Information om GDPR
Interna rutiner och instruktioner till medarbetare
Företaget måste enligt principen om ansvarsskyldighet kunna bevisa att det följer GDPR i praktiken. Ett sätt att göra detta på, är genom att skriftligen dokumentera sina interna rutiner och processer. Det är även ett utmärkt sätt att informera sina medarbetare om hur de ska hantera personuppgifter i praktiken. På så sätt kan företaget smidigare säkerställa att medarbetare behandlar personuppgifterna på ett korrekt sätt, enligt de skriftliga rutinerna. Det finns därmed flera fördelar med att ha skriftliga rutiner på plats.
Komplettera interna rutiner med checklistor
Ett komplement till dessa rutiner är att upprätta även smarta checklistor som medarbetarna kan använda i olika situationer. Checklistor kan avse exempelvis viktiga åtgärdspunkter och moment att genomföra vid särskilda situationer. Till exempel en checklista att använda vid insamling av ett samtycke. Eller en checklista att använda vid en inträffad personuppgiftsincident.
Exempel på interna rutiner och skriftliga instruktioner till medarbetare
Nedan sammanställer vi några få exempel på interna rutiner och instruktioner till medarbetare som företag kan implementera och upprätta skriftligen. Observera att det finns många fler interna rutiner än de vi nämner här, beroende på företagets verksamhet och behov.
Interna rutiner för behörighetsstyrning
Det är viktigt att styra medarbetarnas behörigheter och åtkomsträttigheter till system som behandlar personuppgifter. Syftet är att säkerställa att endast de medarbetare som har behov av åtkomst till personuppgifterna har det.
Fördelar med att implementera behörighetsstyrning
Det är en bra organisatoriskt säkerhetsåtgärder att ha korrekt behörighetsstyrning. Det minimerar risken för att obehöriga personer har åtkomst till personuppgifter. Det är även möjligt att tilldela åtkomsträttigheter internt inom bolaget, när behovet för åtkomsten uppstår. Därefter är det bra att styra behörigheten genom att begränsa åtkomsten, när det inte längre är nödvändigt. Företaget bör också implementera tydliga interna rutiner för hur åtkomsträttigheter ska återkallas när en medarbetare slutar arbeta på företaget.
Interna rutiner för hantering av registrerades begäran om utövande av sina rättigheter enligt GDPR
Registrerade har enligt GDPR flera olika rättigheter avseende deras personuppgifter. Bland annat rätt till tillgång till behandlade personuppgifter (registerutdrag), rätten till rättelse av personuppgifter och rätten till radering av personuppgifter. När en registrerad inkommer med en begäran avseende sina rättigheter enligt GDPR till företaget, måste företaget kunna tillgodose dem. Hanteringen av en sådan begäran ska ske inom en månad. I vissa undantagsfall kan tidsfristen förlängas med ytterligare två månader, men då måste den registrerades informeras om detta inom den första månaden.
Svaret till de registrerade måste uppfylla innehållskraven i GDPR
Skriftliga interna rutiner kan underlätta för medarbetarna att hantera registrerades begäranden om sina rättigheter på ett korrekt sätt, i enlighet med reglerna i GDPR. GDPR innehåller tydliga bestämmelser om vad svaret till den registrerade måste innehålla. Det utgör ett brott mot GDPR att inte hantera den registrerades begäran på korrekt sätt och därför är det viktigt att informera de registrerade om hur de ska göra detta på rätt sätt.
Företaget kan skapa svarsmallar som medarbetare kan utgå ifrån
Genom att implementera tydliga skriftliga rutiner, kan medarbetare enklare besvara den registrerades begäran och hantera den korrekt i enlighet med GDPR. Exempelvis kan företaget i de interna rutinerna även inkludera svarsmallar som medarbetarna kan använda. Detta säkerställer en mer enhetlig kommunikation från företagets sida, och vägleder medarbetaren i praktiken. Givetvis behöver medarbetaren justera och anpassa svarsmallar efter varje enskilt fall, men det är betydligt enklare än att formulera ett korrekt svar från grunden.
