GDPR-klar

Är du GDPR-klar?

Är du osäker kan du gå igenom följande checklista. När du är säker på att alla punkter är genomförda är du GDPR-klar. Freaka inte ut när du går igenom checklistan. Ta det lugnt. Listan beskriver aktiviteter som behövs för att implementera ett ledningssystem för dataskydd.

GDPR kräver inte att du skall införa ett ledningssystem för dataskydd. GDPR kräver att du skall vidta lämpliga åtgärder med hänsyn till din verksamhet. Om din verksamhet är begränsad och ni endast är några få anställda kan det vara överkurs att implementera ett ledningssystem. Men GDPR kräver tydligt att du som personuppgiftsansvarig är ansvarsskyldig (Artikel 5.2). Vilket betyder att organisationen du representerar skall ta ansvar för, och kunna visa, att verksamheten uppfyller kraven för dataskydd. I Artikel 24.1 GDPR förtydligas detta ytterligare:

” Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”GDPR Artikel 24.1

Det är innebörden av orden säkerställa, visa, ses över och uppdateras som motiverar ett ledningssystem (Läs mer om ledningssystem för dataskydd här).

Innan du börjar införa ett ledningssystem behövs en tydlig förankring hos organisationens ledning. Vi börjar checklistan med ledningens åtagande.

Ledningens åtagandeLedningens engagemang

Organisationens ledning visar sitt engagemang och stöd för införandet av ett  ledningssystem för dataskydd genom att:

  • ta fram en policy för dataskydd som adresserar samtliga krav i GDPR-förordningen samt är förenlig med organisationens strategi
  • integrera ledningssystemets krav med organisationens affärsprocesser
  • tilldela resurser som krävs för planering, drift och underhåll av ledningssystemet
  • kommunicera vikten av en effektiv hantering av personuppgifter och att uppfylla kraven i ledningssystemet
  • säkerställa att ledningssystemet uppnår formulerade mål.
  • ge stöd för att all personal skall bidra till ledningssystemets effektivitet
  • påvisa vikten av kontinuerlig förbättring av ledningssystemet
  • ge stöd och vägledning till annan personal i ledande befattning att visa ledarskap gällande dataskydd inom deras respektive ansvarsområden

Dataskyddspolicy

Ledningen har tagit fram en policy för dataskydd som:

  • är anpassad till organisationens verksamhet
  • ger struktur till ledningssystemets uppsatta mål
  • säkerställer att tillämpliga dataskyddskrav uppfylls
  •  säkerställer att ledningssystemet är under kontinuerlig förbättring

Dataskyddspolicyn är:

  • dokumenterad
  • kommunicerad i hela organisationen
  • tillgänglig för all behörig personal

Dataskyddspolicyn uttrycker organisations åtagande att efterleva krav, rutiner och förhållningssätt för dataskydd inkluderat att:

  • endast samla in och behandla personuppgifter som är nödvändiga för lagliga syften och för syften som är berättigade för organisationens verksamhet
  • tillhandahålla klar och tydlig information gällande registrerades (inklusive barn) om hur deras personuppgifter kommer att användas av organisationen

Roller och ansvar

Roller och ansvar för ledningssystemet

  • Organisationens ledning har tillsatt roller och ansvar för implementering, drift och underhåll av ledningssystemet
  • Information om dessa roller har kommunicerats i hela organisationen
  • Rutiner för rapportering från ansvariga roller till ledningen har upprättats
  • Ledningen har utsett person med huvudansvar för ledningssystemet

Huvudansvar inkluderar:

  • godkännande av dataskyddspolicy
  • huvudansvar för implementering av ledningssystemet i enlighet med dataskyddspolicyn
  • ansvar för säkerhet och riskhantering i samband med ledningssystemet

Utöver huvudansvar har organisationen tilldelat ansvar till personer med adekvat kompetens gällande ledningssystemets dagliga drift inkluderat:

  • implementering av processer och rutiner
  • följa upp efterlevnad av policyn hos övrig personal
  • genomföra relevant utbildning gällande efterlevnad för övrig personal
  • hantera avvikelser i ledningssystemet

