Våra byggstenar
Implementering
Silenta kan erbjuda er en helhetslösning av implementering då alla delar som vi kallar ”byggstenar” inkluderas alternativt att ni tillsammans med Silenta väljer ut lämpliga byggstenar för att åtgärda de gap som finns på ert företag. Några byggstenar kräver att en annan byggsten finns, att den är en förutsättning för att bygga på den andra stenen. Är det en sådan byggsten står det nämnt i texten om den byggstenen.
Byggsten – Registerförteckning
Registerförteckningen är den viktigaste byggsten i GDPR-arbetet varför organisationen bland annat behöver kartlägga det som behandlas, vilket ändamål och vilken laglig grund som finns till behandlingen. Till förteckningen ställer GDPR bland annat även krav på vilka personuppgifter som används och vilka kategorier av registrerade som berörs, om personuppgifterna delas med någon annan, tidsfrist för lagring och gallring samt hur personuppgiftsansvarig säkerställer dem. Denna del måste man lägga mycket tid och fokus på när den ska upprättas annars blir delar av fortsatt GDPR-arbete lidande. Detta då registerförteckningen är det som lägger grunden för övriga delar.
Silenta kan hjälpa er att:
- Identifiera och kartlägga era personuppgiftsbehandlingar och dokumentera det som krävs för en registerförteckning enligt GDPR
- Granska er nuvarande registerförteckning
- Säkerställer att er registerförteckning når rätt nivå enligt GDPR
Utdrag från en registerförteckning
<span data-metadata=""><span data-buffer="">Byggsten – Laglig Grund
För att det ska vara rättsligt tillåtet att få behandla personuppgifter måste det finnas en laglig grund på respektive personuppgiftsbehandling. Behandlar organisationen, det vill säga personuppgiftsansvarig, även känsliga personuppgifter ska först laglig grund uppfyllas men även ett undantag för känsliga personuppgifter i GDPR ska uppfyllas. Det är först när man har analyserat behandlingen av personuppgifter och matchat denne med rätt laglig grund som man har uppfyllt lagkraven.
De sex lagliga grunderna är:
- Samtycke
- Avtal
- Rättslig förpliktelse
- Vitala intressen
- Allmänt intresse eller myndighetsutövning
- Berättigat intresse
Delbyggsten – Samtycke
Inom GDPR regleras samtycke specifikt för och bör därför användas sparsamt. Baserar organisationen någon personuppgiftsbehandling på samtycke måste detta vara lämnat genom en bekräftande handling, som till exempel en kryssruta eller en påskriven blankett. Samtycket måste vara frivilligt, specifikt, informerat och ett otvetydigt medgivande från den registrerade. Det är därför det är olämpligt i många fall att ha samtycke mellan arbetsgivare och arbetstagare.
Delbyggsten – Berättigat intresse
Berättigat intresse är en laglig grund som ger organisationen en stor möjlighet att behandla personuppgifter som inte kan hänvisas till andra lagliga grunder. Med berättigat intresse ställs krav att den personuppgiftsansvarige dokumenterar och analyserar att den registrerades fri- och rättigheter inte väger tyngre än behandlingen av personuppgifter. Ett berättigat intresse ska motiveras och informeras den registrerade.
Silenta kan hjälpa er att:
- Fastställa den lagliga grunden till era personuppgiftsbehandlingar
- Säkerställa dokumentation till samtycke och berättigat intresse
- Genomföra analyser för laglig behandling vid berättigat intresse
För att kunna genomföra dessa tjänster behöver det finnas en registerförteckning.
Silenta kan hjälpa er att:
- Fastställa den lagliga grunden till era personuppgiftsbehandlingar
- Säkerställa dokumentation till samtycke och berättigat intresse
- Genomföra analyser för laglig behandling vid berättigat intresse
För att kunna genomföra dessa tjänster behöver det finnas en registerförteckning.
<span data-buffer="">Byggsten – Registrerades rättigheter<span data-metadata="">
Varje individ, vars personuppgifter behandlas, har rättigheter inom GDPR. För att kunna upprätthålla den registrerades rättigheter så är det viktigt med rutiner som är tydliga för organisationen och de som är internt ansvarig för personuppgifter. Enkla processer bör sättas upp som kan underlätta både för GDPR-samordnaren internt och hur registrerade ska gå till väga för att kunna hävda sina rättigheter. Organisationen behöver även ta hänsyn till personuppgifter som är utdelat till biträden.
