GDPR - Dataskyddsförordningen

Registerförteckning

Alla organisationer ska dokumentera sina personuppgiftsbehandlingar, detta görs i en registerförteckning, även kallad behandlingsregister eller Artikel 30 register.

- Genom att upprätta en registerförteckning över organisationens alla behandlingar av personuppgifter får ni en helhetsbild över alla de personuppgifter ni ansvarar för. 

- Denna del är därför en av de grundläggande dokumenten i er organisation och något som ska göras först.

- Registerförteckningen innehåller bland annat: information om alla era behandlingar, dess ändamål, laglig grund och när uppgifterna tas bort.

- Förteckningen skall kunna uppvisas på begäran av tillsyndsmyndigheten.

- Att ha dokumenterade lagliga grunder för att få behandla personuppgifter är det mest grundläggande i att följa GDPR efter som den gör era behandlingar lagliga. 

Rutiner

Det ska finnas rutiner för hur företaget tillmötesgår de registrerades rättigheter

- Enligt GDPR ska man ha processer, information och rutiner för att hantera de registrerades rättigheter. 

Till exempel:

- Rätten att bli glömd

- Rätt att få information

- Rätt att korrekta uppgifter behandlas

Utbildning

Organisationen ansvar för att förmedla kunskap till sina anställda om hur de skyddar personuppgifter från att kränkas, t.ex. ska de veta hur de skyddar er IT-miljö från personuppgiftsincidenter och cybersäkerhetshot. 

- Enligt GDPR ska organisationer utbilda sina anställda så att de har den kunskap de behöver för att organisationen ska kunna uppfylla krav i GDPR samt att hantera personuppgifter på ett säkert sätt. 

- De anställa ska också ha grundläggande kunskap om hur de unviker att själva bli en del av ett antagonistiskt angrepp (virus, phising-mail, m.m). 

- Detta uppfylls genom utbildning och en intern IT/informationssäkerhetspolicy som hjälper anställda att inte begå onödiga misstag som gör att säkerheten äventyras. 

Kontinuerligt skydd

Organisationer är skyldiga att skapa förutsättningar och upprätthålla en medvetenhet hos anställda hur man hanterar information på ett säkert sätt och inte utsätter skalskyddet för sårbarheter. 

- Ledningen är ytterst ansvarig för att förordningen efterlevs och att personuppgifter hanteras på ett säkert sätt.

- Med en IT-säkerhetspolicy som visar vilka IT-säkerhetsåtgärder organisationen har vidtagit uppfylls kravet på att ha vidtagit "adekvata tekniska skyddsåtgärder", och det bör varje organisation ha.

Exempel:

- två faktor autenticiering

- Krypterad data

- Behörighetsstyrning

- Antivirus

- Brandvägg

- EDR (End Point Detection)

- Privacy by Design/by Default

Kontinuerlig förmåga - 3

Nya behandlingar ska registreras i registerförteckningen och förses med en rättslig grund, ändamål och när uppgifterna kan raderas.

- Genom att dokumentera detta i en integritetspolicy för kunder och i er  registerförtecking för era interna behandlingar uppfyller ni kravet på dokumentation, laglighet, kunskap och öppenhet.

Integritetspolicy

Omständigheterna kring er behandling av kunders/anställdas personuppgifter ska dokumenteras i integritetspolicies 

- Med en integritetspolicy tillgänglig på er webbplats/internwebb uppfyller ni kravet på transparens gentemot kunder och anställda.

- Integritetspolicyn innehåller information om er som personuppgiftsansvarig, vilka personuppgifter ni behandlar, att/hur de skyddas, hur länge de lagras, hur man kommer i kontakt med er som personuppgiftsansvarig och vilka rättigheter  den registrerade har. 

Skyldighet att föra dokumentation

Principen om Ansvarsskydlighet innebär att organisationer ska kunna visa dokument som visar hur ni följer Dataskyddsförordningen.

- Det finns olika typer av dokument, de relevanta för att uppnå kravet består av normerande dokument så som Policy, Riktlinjer och Rutiner. 

- Principerna kommer du till genom att klicka här.

- Principerna kan appliceras på flera olika delar av organisationen och hur respektive avdelning/enhet arbetar

kan skilja sig åt.

- En övergripande riktlinje kan vara bra att bryta ned till avdelnings- eller enhetsspecifika instruktioner. 

Personuppgiftsincidenter

Personuppgiftsincidenter ska alltid dokumenteras och i vissa fall rapporteras till Integritetskyddsmyndigheten (IMY)

- Anställda ska förses med den den kunskap som behövs för att kunna förhindra och upptäcka en personuppgiftsincident.