Organisationens kultur

Organisationen har vidtagit åtgärder för att integrera dataskyddspolicyn med organisationens grundvärderingar genom:

  • fortlöpande utbildning angående dataskydd
  • infört processer för utvärdering av personalens medvetenhet om gällande dataskydd

Organisationen har kommunicerat vikten av att:

  • organisationen uppfyller ledningssystemets mål
  • dataskyddspolicyn efterlevs
  • ledningssystemet förbättras kontinuerligt
  • medarbetare bidrar till att uppfylla organisationens målen för dataskydd

Dokumentation

  • Organisationen har dokumenterat utbildningsinsatser, inklusive resultat av dessa insatser

PlaneringRisk och möjligheter

Organisationen har utifrån utvärdering av organisationens interna och externa förutsättningar bedömt att:

  • ledningssystemet kan uppnå de planerade målen
  • ledningssystemet kan förhindra eller minska oönskade effekter
  • ledningssystemet kan underhållas och förbättras kontinuerligt

Organisationen har planerat:

  • aktiviteter som adresserar risk och möjligheter
  • sätt att integrera och implementera aktiviteter i ledningssystemet
  • sätt att utvärdera effekten av dessa aktiviteter

Datainventering och dataflöden

Organisationen har definierat processer för datainventering och dataflöden som identifierar:

  • affärsprocesser som använder personuppgifter
  • system, databaser och andra datakällor som använder eller lagrar personuppgifter
  • kategorier av personuppgifter, inkluderat särskilda kategorier i GDPR Artikel 9
  • ändamål för behandling av personuppgifter
  • potentiella mottagare av personuppgifter, inkluderat tredje-part och leverantörer
  • om organisationen agerar som personuppgiftsansvarig, personuppgiftsbiträde eller gemensamt personuppgiftsansvarig
  • överföring av personuppgifter internationellt eller om behandling av personuppgifter regleras av andra lagar och regler
  • krav och kriterier för livcykelhantering (bevara och radera personuppgifter)

Laglig grund

Organisationen har identifierat, definierat och dokumenterat på vilken laglig grund som behandling av personuppgifter genomförs genom att välja ett eller flera av följande alternativ:

  • Den registrerades tydligt formulerade samtycke till behandling av personuppgifter
  • Nödvändig behandling av personuppgifter för att utföra kontrakt och avtal med den registrerade
  • Nödvändig behandling för att skydda den registrerades vitala intressen
  • Nödvändig behandling för att uppfylla krav från myndigheter på organisationen
  • Nödvändig behandling för att uppfylla organisationens, eller tredje-parts, berättigade intressen under förutsättning att den registrerades rättigheter och friheter inte begränsas eller väger tyngre (ej tillämpbar för offentliga organisationer)

Organisationen har identifierat, definierat och dokumenterat på vilken laglig grund som behandling av särskilda kategorier av personuppgifter genomförs genom att välja ett eller flera av följande alternativ:

  • Den registrerades explicit formulerade samtycke för behandling av särskilda kategorier av personuppgifter
  • Nödvändig behandling för att uppfylla lagliga krav och skyldigheter
  • Nödvändig behandling för laglig hantering av personuppgifter för politiska, religiösa eller fackliga organisationer, under förutsättning att tillfredsställande säkerhetsåtgärder tillämpas
  • Information som önskats formuleras som offentlig information av den registrerade
  • Nödvändig behandling för uppfylla rättsliga krav
  • Nödvändig behandling för att uppfylla samhällets offentliga intressen
  • Nödvändig behandling för att uppfylla krav från sjukvård eller sociala myndigheter
  • Nödvändig för behandling gällande den registrerades hälsa

Konsekvensbedömning avseende dataskydd

Organisationen har definierat processer för konsekvensanalys relaterat till affärsprocesser som behandlar personuppgifter i syfte att:

