När ska du använda en intern dataskyddspolicy?
Dokumentet är ett internt policydokument som riktar sig till ditt företags anställda (till skillnad från en integritetspolicy, som görs tillgänglig för registrerade utanför din organisation). Det ska användas för att göra medarbetare medvetna om sina skyldigheter inom dataskydd, ge en tydlig definition av vad personuppgifter är och fördela ansvar inom företaget för att skydda personuppgifter. Det kan också användas för att beskriva hur organisationen behandlar personuppgifter och redogöra för rättigheterna för de personer vars personuppgifter behandlas av ditt företag.
En intern dataskyddspolicy hjälper ditt företag att uppfylla kraven i Storbritanniens allmänna dataskyddsförordning (UK GDPR) och andra tillämpliga dataskyddsregler (som Data Protection Act 2018). Förutom att hjälpa ditt företag att följa lagen gör en välskriven intern dataskyddspolicy också följande:
ger medarbetare tydlig vägledning om deras ansvar inom dataskydd;
betonar vikten av att skydda personuppgifter som behandlas i verksamheten; och
sätter standarder för hur ditt företag fattar beslut om behandling av personuppgifter.
Den ska användas tillsammans med andra dataskyddspolicyer och dokument, som en integritetspolicy, en cookiepolicy och en policy för hantering av personuppgiftsincidenter.
Varför är en intern dataskyddspolicy viktig?
I Storbritannien måste företag behandla personuppgifter i enlighet med integritetslagstiftningen, inklusive UK GDPR. Nästan alla företag behandlar personuppgifter eftersom de samlar in uppgifter som namn, adresser och kontaktuppgifter till kunder, tjänsteleverantörer eller besökare på sin webbplats. Några exempel på hur du som mindre eller medelstort företag kan behandla personuppgifter är:
insamling av personuppgifter från potentiella kunder via din webbplats, sociala medier och andra kommunikationskanaler;
lagring av kunders kontaktuppgifter i CRM-system; och
inloggningsuppgifter för användare av din app eller webbplats.
Det finns risk för höga böter om du inte följer UK GDPR – de allvarligaste överträdelserna kan leda till böter på upp till 4 % av den globala omsättningen för föregående räkenskapsår eller 17,5 miljoner pund (det högre beloppet gäller), och andra överträdelser kan leda till böter på upp till 2 % av den globala årsomsättningen för föregående räkenskapsår eller 8,75 miljoner pund (det högre beloppet gäller).
Vilka är de vanligaste fallgroparna med en intern dataskyddspolicy?
Att bara anta en intern dataskyddspolicy räcker inte för att säkerställa efterlevnad av UK GDPR. Ditt företag behöver också kommunicera policyn till medarbetarna samt införa och följa de dataskyddsrutiner som anges i policyn. Policyn ska passa din verksamhet och spegla vilka typer av personuppgifter som ditt företag behandlar. Om ditt företag bara behandlar små mängder personuppgifter och är relativt litet kan du överväga att inkludera dataskyddspolicyn i företagets personalhandbok i stället för att ha den som ett separat dokument.
Kom ihåg att en intern dataskyddspolicy bara är en del av företagets arbete med dataskyddsefterlevnad. Den ersätter inte dokument som en integritetspolicy eller ett integritetsmeddelande (som bör lämnas till anställda tillsammans med deras anställningsavtal när de börjar hos ditt företag).
Ansvarsfriskrivning:
Observera: Miramis ersätter inte en advokat eller advokatbyrå. Om du har juridiska frågor om innehållet på den här sidan, kontakta en kvalificerad jurist.
Relaterade artiklar
Personuppgiftsbiträdesavtal
Skapa vattentäta personuppgiftsbiträdesavtal med experthjälp från Miramis för att skydda personuppgifter och uppfylla strikta regelkrav.
Mall för integritetspolicy
Skapa en robust integritetspolicy med Miramis mall. Säkerställ att du följer dataskyddslagar och bygg förtroende hos dina kunder.