternt, er det ofte flere overføringer av personopplysninger og risikoen for uautorisert eksponering er høyere. Spesielt hvis arbeidet gjøres på offentlige steder. Prosedyrene bør omfatte hvordan medarbeiderne skal arbeide eksternt.
Håndtering av hendelser
Prosedyren bør også omfatte hva medarbeiderne bør gjøre dersom de oppdager et brudd på personopplysningssikkerheten. For eksempel, hvem du skal kontakte og hvordan du dokumenterer hendelsen.
Mer informasjon
Prosedyrer for innhenting og tilbaketrekking av samtykke
Hvis selskaper bruker samtykke som rettslig grunnlag for en gitt behandlingsoperasjon, er det viktig å kunne dokumentere at samtykket er gyldig og korrekt innhentet. Dette innebærer blant annet at samtykke skal gis aktivt og fritt. I tillegg bør det være like enkelt for den registrerte å trekke tilbake samtykket som å gi det. Det er derfor nyttig å få på plass prosedyrer for å sikre dette.