  • bestämma kriterier för acceptans av risk
  • bestämma kriterier för när en konsekvensanalys (DPIA) är nödvändig eller obligatorisk
  • tillämpa dataskyddsprinciper för dataflöden i syfte att identifiera risk
  • säkerställa att riskbedömning för dataskydd är konsistent, valid och jämförbar
  • identifiera processer som behandlar särskilda kategorier av personuppgifter
    identifiera ansvariga för riskhantering
  • bedöma konsekvenser i händelse av incident
  • bedöma sannolikheten för att en incident skall inträffa
  • bestämt risknivåer

Organisationen har identifierat riskfaktorer relaterat till:

  • lagar och förordningar
  • inverkan på den registrerades rättigheter och friheter
  • inverkan på fysiska, materiella eller icke-materiella tillgångar hos den registrerade
  • inverkan på organisationen

Vid resultat av konsekvensanalys som visar en hög-risk process som inte går att går att åtgärda har:

  • organisationen erhållit konsultation och vägledning av dataskyddsmyndigheten

Dokumentation

  • Riskhanteringsprocessen är dokumentrad

Riskhantering

Organisationen har definierat en riskhanteringsprocess som:

  • anvisar lämpliga alternativ för riskhantering med hänsyn till resultat av konsekvensanalysen i riskbedömningen
  • bestämmer alla kontrollåtgärder som krävs för att implementera riskhanteringen
  • formulerar en riskhanteringsplan för dataskydd
  • erhåller godkännande av riskhanteringsplan av person med ansvar för organisationens riskhantering och eventuell acceptans av risk som inte hanteras

Inbyggt dataskydd och dataskydd som standard

I samband med utveckling eller förändring av system, processer, produkter eller tjänster säkerställer organisationen att:

  • personuppgifter minimeras som standard
  • pseudonymisering tillämpas om möjligt
  • syfte och funktion med behandling av personuppgifter är transparent
  • tekniska och organisatoriska åtgärder för riskhantering vidtas som standard

Dokumentation

  • Organisationen dokumenterar information om vidtagna åtgärder för inbyggt dataskydd och dataskydd som standard

Mål för ledningssystemet

Organisationen har fastställt mål för ledningssystemet som:

  • är förenliga med ledningssystemets policy
  • är mätbara
  • hanterar kraven för dataskydd enligt GDPR och resultaten från organisationens riskbedömning och riskhanteringsplan
  • övervakas kontinuerligt
  • kommuniceras i hela organisationen
  • uppdateras vid behov

Vid målformulering av ledningssystemet har organisationen fastställt:

  • vad som skall genomföras
  • vilka resurser som krävs
  • vem som är ansvarig
  • när det skall vara klart
  • hur resultaten skall utvärderas

Support

Organisationen har tilldelat nödvändiga resurser för:

  • implementering av ledningssystemet
  • underhåll av ledningssystemet
  • kontinuerlig förbättring av ledningssystemet

Organisationen har dessutom:

  • definierat nödvändig kompetens som krävs av personer som ansvarar för ledningssystemets drift och underhåll
  • dokumenterat verifikation av dessa personers kompetens

Organisationen har informerat hela organisationen om:

  • ledningssystemets syfte och funktion
  • hur alla medarbetare bidrar till ledningssystemets effektivitet
  • konsekvenser som följer av att inte efterleva ledningssystemets krav

Organisationen har utarbetat en kommunikationsplan som inkluderar:

  • vad som skall kommuniceras
  • när kommunikation skall ske
  • vem kommunikationen adresserar
  • hur kommunikationen genomförs

Implementering och driftDriftplanering och kontroll

Organisationen har planerat och implementerat processer för kontroll av krav för riskhantering genom:

  • fastställda kriterier för dessa processer
  • implementerade kontroller i överensstämmelse med dessa kriterier
  • dokumentation av att dessa åtgärder är genomförda
  • kontroll av att ovanstående åtgärder tillämpas vid planerade och oplanerade förändringar i organisationens verksamhet
  • kontroll av att ovanstående åtgärder tillämpas vid outsourcing till tredje part

Roller och ansvarsområden

Tillsättning av personal för drift och underhåll av ledningssystemet

  • Organisationens högsta ledning har utsett person med huvudansvar för GDPR

Om organisationen har tillsatt en formell tjänst som personuppgiftsombud har organisationen säkerställt att:

