Skriftlige Prosedyrer
Prosedyrer for tynning av personopplysninger
Det er viktig at selskapene har skriftlige prosedyrer på plass for tynning av personopplysninger, for å sikre at tynning skjer på en riktig og nøyaktig måte.
Hva er sletting av personopplysninger?
Sletting av personopplysninger innebærer sletting av personopplysninger av selskaper. Alternativt kan de anonymiseres. Det grunnleggende databeskyttelsesprinsippet om lagringsbegrensning betyr at personopplysninger ikke må behandles lenger enn nødvendig. Dette er grunnlaget for at selskaper må kaste bort personopplysninger, når de ikke lenger er nødvendige for å behandle.
Bedrifter bør ha ulike skriftlige prosedyrer
Det er viktig for bedrifter å kunne vise at de overholder GDPR i praksis, da det er et krav i GDPR i henhold til ansvarlighetsprinsippet i artikkel 5 (2) GDPR. For eksempel må bedrifter ha visse skriftlige GDPR-relaterte kontrakter og dokumenter. Prosedyrer kan være en effektiv måte å sikre at selskapets ansatte overholder GDPR-reglene i praksis. Prosedyrene bør inneholde svar på disse fire spørsmålene:
- Hva: Hva de ansatte bør gjøre.
- Når: Når medarbeiderne skal utføre den.
- Hvordan: Hvordan ansatte skal utføre det.
- Hvem: Hvem i selskapet skal gjøre hva?
De eksakte prosedyrene som selskapene trenger eller kan være hensiktsmessige, varierer
De eksakte prosedyrene som kan være nyttige for bedrifter varierer fra sak til sak. Jo flere ansatte og avdelinger selskapet har, jo flere prosedyrer har det en tendens til å være hensiktsmessig å sette opp. Eksempler på andre framgangsmåter som kan være hensiktsmessige for et foretak å ha på plass, er framgangsmåter for
- Tilfredsstillende rettigheter registreres på forespørsel.
- Onboarding og offboarding av ansatte.
- Deling av data internt mellom ansatte.
- Innhenting og tilbaketrekking av samtykke.
- Sosiale medier ledelse og fotografering.
Slette personopplysninger når det ikke lenger er behov for dem
Selskaper skal slette personopplysninger når selskapet ikke lenger trenger dem til det formålet de ble samlet inn for. Vær imidlertid oppmerksom på at det kan være lover som krever ytterligere vurdering. I noen tilfeller må selskaper fortsette å behandle personopplysninger på grunn av en juridisk forpliktelse som selskapet er underlagt. Med andre ord, fordi behandlingen fremstår som et krav i en lov. For eksempel må bedrifter behandle fakturaer og kvitteringer i et visst antall år i henhold til nasjonal regnskapslovgivning.
Virksomhetene må blant annet:
Slette personopplysninger når de ikke lenger er nødvendige for formålet, med mindre det foreligger en juridisk forpliktelse som krever videre behandling.
Være i stand til å demonstrere når og hvordan sletting av personopplysninger finner sted. Det er derfor nyttig å ha skriftlige prosedyrer for tynning og alltid logg utført tynning.
Tynning av behandlede personopplysninger kan redusere mulige konsekvenser ved brudd på personopplysningssikkerheten
Jo færre personopplysninger et selskap behandler, desto lavere er risikoen for mulige konsekvenser av et brudd på personopplysningssikkerheten.
Hva kan en prosedyre for tynning av personopplysninger inneholde?
Identifisere personopplysninger
Det er viktig å først identifisere hvor alle personopplysninger som behandles befinner seg, og deretter kunne fjerne dem fra lagringsstedene. For eksempel hvilke systemer, databaser, digitale mapper og lignende som inneholder personopplysninger.
Frister
Personopplysninger bør slettes regelmessig, og det er derfor nyttig å spesifisere konkrete frister i prosedyrene. For eksempel ”siste fredag i hvert kvartal”. Vær oppmerksom på at hvis en registrert ber om sletting av hans eller hennes personopplysninger som behandles av selskapet, skal slettingen skje så snart som mulig.
Rollefordeling
Det er viktig å spesifisere hvem som skal samle inn hvilke personopplysninger fra hvilke systemer. Hvis det er uklart, er det en økt risiko for at tynning ikke vil finne sted. For eksempel bør en bestemt ansatt være ansvarlig for å samle inn personopplysninger fra det finansielle systemet, selskapets generelle e-postadresse for ekstern kommunikasjon, etc.
Hvordan utryddingen skal utføres
Tynning betyr ikke nødvendigvis at selskapet sletter personopplysningene. I noen tilfeller kan virksomheten anonymisere dem i stedet. Personopplysninger som anonymiseres, er ikke lenger omfattende i henhold til GDPR. Det er nyttig at prosedyrene avklarer hvordan slaktingen skal gjøres riktig og trygt.
Dokumentasjon
Fortynning av personopplysninger bør dokumenteres, slik at selskapet i praksis kan dokumentere samsvar med GDPR. For eksempel i en tynningsprotokoll eller en tynningsloggbok.
Mer informasjon
Prosedyrer for å overholde rettighetene til den registrerte
Datasubjekter har en rekke rettigheter under GDPR som bedrifter må kunne håndheve. For å sikre at dette gjøres riktig, for eksempel innen de fastsatte frister, er det nyttig å ha skriftlige prosedyrer. I tillegg er det viktig at de rette personene har tilgang til prosedyrene. For eksempel mottar kundeservicepersonalet vanligvis spørsmål om sletting eller korrigering av personopplysninger av de registrerte, og det er derfor nyttig for dem å ha prosedyrer på plass.