- Utbildning och rutiner ska finnas för hur de ska agera när en sådan upptäcks.

- En personuppgiftsincident ska alltid dokumenteras och i vissa fall rapporteras till tillsynsmyndigheten.

- Rutiner för att hantera detta är bra att ha på plats eftersom man bara har 72h på sig. 

Riskmedvetenhet

Organisationer är skyldiga att ha kunskap om alla personuppgifter de behandlar. Dessa ska kartläggas, analyseras och dokumenteras med beaktande av dess känslighet och behandlingens risk att kränka de registrerades rätt till integritet. 

- Genom att ha kunskap om detta kan man avgöra vilket skyddsvärde som personuppgifterna har, och om behandlingen innebär särskild risk som gör att ni behöver vidta specifika åtgärder.

- Detta kan dokumenteras i en del av  Registerförteckning

Den registrerades rätt till information

De registrerade har rätt till information om hur ni behandlar deras personuppgifter, innan ni gör det. Informationen ska ges på ett tydligt och lättförståeligt sätt.

- GDPR ställer krav på de registrerade ska få att information om sina rättigheter samt att informationen ska vara tydlig och lättillgänglig.

- Ett lämligt dokument är detta är en Integritetspolicy på er hemsida.

PuB-avtal

Det ska finnas PuB-avtal med leverantörer som säkerställer att de följer GDPR och att de hanterar personuppgifter enligt era instruktioner.

- Upprättar ni juridiska avtal med era leverantörer (personuppgiftsbiträden) villkorar ni att uppgifterna står under adekvat skydd även när de lämnar er organisation.

- Observera att ni måste bedöma om leverantören om leverantörens skyddsåtgärder är adekvata för de personuppgifter de behandlar.

- Det är mycket viktigt att instruktionerna till biträdet avspelgar era policies och registerförteckningen. 

Kontinuerlig förmåga

Efterlevnad av GDPR är ett kontinuerligt arbete och behöver en aktiv förvaltning eller regelbunden översyn.

- Att efterleva förordningen är ingen engångsinstats; leverantörer byts ut, nya personuppgifter tillkommer, behandlingar tillkommer, ändamål ändras, nya programvararor införskaffas, personal byts ut, anställdas kunskap behöver förnyas och rutiner behöver anpassas till de nya omständigheterna.

- Er dokumentation behöver vara "up-to-date" och motsvara aktuella förhållanden. 

- En plan i form av en systematiskt arbetssätt med dataskydd är lämpligt att upprätta - t.ex. en Dataskyddspolicy 

Dokumentation av organisatoriska åtgärder

Exempel på dokument organisationer är skyldiga att hålla för att efterleva GDPR och kontroll från Integritetskyddsmyndigheten (IMY):

1. Registerförteckning

2. Integritetspolicyies

3. Rutiner för att hantera de registrerades rättigheter

4. Beskrivning av hur ni uppfyller de grundläggande principerna för att få behandla personuppgifter enligt GDPR

5. Vilka skyddsåtgärder ni vidtagit för att skydda personuppgifter.

6. Vid behov: Konsekvensbedömningar av nya behandlingar av personuppgifter. 

7. Använder ni den rättsliga grunden "legitimt intresse" kan ni behöva motivera och dokumentera er intresseavvägning

8. Rutiner för att hantera personuppgiftsincidenter

9. Rutiner för att hur den registrerades rätt till information ska uppfyllas

10. En dataskyddspolicy för anställda

11. En rutin för inköp som inkluderar säkerhetsaspekter utifrån GDPR

12. En beskrivning av ert kommande och kontinuerliga dataskyddsarbete

Kontinuerlig förmåga - 2

Företag behöver behöver alltid säkerställa att deras behandling av personuppgifter sker enligt lagen och att uppgifterna inte utsätts för risk. 

- Behandlingar ska analyseras om den kan innebära några risker utifrån den registrerades fri- och rättigheter. Exempel på analyser är DPIA, PIA och TIA.

- Analyserna ska dokumenteras och kunna visa vid kontroll från IMY. 

- Analyser kan ni få hjälp med genom att fylla i kontaktforumläret

Dokumentera slutsatserna av era beslut

En behandling kan omfatta hantering som innebär att den registrerades fri- och rättigheter kan kränkas, dessa behandlingar ska analyseras med en konsekvensanalys för att avgöra om behandlingen är förenlig med GDPR.

Exempel:

- Automatiserat beslutsfattande

- Känsliga personuppgifter

- Nyttjande av ny teknik (ex. AI)

- Behandling av stora mängder personer