ORGANISERING FÖR GDPR
Sida 1 av 3
ORGANISERING FÖR GDPR
Syfte
Syftet med GDPR- arbetsordning är att ge en överblick over hur GDPR är uppbyggt för att ge läsaren en förståelse för de ingående komponenternas plats i företagets GDPR arbete.
Bakgrund
EU har antagit en förordning, Dataskyddsförordningen (GDPR - General Data Protection Regulation), som har till syfte att skydda den personliga integriteten med avseende på personuppgifter och det fria flödet av sådana. Med GDPR införs ett regelverk som bland annat ställer krav på en organisationsstruktur och beskrivs schematiskt i bilden nedan. Bland annat lyfts det fram de nya rollerna Personuppgiftsansvarig och Personuppgiftsbiträde samt en struktur dem emellan.
Ytterligare lyfts det fram kravet på rollen Dataskyddsombud, dock endast i särskilda fall. Slutligen blir det viktigt att samla dataskyddsarbetet under en Ansvarig roll i organisationen där ansvar och kompetens fokuseras och tydliggörs.
Organisation
GDPR
Syfte att skydda personlig integritet avseende personuppgifter
Arbetsordning
Register- ansvarig
Personuppgifts-
ansvarig
GDPR-Policy
Personuppgifts-
biträdesavtal
Personuppgifts-
register
Riktlinje –
Personuppgiftsbiträde
Personuppgifts-
biträde (Extern)
Registerbiträde
GDPR-arbetet regleras av de dokument och den struktur som finns beskriven i bilden nedan. Figuren beskriver schematiskt rollerna och deras förhållande till varandra.
2018-05-02 Riktlinjer Organisering för GDPR v0,01
Exempel Projektplan GDPR | Denna plan exemplifierar en tänkbar hantering av GDPR-arbetet. | |
Bolagsnamn | uppdaterat 2018-05-01 | Använd gärna denna plan som en utgångspunkt för er planering. |
Vecka |
och
Kunskap Förståelse GDPR ledning
Sätt ambitionsnivå och resurser Beslut struktur och roller Introduktion personal
Fastställ integritetspolicy Integritetspolicy på hemsidan Epost signatur Persondataregister v1 Uppdatera anställningsavtal Avstämning jurist
0%
0%
0%
0%
0%
0%
0%
0%
0%
Policy och
riktlinjer Persondataregister v2 0% fördjupad analys och detalj GDPR-policy 0%
Informationsäkerhetspolicy 0%
Riktlinje epost 0%
Riktlinje mobiltelefon 0%
Riktlinje gallring personuppgifter 0% Riktlinje hantering känsliga personuppgif 0% Riktlinje incidenthantering 0% Riktlinje förfrågan om personuppgifter 0% PUB-avtal med leverantörer 0%
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Kommentar
Ansvarig % klart
Aktivitet
Fas
Sida 1 av 2 v 0,01
FÖRSLAG TILL INTEGRITETSPOLICY
Syfte och bakgrund
Vi värnar om våra kunders integritet och våra kunders förtroende för oss. Detta förtroende bygger bland annat på hur vi hanterar våra kunders personuppgifter. Syftet är att öka öppenheten i vår behandling av personuppgifter samt att öka skyddet för den personliga integriteten.
Personuppgiftsansvarig
Personuppgiftsansvarig: organisationsnamn
Organisationsnummer: organisationsnummer
Adress: adress 1
postnr ort
Kontakt via e-post: Xxxx@xxxx.xx
Kontakt via telefon telnr
Personuppgiftsansvarigs roll är att bestämma syftet och metoder när personuppgifter samlas in och behandlas samt är ansvarig för att behandlingen sker enligt gällande lagstiftning.
Vad är en personuppgift?
En personuppgift är en upplysning som direkt eller indirekt kan knytas till en fysisk levande person. Exempel på personuppgifter är namn, adress, person- eller annat identifikationsnummer, telefonnummer, e-postadress, bild, IP-nummer, mm.