  • person som erhåller tjänsten har har adekvat utbildning och erfarenhet
  • kontaktuppgifter till personen har rapporterats till dataskyddsmyndigheten
  • personuppgiftsombudet har tilldelats ansvar för riskbedömning och riskhantering
  • personuppgiftsansvarig har rutiner för kontakt med dataskyddsmyndigheten
  • personuppgiftsombud involveras, eller i sin tur delegerar ansvar, vid alla frågor i organisationen som rör personuppgifter

Person med huvudansvar för GDPR (personuppgiftsombud om sådan är tillsatt) har ansvar för att:

  • kontrollera efterlevnad av organisationens dataskyddspolicy
  • utvärdera och vid behov utveckla policyn
  • kontrollera att policyn implementeras
  • administrera högsta ledningens översyn av policyn
  • administrera utbildning och medvetenhet om policyn
  • samverka med andra personer med ansvar för organisationens informationssäkerhet
  • tolka och bedöma säkerhetsåtgärder gällande personuppgifter
  • säkerställa att organisationen har uppdaterad information gällande GDPR
  • utveckla och implementera praktiska rutiner förhållningssätt gällande dataskydd

Person med huvudansvar för GDPR godkänner protokoll och relaterad information som:

  • hantering och kommunikation av dataskyddsrelaterad information
  • hantering av frågor gällande registrerades rättigheter och friheter
  • insamling och behandling av personuppgifter
  • klagomålshantering
  • hantering av databrott
  • outsourcing av behandling gällande personuppgifter till tredje part

Identifiering och registrering av personuppgiftsbehandling

Register över personuppgifter

  • Organisationen har upprättat register över vilka kategorier av personuppgifter som behandlas
  • Organisationen har dokumenterat dataflöden genom affärsprocesser som innefattar personuppgifter
  • Organisationen har dokumenterat vilka affärsprocesser som innefattar personuppgifter bedöms som hög-risk processer

Riskbedömning och hantering

Riskbedömning och riskhantering

  • Organisationen har fastställt risknivåer gällande behandling av personuppgifter, inklusive behandling som utförs av tredje part
  • Organisationen har implementerat en riskhanteringsplan för risk som identifierats i riskbedömningen
  • Riskbedömningsprocessen innefattar bedömning av vilken påverkan en incident kan ha på den registrerade, samt för organisationen själv
  • Riskbedömningsprocessen innefattar instruktioner om hur informationen kommuniceras till berörda intressenter

Utbildning

Organisationen säkerställer att personal med ansvar för efterlevnad av kraven för dataskydd:

  • kan påvisa kunskap och förståelse för hur dataskyddsåtgärder skall tillämpas
  • har uppdaterad information gällande dataskydd genom externa informationskällor
  • kan påvisa kunskap och förståelse för att bedöma om personuppgifter skyddas och behandlas enligt föreskrivna regler
  • har kunskap och förståelse som inkluderar krav för informationssäkerhet
  • har erhållit adekvat utbildning avseende dataskydd och informationssäkerhet
  • genomgått utbildning som anpassats till personalens roll och befattning

Översyn av ledningssystemets effektivitet

Översyn av ledningssystemets effektivitet

  • Personal med ansvar för efterlevnad av krav för dataskydd genomför en översyn av ledningssystemets effektivitet med planerade mellanrum
  • Utöver planerad översyn genomför personal översyn i samband med förändringar i organisationen, inkluderat införandet av ny teknik

Databehandling på laglig grund

I samband med insamling och behandling av personuppgifter säkerställer ledningssystemet att:

  • organisationen behandlar personuppgifter på lagliga grunder
  • organisationen behandlar personuppgifter endast där det är berättigat
  • organisationen behandlar hög-risk kategorier av personuppgifter endast då detta är nödvändigt för organisationens verksamhet
  • organisationen dokumenterar den registrerades givna samtycke till behandling av personuppgifter när denna lagliga grund tillämpas
  • vid införandet av nya metoder för insamling godkänns dessa av person med ansvar för dataskydd