Silenta kan hjälpa er att:
- Identifiera registrerades rättigheter utifrån laglig grund
- Upprätta processer, som till exempel för registerutdrag och återkallande av samtycke
För att genomföra dessa tjänster behöver en registerförteckning vad upprättad och laglig grund med dokumentation vara fastställd.
Silenta kan hjälpa er att:
- Identifiera registrerades rättigheter utifrån laglig grund
- Upprätta processer, som till exempel för registerutdrag och återkallande av samtycke
För att genomföra dessa tjänster behöver en registerförteckning vad upprättad och laglig grund med dokumentation vara fastställd.
<span data-buffer="">Byggsten – Raderingsrutiner<span data-buffer="">
Den registrerade har rätt att få sina personuppgifter raderade på begäran under vissa omständigheter. Att radera personuppgifter gäller dock inte det bara vid förfrågan från registrerade, utan personuppgiftsansvarige måste löpande gallra i sina register. Det är därför viktigt att personuppgiftsansvariga har en tydlig policy och implementerar denna hur ofta personuppgifter ska gallras från systemen utefter behandling och laglig grund.
Silenta kan hjälpa er att:
- Upprätta en policy för lagring och gallring
- Ta fram rutiner med instruktioner till respektive personuppgiftsbehandling
- Identifiera och eventuellt implementera så systemstöd finns
För att genomföra dessa tjänster behöver en registerförteckning vad upprättad och laglig grund vara fastställd.
Silenta kan hjälpa er att:
- Upprätta en policy för lagring och gallring
- Ta fram rutiner med instruktioner till respektive personuppgiftsbehandling
- Identifiera och eventuellt implementera så systemstöd finns
För att genomföra dessa tjänster behöver en registerförteckning vad upprättad och laglig grund vara fastställd.
<span data-metadata=""><span data-buffer="">Byggsten – Konsekvensbedömning, DPIA
GDPR ställer krav på att DPIA, Data Protection Impact Assessment, ska genomföras på behandlingar som kan resultera i hög risk för den registrerades fri- och rättigheter. DPIA är en metod för risk- och sårbarhetsanalys ur ett dataskyddsperspektiv. Behandlingar som anses innebära hög risk för den registrerade är:
- Systematisk och omfattande behandling, tex profilering
- Behandling i stor skala av särskilda kategorier (känsliga personuppgifter)
- Systematisk övervakning av en allmän plats
För bedömning om det kan finnas hög risk i personuppgiftsbehandlingen kan en ”föranalys” göras. Denna hjälper varje ägare till behandlingarna att ta beslut om en DPIA ska genomföras.
Silenta kan hjälpa er att:
- Upprätta process för konsekvensbedömningar av personuppgiftsbehandlingar
- Ta fram föranalys till konsekvensbedömning
- Genomföra analyser
För att genomföra dessa tjänster krävs det att Registerförteckningen är klar.
Silenta kan hjälpa er att:
- Upprätta process för konsekvensbedömningar av personuppgiftsbehandlingar
- Ta fram föranalys till konsekvensbedömning
- Genomföra analyser
För att genomföra dessa tjänster krävs det att Registerförteckningen är klar.
<span data-buffer="">Byggsten – Säkerhet<span data-metadata="">
GDPR ställer krav på tekniska och organisatoriska säkerhetsåtgärder till personuppgifts-behandlingarna. Med det menas att organisationen ska implementera och arbeta med informationssäkerhet på ett effektivt och kommunicerbart sätt både teknisk och organisatoriskt.
Många gånger så lägger organisationer för stor vikt vid den tekniska säkerheten utan att se till den organisatoriska säkerheten, det vill säga användarna. Det är även vanligt att man litar för mycket på att IT-avdelningen eller IT-leverantören vet vilken säkerhetsnivå som organisationen måste implementera för att säkerställa behandlingen av personuppgifter.