Interna rutiner för hantering av inträffade personuppgiftsincidenter enligt GDPR
Det är mycket viktigt att företaget hanterar personuppgiftsincidenter på ett snabbt och effektivt sätt. Vissa personuppgiftsincidenter ska dessutom bli anmälda till tillsynsmyndigheten inom 72 timmar från upptäckten. Och i vissa fall behöver företaget även informera de berörda registrerade om det inträffade. Det är därför ytterst viktigt att företaget på förhand har förberett interna rutiner för hur sådana situationer ska hanteras. Tiden är mycket värdefull i dessa situationer, och skriftliga rutiner kan verkligen underlätta alla processer som behöver genomföras vid inträffade personuppgiftsincidenter.
Checklista för smidig översikt av viktiga moment att genomföra
En intern rutin om hantering av personuppgiftsincidenter kan med fördel kompletteras av en smidig checklista. Det underlättar för medarbetarna att snabbt få en översikt över de mest kritiska momenten som måste genomföras, för att företaget ska agera korrekt enligt GDPR.
Informationen om den inträffade incidenten måste flöda internt inom bolaget till relevanta parter, exempelvis styrelsen, samarbetspartners etc. Samtidigt måste den interna utredningen av incidenten påbörjas, och då behöver kanske personer från IT-avdelningen eller personuppgiftsbiträden också involveras i processen.
Dokumentera inträffad personuppgiftsincident i en loggbok
Företaget bör notera alla vidtagna åtgärder noggrant och dokumentera händelseförloppet i en loggbok om personuppgiftsincidenten i fråga. Allt underlag kan komma att användas vid behov i samband med en rättslig process eller liknande och därför är det bra att vara noggrann i detta dokumentationsarbete. Till exempel bör företaget dokumentera när de fick kännedom om personuppgiftsincidenten (datum och tid), beskrivning av händelseförloppet, notering av vidtagna åtgärder efter upptäckten (tidsstämplar och beskrivning) m.m.
Instruktioner kring intern informationsdelning
De interna rutinerna om hantering av personuppgiftsincident bör också innehålla tydlig information om vilka individer inom bolaget som ska kontaktas i ärendet, för att säkerställa att medarbetare som upptäcker incidenten vet vem de ska vända sig till.
Interna rutiner för insamling och registrering av samtycken enligt GDPR
Företag som behandlar personuppgifter baserat på samtycke måste kunna bevisa det inhämtade samtycket och dess giltighet. Därför är det viktigt att företaget ser till att på ett strukturerat och tydligt sätt dokumentera inhämtade samtycken.
I GDPR definieras ett giltigt samtycke från registrerade som en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade godtar behandling av dennes personuppgifter. Godtagandet kan ske antingen genom ett uttalande eller genom en entydig bekräftande handling. GDPR innehåller således strikta regler och krav som behöver vara uppfyllda för att ett samtycke ska anses vara giltigt.
Ett sätt företag kan försöka säkerställa insamling av giltiga samtycken, är att upprätta skriftliga interna rutiner som medarbetarna ska följa vid sådan process. På så sätt kan företaget underlätta för medarbetarna att samla in giltiga samtycken. Den dokumenterade interna rutinen för hantering av samtycken kan också med fördel kompletteras av en smidig checklista som medarbetarna ska följa. Syftet med checklistan bör vara att säkerställa att medarbetarna inte missar något kritiskt steg i processen.
När ett samtycke har blivit inhämtat, ska företaget också dokumentera detta i en loggbok över samtycken. Bland annat med en notering om när samtycket blev insamlat, ändamålet med behandlingen av personuppgifterna och vilken information den registrerade fick vid insamlingen av samtycket. Dokumentationen av det insamlade samtycket kan senare användas av företaget för att bevisa samtycket och styrka lagligheten av personuppgiftsbehandlingen.
More Information about GDPR
Training for employees
It is the employees within the company who work in practice with the daily GDPR tasks, such as answering requests from data subjects to fulfill their rights under the GDPR. Therefore, it is important that employees who work with GDPR-related tasks have the right skills, and the employer should offer them relevant training. In addition, it is good to create written instructions about the personal data processing to make it easier for employees, minimize the risks of errors and make the work more efficient.