Organisationen tillhandahåller information om behandling av den registrerades personuppgifter i ett lämpligt format som tydligt kommunicerar:

  • organisationens identitet, inklusive tredje-parts identiteter
    i vilket syfte personuppgifter samlas in och behandlas
  • organisationens berättigade intressen där denna lagliga grund är tillämpbar
  • vilken typ av personuppgifter som samlas in och behandlas
  • vilka informationskällor som används, inklusive publika och tredje-parts datakällor
  • information om vilka personuppgifter som görs tillgängliga för tredje-part
  • vilka personuppgifter som görs tillgängliga av tredje-part utanför EU.:s gränser, inkluderat vilka säkerhetsåtgärder som tillämpats
  • detaljerad information gällande teknik för insamling av personuppgifter som cookies och andra automatiserade mekanismer
  • hur länge organisationen bevarar informationen innan den raderas
  • den registrerades rättigheter att få tillgång till, uppdatera, radera, begränsa eller flytta information som insamlats
  • den registrerades rättigheter att överklaga organisationens behandling hos dataskyddsmyndigheten
  • den registrerade rättighet att återkalla tidigare givit samtycke, då denna lagliga grund tillämpats
  • de lagliga grunder som organisationen behandla den registrerades personuppgifter
  • hur den registrerades personuppgifter kan användas i automatiserade processer och vad dessa processer syftar till
  • den registrerades rättigheter att motsätta sig användning av personuppgifter för organisationens marknadsföring
  • den registrerades rättigheter att motsätta sig användning av personuppgifter för automatisk behandling
  • i vilket syfte behandling av särskilda kategorier av personuppgifter behandlas

Ändamålsbegränsning

Ledningssystemet säkerställer att:

  • behandling av personuppgifter sker endast för specifika syften
  • behandling av personuppgifter sker enligt lagar och regler
  • behandling av personuppgifter utöver specificerade syften endast sker efter explicit samtycke av den registrerade eller om lagar och förordningar kräver utökad behandling
  • samtycke givits frivilligt av den registrerade
  • samtycke av den registrerade är dokumenterad
  • personuppgifter gällande barn endast behandlas efter att explicit samtycke har givits av person med barnets föräldraansvar

Om behandling av personuppgifter utförs av annan part säkerställer ledningssystemet att:

  • ett formellt kontrakt mellan parterna är upprättat med tydliga ansvarsfördelningar gällande dataskydd
  • den part som genomför behandling av personuppgifter uppfyller kraven för dataskydd
  • den registrerade givits tydlig information om att behandling utförs av kontrakterad part samt vilka syften som denna behandling avser
  • vid behandling av personuppgifter på lagliga grunder som inte kräver samtycke är den kontrakterade behandlingen dokumenterad

Uppgiftsminimering

Ledningssystemet säkerställer att:

  • behandlingen av personuppgifter är adekvat med avseende på organisationens syfte
  • regelbundna kontroller säkerställer att behandlingen fortlöpande är adekvat
  • omfattningen av personuppgifter minimeras till absolut nödvändighet för behandlingen
  • utökad omfattning av personuppgifter kan endast ske efter explicit samtycke av den registrerade

Uppgiftsintegritet

Ledningssystemet säkerställer att:

  • integritet och korrekthet bibehålls vid behandlingen av personuppgifter
  • den registrerade ges möjlighet att ifrågasätta korrektheten av insamlade personuppgifter
  • organisationen har en dokumenterad process för att verifiera korrektheten av personuppgifter
  • organisationens personal är informerad om vikten av korrekthet gällande insamlade personuppgifter
  • vid anlitande av tredje-part för behandling av personuppgifter har organisationen angivit tydliga instruktioner gällande korrekthet av personuppgifter
  • organisationen kontrollerar korrekthet av personuppgifter vid förändringar av affärsprocesser eller införandet av ny teknik

Livscykelhantering

Ledningssystemet säkerställer att schemalagd livscykelhantering tillämpas för personuppgifter som:

  • inkluderar minimum av tid som uppgifter bevaras enligt gällande lagar
  • dokumenterar på vilka grunder dessa tidsperioder grundas

Ledningssystemet säkerställer att organisationen inte bevarar personlig information längre tid än vad som är nödvändigt för behandlingens syfte genom:

  • tillämpning av godkända processer för radering av personuppgifter
  • kontroll av säkerhetsnivåer för lagrade personuppgifter
  • tillämpning av riskhantering gällande informationssäkerhet
  • tydlig information till berörd personal gällande regler för livscykelhantering

Säkerhet

Ledningssystemet säkerställer att säkerhetsåtgärder vidtagits för att skydda personuppgifter genom att implementera säkerhetskontroller anpassade till:

  • vilka kategorier av personuppgifter som behandlas
  • risk gällande skada och negativa konsekvenser för den registrerade som person
  • risk gällande operativ- och varumärkesrelaterad skada för organisationen

Ledningssystemet implementerar säkerhetskontroller för:

  • databaser och andra datakällor som lagrar personuppgifter
  • portabla lagringsmedier, portabla applikationer och lagringsmedier som hanteras av tredje part
  • överföring av personuppgifter mellan medier och datakällor
  • behörighet hos personal att läsa, ändra och radera personuppgifter
  • utökad säkerhet gällande särskilda kategorier av personuppgifter

Ledningssystemet implementerar processer för hantering av incidenter som:

  • utvärderar, hanterar och dokumenterar brott och incidenter som berör personuppgifter
  • bedömer om incidenten skall rapporteras till dataskyddsmyndigheten
  • informerar i förekommande fall dataskyddsmyndigheten om incidenten inom 72 timmar

Information om databrott eller säkerhetsrelaterad incident till dataskyddsmyndigheten inkluderar:

  • beskrivning av personuppgifter som incidenten gäller
  • detaljerad beskrivning av kategorier och omfattning av personuppgifter
  • kontaktuppgifter till personuppgiftsombud eller annan person ansvarig för dataskydd i organisationen
  • beskrivning av bedömd inverkan incidenten har för registrerade personer
  • typ av incident som dataintrång, teknisk incident m.m
  • vilka åtgärder som vidtagits för att hantera incidenten och lindra dess konsekvenser

Ledningssystemet implementerar processer för kontroll av utlämning av personuppgifter till tredje part genom att:

  • erfordra handlingar som styrker tredje parts lagliga rätt att ta del av personuppgifter
  • erfordra handlingar som styrker tredje parts identitet
  • registrerar underlag gällande laglig grund för utlämning av personuppgifter vid varje utlämningstillfälle
  • registrerar vilken information som utlämnats

Anlitande av underleverantörer

Vid anlitande av personuppgiftsbiträden (underleverantörer) säkerställer ledningssystemet att:

  • endast personuppgiftsbiträden som uppfyller GDPR anlitas
  • ett kontrakt upprättas som detaljerat beskriver åtagande och skyldigheter mellan parterna

Ledningssystemet säkerställer att ett bindande kontrakt mellan personuppgiftsansvarig och personuppgiftsbiträde innefattar:

  • detaljerad beskrivning av innehåll och omfattning av kontraktet
  • skriftliga instruktioner gällande behandlingen
  • krav på personuppgiftsbiträde att kontrollera och informera personuppgiftsansvarig om lagliga grunder för behandlingen
  • krav på personuppgiftsbiträde att informera personuppgiftsansvarig om incidenter gällande dataskydd för personuppgifter
  • krav på personuppgiftsbiträde att tillämpa principer för informationssäkerhet
  • möjligheter för personuppgiftsansvarig att genomföra översyn av personuppgiftsbiträdets dataskyddsåtgärder
  • instruktioner om tillståndsbegäran hos personuppgiftsansvarig för personuppgiftsbiträde att anlita underleverantörer i andra led
  • instruktioner om hur personuppgifter raderas eller återlämnas till personuppgiftsansvarig efter att kontraktet avslutats
  • dokumenterad information gällande personuppgiftsbiträdets uppfyllande av kraven i kontraktet