Det är därför viktigt att under identifieringen av vilka behandlingar som finns även kartlägga hur dessa skyddas tekniskt och organisatoriskt, både internt och externt. Det är även viktigt att ta fram policy och riktlinjer hur användare får hantera informationen och vilka krav som ställs på dem.
Silenta kan hjälpa er att:
- Identifiera de tekniska säkerhetsåtgärder som finns och används på organisationen
- Identifiera de organisatoriska säkerhetsåtgärder som finns och används på organisationen
- Kontrollera säkerheten av applikationer där personuppgiftsbehandlingar lagras och behandlas
För att genomföra dessa tjänster krävs det att Registerförteckningen är klar.
Silenta kan hjälpa er att:
- Identifiera de tekniska säkerhetsåtgärder som finns och används på organisationen
- Identifiera de organisatoriska säkerhetsåtgärder som finns och används på organisationen
- Kontrollera säkerheten av applikationer där personuppgiftsbehandlingar lagras och behandlas
För att genomföra dessa tjänster krävs det att Registerförteckningen är klar.
<span data-buffer="">Byggsten – Incidenthantering<span data-buffer="">
Om en personuppgiftsincident inträffar ställer GDPR krav på att en anmälan ska göras till Tillsynsmyndigheten senast 72 timmar efter incidenten kom till personuppgiftsansvarigs vetskap. 72 timmar är tre dygn och räknas oavsett om det är vardag eller helg. Det är därför viktigt att organisationen har en process för incidenthantering med rutiner och dokumentation som kan hantera en incident när den inträffar.
Det krävs att personalen inklusive biträden vet vad en personuppgiftsincident är och hur processen ser ut. Det krävs att det finns tillsatta roller för vem som gör vad, att det samlas in tillräcklig information för att göra bedömningar och åtgärder. Då GDPR ställer krav på att alla incidenter ska registreras och ska redovisas för tillsynsmyndigheten vid en eventuell kontroll behöver det finnas en uppsatt dokumentation för det.
Det är endast incidenter som innebär en risk eller hög risk för registrerades fri- och rättigheter som ska rapporteras. Processen för en inträffad personuppgiftsincident får bedömas i olika nivåer. Om det vid en bedömning finns en risk att incidenten kan påverka de registrerades fri- och rättigheter ska en anmälan göras. Vidare i processen ska bedömning göras om incidenten kan påverka den registrerade med hög risk då måste organisationen utreda hur alla berörda individer ska bli informerade för att berätta för dem vad som har hänt.
Från det att incidenten inträffar och så länge den pågår behöver organisationen ta reda på vad som har hänt, varför och vad som kan åtgärdas för att minimera åverkan och se till att det inte händer igen. Detta arbete kan ha initierats innan organisationens vetskap och pågå parallellt med resterande av incidentprocessen.
Så här kan de övergripande bedömningsnivåer, i tre steg, se ut vid hantering av inträffad personuppgiftsincident:
Den vanligast anmälda personuppgiftsincidenten till IMY är felskickade mejl eller sms. Andra personuppgiftsincidenter kan vara en förlorad mobiltelefon, stöld av dator, obehörig åtkomst med flera.
Silenta kan hjälpa er att:
- Ta fram en styrgrupp för incidenthantering
- Upprätta processen för att hantera incidenter och dokumentation
- Upprätta incidentregister
<span data-metadata=""><span data-buffer="">Byggsten – Biträdesavtal
Ansvarsförhållandet mellan personuppgiftsansvarig och biträdet ska beskrivas i ett biträdesavtal. I biträdesavtalet ställer personuppgiftsansvarige krav på vad biträdet får behandla, hur behandling ska ske och med vilken säkerhet.
Det är viktigt att analysera relationen och kontrollera om det är ett biträdesförhållanden innan processen för biträdesavtal sätts i gång. Att teckna biträdesavtal i de fall där det inte finns ett biträdesförhållande kan göra att det skapar onödig administration och ansvarsförhållandena även blir felaktiga.
GDPR ställer krav dels på att avtal ska tecknas där behandlingen regleras, dels att alla biträdes- och samarbetsavtal bör finnas i en förteckning för kontroll och som kan plockas fram vid revision och tillsyn. I förteckningen bör det finnas med var de påskrivna avtalen är lagrade så att avtalen lätt kan hittas vid granskning.