Vilka personuppgifter samlar vi in?
Vår leverans består till största delen av IT-baserade tjänster som vanligen levereras till kunder som vi har ett leveransavtal med. Leveransavtalet ger oss tillgång (och förutsättningar) till den persondata som vi behöver för att kunna leverera de tjänster som leveranskontraktet avser.
Ibland får vi uppdrag, exempelvis via vår servicedesk, från kunder som inte har något leveransavtal med oss. I dessa fall så samlar vi de uppgifter som vi behöver för att kunna lösa problemet. När du tar kontakt med oss via vår kundtjänst (t.ex. via e-post, telefon eller när du fyller i dina personuppgifter i det kontaktformulär som finns på vår hemsida) kan vi komma att spara uppgifter om dig som behövs för att lösa ditt ärende. Vi samlar bara in den information som du själv fyller i formuläret.
Vi jobbar alltid efter principen att samla in så lite information som möjligt. När ärendet stängs så gallras kundens persondata bort. Faktureringsinformation lagras dock med bokföringslagen som grund. För att kunna hålla dina personuppgifter uppdaterade och korrekta kan vi komma att inhämta uppgifter från privata och offentliga register.
Identitetskontroll
För att lagstiftning inte ska missbrukas har vi ett ansvar att vid kontakter rörande dina personuppgifter vidta alla rimliga åtgärder för att säkerställa din identitet. Beroende på vad kontakten avser kan vi därför komma att kräva att du på lämpligt sätt kan styrka din identitet.
2018-05-02 Integritetspolicy v0,01
Rollbeskrivning- Registerbiträde
Syfte
Syftet med denna policy är att ge registerbiträdet information om mål, syfte och på vilket sätt som företaget behandlar och skyddar anställdas och kunders personuppgifter.
Bakgrund
Det är personuppgiftsansvarig som bestämmer mål, syfte och medel för behandlingen medan registerbiträdet utför själva behandlingen enligt dessa direktiv. De anställda som behandlar personuppgifter är registerbiträden. Det kan finnas flera registerbiträden som behandlar olika typer av persondata baserat på vilka arbetsuppgifter som registerbiträdet har.
Personuppgiftsansvarig har till uppgift att se till att registerbiträdet har utbildning, instruktioner och verktyg för att kunna behandla företagets persondata. Personuppgiftsansvarig och registerbiträdet har ett gemensamt ansvar när det gäller behandlingen av de personuppgifter som företaget använder sig av.
Behandling av personuppgifter
Företaget behandlar två typer av personuppgifter, dels de anställdas personuppgifter och dels kundernas personuppgifter. Utgångspunkt är dock alltid att inte behandla fler personuppgifter än vad som behövs för ändamålet och att ständigt sträva efter att minimera användningen av integritetskänsliga uppgifter i behandlingen.
Målsättning
Företaget behöver personuppgifter för att kunna verka på ett effektivt sätt. Företaget behandlar endast personuppgifter när det finns en laglig grund till detta eller när den registrerade uttryckligen givit ditt samtycke till en behandling.
Företaget använder personuppgifter bland annat för att…
… kunna ge bra service till våra kunder och anställda
… kunna se till att leveransen till våra kunder håller högsta kvalitet.
… kunna fullfölja våra förpliktelser mot myndigheter
… kunna följa de lagar och förordningar som finns.
Insamling av personuppgifter
Företaget har upprättat ett personuppgiftsregister över vilka processer/system som behandlar persondata. Personuppgiftsregistret innehåller följande information:
| Kategori | - I vilken process samlas uppgifterna in |
| System | - Namn på systemet |
| Klass | - Känsliga, strukturerade, osorterade persondata |
| Berör | - Vilka registrerade berörs av insamlingen |
| Vem | - Vem är det som använder uppgifterna |
| Ändamål | - Vad används uppgifterna till |
2018-05-02 Rollbeskrivning - Registerbiträde v0,01