Efter den gångna veckan där dina in-korgar utan tvivel överbelastades med e-post om uppdatering av sekretesspolicyer, kan du behöva ta en lång paus från de här två orden. Men om din organisation inte bidrog till mängden brev om sekretesspolicyer kommer du att sitta fast och tänka över dem lite längre.
Organisationerna måste uppdatera sina sekretesspolicyer och dela den med de registrerade för att uppfylla kraven i EG:s General Data Protection Regulation (GDPR). Underlåtenhet att göra detta innebär att du bryter mot flera av kraven i GDPR och kan utsätta dig för stränga disciplinära åtgärder.
Att skriva en sekretesspolicy
Din säkerhetspolicy ska förklara på vilket sätt du är ansvarig för dataskydd och hur enskilda kan utöva sina rättigheter som registrerade. Den skiljer sig från en dataskyddspolicy som är ett internt dokument som beskriver organisationens dataskyddsmål, ansvar och hur du avser hantera överträdelser.
Artiklarna 12, 13 och14 i GDPR beskriver kraven för en sekretesspolicy. De säger i huvudsak att du behöver informera de registrerade om att du har deras personuppgifter och talar om för dem hur du samlat in dem, var de förvaras och hur länge du avser behålla dem (DGPR anger att informationen bara får behållas ”så länge det är nödvändigt)”.
Andra frågor som du behöver förklara är:
- Vem samlar in uppgifterna (din organisation eller tredje part);
- Den rättsliga grunden för din behandling; och
- Om uppgifterna kommer att delas med tredje part.
Slutligen ska du förklara hur enskilda kan utöva sina rättigheter som registrerad. De viktigaste rättigheterna som ska poängteras är:
- Rätt till åtkomst: Enskilda måste få tillstånd att lämna en ansökan om åtkomst, vilket tvingar organisationer att lämna ut en kopia av eventuella personuppgifter rörande den enskilde.
- Rätten till rättelse: Om den enskilde upptäcker att den information som organisationen har om honom/henne är felaktig, ej komplett, kan han/hon begära uppdatering.
- Rätt till borttagning, radering (också känt som rätten att bli bortglömd’): Under vissa omständigheter kan den enskilde begära att organisationen tar bort hans/henes personuppgift.
- Rätten att begränsa bearbetningen: Som ett alternativ till borttagning finns det ibland möjlighet när den enskilde föredrar att begränsa behandlingen (som när de ifrågasätter riktigheten i personuppgiften).
Den enskilde har totalt åtta rättigheter om vilka du kan läsa om mera i detalj i vår blogg.
Formulering
GDPR har stränga krav på hur en sekretesspolicy ska formuleras och struktureras. Den måste vara:
- Kortfattad, transparent, begriplig och låttåtkomlig. Organisationer ska presentera informationen med så få ord som möjligt, varje policy ska presenteras separat och avsnittet måste vara klart åtskild från annan icke integritetsrelaterad information.
- Tydlig och skriven på ett vanligt språk. Policyn måste definitivt förklara vad organisationen avser att använda informationen till (och undvika vaga termer som ”kan”, ”några” och ”möjligen”). Den måste också vara skriven på ett sätt att den genomsnittlige medlemmen i den avsedda publiken kommer att förstå. Organisationer bör utforma särskilda bestämmelser om de förväntas att lämna information till barn och utsatta personer.
- Skriftligt. Även om icke-skriftliga meddelanden är tillåtna (videos, röstvarningar, tecknade serier och informativ grafik kommer att vara till hjälp – särskilt för barn eller utsatta personer) måste sekretesspolicyer alltid vara tillgängliga för att läsas i ett enda skriftligt dokument.
- Tillgänglig muntligt på begäran. Organisationer ska ha en inspelad version av policyn (eller någon som kan läsa upp den högt) skulle behov finnas.
Fler råd om efterlevnad av GDPR
För att få veta mer om efterlevnad av Förordningen hänvisas till EG GDPR – En Fick Guide. Skriven av Alan Calder, IT Governance’s grundar och styrelseordförande ger dig denna bod en klar förståelse av GDPR och förklarar:
- Termer och definitioner som används i Förordningen;
- De viktigaste kraven på efterlevnad; och
- Hur man följer GDPR.