Silenta kan hjälpa er att:
- Ta fram en process för analys om relation och om avtal behöver tecknas
- Identifiera redan tecknade biträde- och samarbetsavtal
- Ta fram och teckna biträdesavtal och samarbetsavtal med leverantörer och samarbetspartners
- Upprätta ett register över alla biträde- och samarbetsavtal
<span data-buffer="">Byggsten – Utbildning<span data-buffer="">
För att personuppgiftsansvariga ska följa lagen och upprätthålla registrerades rättigheter samt efterleva principerna så bör det utvecklas ett utbildningsprogram så att användare vet hur de får samla in och behandla personuppgifter. Det är viktigt att personalen får ett GDPR-tänk i sin vardag.
Silenta kan hjälpa er att:
- Genomföra grundläggande utbildning om GDPR för anställda
- Genomföra utbildning av olika processer som implementeras
<span data-buffer="">Byggsten – Principer<span data-buffer="">
Inom GDPR finns sju grundläggande principer om hur personuppgifter får inhämtas, behandlas, lagras och gallras. Det vill säga hela livscykeln för behandling av personuppgifter. Denna dokumentation beskriver vilka riktlinjer organisationen har satt upp för de användare och registrerade som finns i registren och hur personuppgifterna används. De grundläggande principerna måste genomsyra alla behandlingar i organisationen och är:
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Riktighet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet
Silenta kan hjälpa er att:
- Ta fram sätt att verifiera om principernas uppfylls som organisationen kan använda i interna revisioner
För att genomföra dessa tjänster behöver organisationen implementering av GDPR vara nästa klar.
Silenta kan hjälpa er att:
- Ta fram sätt att verifiera om principernas uppfylls som organisationen kan använda i interna revisioner
För att genomföra dessa tjänster behöver organisationen implemtntering av GDPR vara nästa klar.
<span data-buffer="">Byggsten – Överföring utanför EU/EES<span data-metadata="">
Inom EU/EES får man överföra personuppgifter fritt, dock så är det viktigt att se över de överföringar som sker utanför EU/EES och säkerställa att rätt skyddsmekanismer finns och är laglig. Dessa överföringar måste dokumenteras med vilka skyddsmekanismer som är implementerade.
Till exempel:
- Adekvat skyddsnivå
- Standardkontraktsklausuler
- Samtycke
Silenta kan hjälpa er att:
- Identifiera om överföringar görs utanför EU/EES
- Säkerställa att dessa överföringar är lagliga
För att genomföra dessa tjänster krävs det att Registerförteckningen är klar.
Silenta kan hjälpa er att:
- Identifiera om överföringar görs utanför EU/EES
- Säkerställa att dessa överföringar är lagliga
För att genomföra dessa tjänster krävs det att Registerförteckningen är klar.
<span data-buffer="">Byggsten – Dataskyddsombud<span data-buffer="">
Ett Dataskyddsombud ska finnas om organisationen är ett offentligt organ, eller om organisationens kärnverksamhet består av regelbunden systematisk övervakning av de registrerade i stor omfattning, eller om kärnverksamheten behandlar känsliga personuppgifter eller uppgifter om brott i stor omfattning. Kortfattat har Dataskyddsombudet som uppgift att se till att organisationen efterlever lagen.
Om er organisation inte måste ha ett Dataskyddsombud bör organisationen utse en ansvarig som driver GDPR-frågor och processer. Vanligt är att organisationen har en förvaltning med en grupp som består av representanter från varje avdelning som tillsammans hanterar GDPR. Den gruppen drivs av GDPR-ansvarig.
Ett dataskyddsombud eller en GDPR-ansvariges roll är att våra rådgivande och informerande. Det ingår att övervaka efterlevnad, utbilda personal som behandlar personuppgifter, ge råd och övervaka konsekvensbedömningar om dataskydd, samarbeta och vara kontaktperson för tillsynsmyndigheten, med mera.
Boka en kostnadsfri konsultation
Välkomna att boka en kostnadsfri konsultation med oss!
30 minuter digitalt möte
Vill du veta mer om hur vi behandlar dina kontaktuppgifter? Läs vår integritetspolicy