Åtgärder - GDPR
Integritetspolicy är ett internt styrdokument
En integritetspolicy är ett internt styrdokument som bland annat beskriver den övergripande visionen vid arbetet med dataskydd för medarbetarna, och ger dem ett tydligt ramverk att utgå ifrån.
Vad är en integritetspolicy?
En integritetspolicy beskriver hur företaget ska arbeta internt i enlighet med GDPR. Det ger vägledning till medarbetarna om hur de ska tänka i sina arbetsuppgifter i förhållande till GDPR. Policyn beskriver bland annat vilka dataskyddsprinciper som gäller och hur företaget ska tillämpa dem, de rättsliga grunderna som företaget använder, roller och ansvar m.m.
Vad är skillnaden mellan en integritetspolicy och ett integritetsmeddelande?
Det är vanligt att blanda ihop integritetspolicy och integritetsmeddelande. Dessa är inte samma sak. Enkelt förklarat är ett integritetsmeddelande ett externt dokument som riktar sig till registrerade och bör vara publicerat på företagets webbplats.Det bör innehålla bland annat en beskrivning den rättsliga grunden för behandlingen, ändamålet, registrerades rättigheter, lagringstid m.m. En integritetspolicy är istället ett internt dokument för medarbetarna på ett företag, som handlar om hur de ska förhålla sig till dataskydd i sitt arbete.
Varför det kan vara bra för företag att ha en integritetspolicy
- Ger ett tydligt ramverk för medarbetarna gällande hur de ska behandla personuppgifter i enlighet med GDPR.
- Beskriver de grundläggande principerna i förhållande till företagets egna processer.
- Skapar en god struktur och intern säkerhet.
Vilka delar är bra att ha med i en integritetspolicy?
Principer
Det finns sju (7) grundläggande principer i GDPR som genomsyrar hela regelverket. Beskriv hur företaget följer dem i integritetspolicyn.
Roller och ansvar
Det är bra att tydliggöra vem som ska göra vad. Genom att ha tydliga ansvarslinjer, kan företaget förebygga misstag och missförstånd.
Rättsliga grunder som används
Företag som omfattas av GDPR måste alltid ha en rättslig grund för att få behandla personuppgifter. Det är bra att tydliggöra i integritetspolicyn vilka rättsliga grunder som används i vilka situationer.
Lagringstid och åtkomstbegränsning
Företaget ska gallra personuppgifterna regelbundet, samt när en registrerad begär det i enlighet med sina rättigheter. Det är bra att inkludera kraven för gallring, eventuella undantag, vilka principer företaget utgår från vid åtkomstbehörigheter m.m.
Säkerhetskrav
Det är medarbetarna som arbetar med GDPR-relaterade åtgärder i praktiken. Därför är det viktigt att de vet hur de ska agera korrekt, för att följa de interna instruktionerna och inte bryta mot GDPR. Till exempel information om tekniska och organisatoriska säkerhetsåtgärder de ska vidta.
Hantering av personuppgiftsincidenter
Det är viktigt att medarbetarna känner till hur de ska agera vid eventuella personuppgiftsincidenter. Exempelvis vem de ska rapportera till internt och vilka de gällande tidsfristerna är. Enligt GDPR måste vissa typer av personuppgiftsincidenter bli rapporterade till den nationella dataskyddsmyndigheten inom 72 timmar från och med upptäckten. Därför är det viktigt att medarbetarna vet hur de ska agera vid en incident, så att de uppfyller lagkraven.
Dokumentation
Företaget måste kunna visa att det följer GDPR och detta innebär bland annat att lämplig skriftlig GDPR-dokumentation behöver upprättas. Därför är det bra att tydliggöra vad, vart och hur medarbetarna ska dokumentera.
Delning till tredje part
Företag brukar dela personuppgifter med externa parter, alltså en tredje part. Det är bra att precisera när det får ske, när parterna behöver ingå ett skriftligt personuppgiftsbiträdesavtal, tidpunkter för uppföljning och kontroller m.m.
Utbildning
Medarbetarna behöver viss utbildning inom GDPR för att veta hur de ska sköta sina arbetsuppgifter i enlighet med regelverket. Det är därför bra att inkludera krav på utbildningar i en integritetspolicy, såsom i samband med on- och off boarding samt särskilda mer djupgående utbildningar för medarbetarna som behandlar viktiga personuppgifter eller behandlingar som utgör en hög risk för de registrerade.
Upprätta rutiner för att ge praktiska instruktioner för hur medarbetarna ska uppfylla det som står i policyn
En policy är ett övergripande internt styrdokument med strategiska mål, medan rutiner är praktiska instruktioner för medarbetarna om hur de ska göra för att uppnå målen. Därför är det ofta lämpligt att upprätta olika rutiner för att hjälpa medarbetarna följa visionen i policyn.
Mer info
Upprätta en IT-säkerhetspolicy
En annan policy som kan vara bra för företag att upprätta är en IT-säkerhetspolicy. Där regleras hur IT-miljön ska skyddas på ett övergripande och strategiskt sätt. Till exempel vilka principer företaget utgår från vid åtkomstkontroll, ansvarsfördelning, tekniska säkerhetsåtgärder som företaget vidtar m.m. En IT-säkerhetspolicy är ett övergripande ramverk som andra säkerhetsdokument, såsom en lösenorsrutin, bygger på.