Företag behöver styrka att de följer GDPR (dataskyddsförordningen) inom verksamheten, vilket kan ske genom att upprätta skriftliga interna rutiner om hanteringen av personuppgifter.
Det finns olika typer av interna rutiner om hanteringen av personuppgifter som ett företag kan utveckla och implementera i sin verksamhet. Rutinerna ska vara anpassade specifikt efter verksamheten och för de ändamål verksamheten bestämmer är nödvändigt. De interna rutinerna ska vara tillgängliga för medarbetare och ska underlätta hanteringen och behandlingen av personuppgifterna. Syftet me de interna rutinerna är att personal och medarbetare ska hantera personuppgifterna korrekt, enhetligt och i enlighet med de interna rutinerna. Dessutom styrker de interna rutinerna att företaget följer GDPR i sin verksamhet, genom att det finns dokumenterade instruktioner om personuppgiftsbehandlingen. Om en tillsynsmyndighet efterfrågar underlag som styrker att företaget följer GDPR, är det positivt att kunna uppvisa interna rutiner.
Exempel på interna rutiner om hanteringen av personuppgifter
Företag kan ha olika typer av interna rutiner om hanteringen av personuppgifter, beroende på verksamheten. Nedan kan du läsa en kort sammanfattning om några olika interna rutiner som företag kan ha.
Intern rutin för personuppgiftsincidenter
Det är bra att alla företag som behandlar personuppgifter upprättar en skriftlig intern rutin för personuppgiftsincidenter. I rutinen bör det framgå hur företaget ska agera om en personuppgiftsincident inträffar. En personuppgiftsincident innebär att företaget förlorar kontrollen över personuppgifterna och det kan ske på olika sätt. Exempelvis genom att företagets konton blir hackade, borttappad eller stulen arbetsdator, virus eller dataintrång. Genom att ha skriftliga instruktioner för hur företaget ska hantera en incident, kan alla verksamma inom företaget följa rutinen.
Intern rutin för gallring av personuppgifter
Enligt GDPR får personuppgifter enbart bli lagrade under så lång tid som det är nödvändigt, för ändamålet med personuppgifterna. När personuppgifter inte längre får bli lagrade, ska de bli raderade. Därför är det bra att upprätta en intern rutin för gallring av personuppgifter, för att kunna styrka att gallring blir genomförd i enlighet med GDPR. Det är bra att dokumentera när gallring ska ske, från vilka lagringsplatser, hur det ska gå till och anteckning om gallringsprocessen. På så sätt kan företaget ha en enhetlig rutin för hur gallring ska gå till. Gallring ska ske från samtliga lagringsplatser, exempelvis e-post, molnlagring, arbetsdator, arbetsmobil m.m.
Intern rutin för att tillgodose de registrerades rättigheter
De registrerade personerna, vars personuppgifter blir behandlade av företaget, har vissa rättigheter enligt GDPR. Företaget måste kunna styrka att rättigheterna blir tillgodosedda av företaget och ett sätt att göra detta på, är genom att ha skriftliga interna rutiner. De interna rutinerna kan handla om hur företaget ska hantera en förfrågan om radering av personuppgifter, eller vad som ska ske ifall en person begär att få ett registerutdrag och information om vilka personuppgifter om personen som företaget har registrerat.
