GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

GDPR - dokument

Olika policys som företag kan behöva 

Det finns olika policys som företag kan behöva för att säkerställa att reglerna i GDPR efterlevs av verksamheten och medarbetarna. 

Vad är skillnaden mellan en rutin och policy?

En rutin och policy är inte samma sak. En policy är mer övergripande och strategisk samt något som ofta beslutas av styrelsen eller den högsta ledningen. En policy beskriver vad som gäller och syftet med att arbeta på ett visst sätt. Till skillnad från en rutin, som beskriver hur det ska genomföras i praktiken. Det kan upprättas flera olika rutiner, för att efterleva det som står i en policy. En policy inkluderar företagets mål och strategiska riktning samt vilka principer företagets medarbetare arbetar utefter för att uppnå målen. En rutin är specifika instruktioner på hur det som står i en policy ska uppnås i praktiken. 

What breaches of the GDPR can lead to an administrative fine?

Exempel på rutiner som kan vara bra för ett företag att upprätta och implementera

  • Gallring av personuppgifter. 
  • Dokumentation, utredning och rapportering av personuppgiftsincidenter.
  • Tillgodose registrerades rättigheter vid begäran. 
  • Onboarding och offboarding av personal. 
  • Delning av data internt mellan medarbetare eller inom bolagskoncernen. 
  • Inhämtning och återkallelse av samtycke. 
  • Hantering av sociala medier och fotografering. 

Exempel på policys som företag kan behöva upprätta och implementera

IT-säkerhetspolicy

En IT-säkerhetspolicy säkerställer att företaget har ett starkt IT-skydd som är riskbaserat och anpassat efter den aktuella hotbilden. Dessutom tydliggör policyn vilka verktyg och metoder som medarbetarna ska använda för att förebygga personuppgiftsincidenter och följa övriga regler i GDPR. En IT-säkerhetspolicy kan vara lämplig för de flesta företag att upprätta och implementera i verksamheten, för att hålla en enhetlig intern standard kring IT-säkerhet. 

Policyn utgör ett övergripande styrdokument om hur företaget arbetar i IT-miljön på ett säkert sätt i enlighet med bland annat GDPR. Exempelvis vilka dataskyddsprinciper som företaget utgår från vid åtkomstkontroll, tekniska skydd, driften, hur företaget ska skydda personuppgifter både internt och externt m.m. Dessutom brukar en IT-säkerhetspolicy beskriva de olika säkerhetsnivåerna på personuppgifter som behandlas. Utgångspunkten är att ju viktigare personuppgifter, desto högre säkerhetsnivå krävs.

Integritetspolicy

En integritetspolicy utgör ett viktigt internt styrdokument och är en bra organisatorisk säkerhetsåtgärd att vidta. Integritetspolicyn är ett internt dokument, som beskriver hur medarbetarna ska arbeta i enlighet med GDPR. Det är således medarbetarna som ska följa integritetspolicyn vid sin behandling av personuppgifter inom ramen för arbetets utförande. Till exempel inkluderar en integritetspolicy information om vilka rättsliga grunder som används av företaget vid behandling av personuppgifter. Det bör även beskriva de sju (7) grundläggande principerna i GDPR som gäller, den interna ansvarsfördelningen, kontaktpersoner m.m. 

Integritetspolicy och integritetsmeddelande är inte samma sak

Ett integritetsmeddelande är ett externt informativt dokument som riktar sig till de registrerade. Där beskriver företaget den rättsliga grunden för behandlingen, lagringstiden, de registrerades rättigheter, ändamålet med behandlingen m.m. Syftet med ett integritetsmeddelande är att informera de registrerade om företagets behandling av deras personuppgifter, i enlighet med artikel 13 i GDPR och artikel 14 i GDPR. Ett integritetsmeddelande bör vara publicerat offentligt på företagets webbplats. En integritetspolicy är istället ett internt styrdokument som ger vägledning till medarbetarna avseende hur de ska arbeta i enlighet med GDPR. En integritetspolicy ska därför inte vara publicerad offentligt på företagets webbplats.

Mer info om åtgärder som företag kan behöva vidta

Bedömningar som företag kan behöva göra enligt GDPR

Företag kan behöva göra vissa bedömningar innan vissa behandlingar börjar att bli utförda. Till exempel en konsekvensbedömning av dataskydd (DPIA), för att ta reda på om behandlingen innebär en hög risk för de registrerades fri- och rättigheter. Dessutom kan företag behöva begära ett förhandssamråd med den nationella dataskyddsmyndigheten, om risken fortfarande är hög efter utförd konsekvensbedömning. En annan typ av bedömning är en intresseavvägning (LIA), för att avgöra huruvida företaget har ett berättigat intresse för en viss behandling. 

Vill du lära dig mer?

Klicka här
Rulla till toppen