Den registrerades rättigheter

Organisationens respons gällande den registrerades rättigheter och friheter

  • Organisationen har implementerat processer för att tillmötesgå den registrerades begäran om utövande av sina rättigheter och friheter
  • Organisationen verkställer den registrerades begäran inom en månad
  • Organisationen kan i sin tur begära utökad tid med max två månader för att verkställa den registrerades begäran
  • Den registrerade ges tydlig information om verkställandet av begäran kräver utökad tid

Organisationen säkerställer den registrerades rätt till information och tillgång till sina personuppgifter genom att vid begäran bistå den registrerade med information om:

  • organisationens syfte med behandlingen
  • vilka kategorier av personuppgifter som behandlingen avser
  • vilka andra parter som tar del av den registrerades personuppgifter
  • under vilken tid som den registrerades personuppgifter sparas
  • rätten hos den registrerade att överklaga organisationens hantering till dataskyddsmyndigheten
  • vilka källor som personuppgifter hämtats från, i fall då den registrerade inte själv registrerat sina personuppgifter
  • förekomst av automatiserad beslutsfattning gällande den registrerade
  • om personuppgifter överförs till annat land samt vilka säkerhetsåtgärder som organisation vidtagit i dessa fall

Organisationen säkerställer den registrerades rätt att korrigera sina personuppgifter genom att vid begäran:

  • korrigera felaktiga personuppgifter
  • komplettera personuppgifter

Organisationen säkerställer den registrerades rätt att radera sina personuppgifter genom att vid begäran radera personuppgifter som:

  • inte längre är nödvändiga för det syfte som de samlades in för
  • samlats in med den registrerades samtycke då den registrerade drar tillbaka sitt samtycke och det inte finns andra lagliga grunder för behandlingen
  • den registrerade önskar raderas under förutsättning att det inte finns andra lagliga grunder för behandlingen
  • används i organisationens marknadsföring
  • saknar laglig grund för behandling
  • samlats in för samhällstjänster

Organisationen verkställer den registrerades rätt att begränsa behandling av sina personuppgifter vid tillfälle då:

  • det råder oklarhet om den registrerades personuppgifter är korrekta
  • behandling saknar laglig grund och den registrerade motsätter sig radering av personuppgifter
  • organisationen inte längre behöver den registrerades personuppgifter men där den registrerade av rättsliga skäl behöver bevara sin registrering
  • det råder oklarhet om det finns berättigade intressen hos organisationen att bevara personuppgifter även då den registrerade motsätter sig detta

Organisationen verkställer den registrerades rätt till dataportabilitet vid tillfälle då:

  • behandling av personuppgifter är automatiserad
  • behandlingen grundar sig på samtycke

Organisationen verkställer den registrerades rätt att göra invändningar mot:

  • användning av den registrerades uppgifter för direkt marknadsföring

Organisationen säkerställer den registrerades rätt att inte blir föremål för automatiserad beslutsfattning genom att implementera processer som:

  • identifierar automatiserad beslutsfattning
  • vid begäran tillämpar manuell beslutsfattning

Övervakning och utvärderingÖvervakning, uppföljning, analys och utvärdering

Organisation har fastställt:

  • vad som skall övervakas och mätas
  • metoder för övervakning, mätning, analys och utvärdering av dataskydd
  • när uppföljning och utvärdering skall ske
  • när resultat från övervakning och mätning skall utvärderas
  • metoder för utvärdering av ledningssystemets effektivitet

Dokumentation

  • Resultaten av utvärdering dokumenteras

Internrevision

Organisationen genomför internrevision av ledningssystemet med planerade mellanrum samt vid organisationsförändringar för att säkerställa att ledningssystemet:

  • uppfyller krav som organisationen ställt på ledningssystemet
  • är implementerat korrekt
  • underhålls och förbättras

Vid förestående internrevision:

  • fastställer organisationen ett program för den aktuella internrevision
  • fastställer organisationen kriterier och omfattning för internrevisionen
  • utser organisationen internrevisor som kan genomföra revision opartiskt och objektivt
  • säkerställs att resultatet av revisionen rapporteras till högsta ledningen
  • säkerställs att underlag och resultat av revisionen dokumenteras
  • säkerställs att hantering av personuppgifter som klassas som hög-risk innefattas av revisionen
  • säkerställs att behandling av personuppgifter som utförs av tredje part innefattas av revisionen
  • säkerställs att fokus på personal, processer och teknik innefattas av revisionen
  • säkerställs att revisionen rapporterar detaljerad information till ledningen angående avvikelser från organisationens dataskyddspolicy och uppsatta mål för dataskydd

Ledningens översyn

Högsta ledningen genomför översyn av ledningssystemet med planerade mellanrum för att säkerställa att ledningssystemet:

  • är anpassat till organisationens verksamhet
  • är adekvat för att uppfylla organisationens mål relaterade till dataskydd
  • är effektivt

Ledningens översyn innefattar:

  • status gällande anmärkningar från föregående översyn
  • externa och interna förändringar som påverkar ledningssystemet
  • utvärdering av ledningssystemets prestanda
  • trender gällande rapporterade avvikelser och korrigerade åtgärder
  • övervakningsresultat
  • resultat av genomförda internrevisioner
  • uppslag för kontinuerlig förbättring
  • återkoppling från personal om användarrelaterade frågor
  • risker rapporterade av personal
  • registrerade underlag från ledningssystemets övervakning
  • kontroll av säkerhetsrelaterade processer
  • resultat av tekniska uppdateringar eller teknikbyten
  • eventuella förfrågningar av dataskyddsmyndigheten
  • klagomålshantering gällande registrerade
  • hantering av eventuella incidenter

Organisationens ledning säkerställer att:

  • anmärkningar och avvikelser som framkommit under översynen är föremål för kontinuerlig förbättring av ledningssystemet
  • resultat av översynen dokumenteras
  • internrevision verkställs vid organisationsförändringar eller tekniska förändringar

Kontinuerlig förbättringAvvikelser och korrigerande åtgärder

Organisationen arbetar ständigt med att identifiera avvikelser och vidta korrigerande åtgärder genom att:

  • omgående vidta åtgärder för att korrigera avvikelser
  • omgående hantera konsekvenser av avvikelser
  • analysera grundorsaken till avvikelser och implementera hållbara korrigerande åtgärder
  • utvärdera effektiviteten av korrigerande åtgärder
  • genomföra riskbedömning med schemalagda intervall
  • genomföra riskbedömning vid förändring av processer och rutiner

Dokumentation

  • Organisationen dokumenterar identifierade avvikelser, dess orsak samt vilka korrigerande åtgärder som vidtagits
  • Organisationen dokumenterar resultat från korrigerande åtgärder

Förebyggande åtgärder

Organisationen förebygger avvikelser från implementerat dataskydd genom att:

  • identifiera avvikelser från dataskyddsåtgärder och dess orsaker
  • fastställa och implementera förebyggande dataskyddsåtgärder
  • registrera och utvärdera vidtagna åtgärder
  • uppdatera riskbedömning i samband med förändringar i affärsprocesser och rutiner
  • informera berörda parter om risk i samband med potentiella avvikelser

Kontinuerlig förbättring

Organisationen förbättrar kontinuerligt ledningssystemets lämplighet, tillräcklighet och effektivitet genom:

  • internrevisioner
  • förebyggande och korrigerande åtgärder
  • ledningens översyn
  • uppföljning och hantering av klagomål
  • analys och hantering av databrott
  • analys och hantering av säkerhet och dataskydd i samband med införandet av ny teknik
  • analys och hantering av säkerhet och dataskydd i samband med organisationsförändringar

Kostnadsfri konsultation

Informationworker AB
Mats Edvardsson
tel: 070-355 34 40

Kontakta mig om du vill ha tips om hur du kommer igång. Jag bjuder på 45 minuters konsultation med fokus på projektplanering, dokumentation, datainventering m.m. samt frågor som du/ni vill diskutera.

* omkostnader för resor tillkommer vid konsultation utanför Stockholm



Kommentera