Policies och riktlinjer

Styrdokument enligt GDPR

Dataskyddsförordningen ställer krav på att den personuppgiftsansvariga organisationen ska kunna visa att man följer reglerna i dataskyddslagstiftningen och även hur man följer reglerna. Detta kräver att de personuppgiftsansvariga organisationerna dokumenterar åtgärder och beslut som fattas. Registerförteckningar och konsekvensanalyser ska dokumenteras, men även till exempel riskanalyser om säkerhetsåtgärder. Samla systematiskt och fortlöpande dokumentation som visar hur ni följer dataskyddsförordningen. Se till att dokumentation om dataskydd hålls på ett ordnat och systematiskt sätt och att rutiner finns för att hålla det uppdaterat.

Ett led i att visa att man följer reglerna är att anta styrdokument för dataskyddsarbetet.

Dataskyddsteamet rekommenderar att en övergripande dataskyddspolicy antas i högsta politiska instans, vilket innebär kommunfullmäktige/regionfullmäktige eller liknande. Dataskyddspolicyn bör gälla samtliga nämnder och styrelser samt organisationer där kommunen/regionen har rättsligt bestämmande inflytande. För kommunalförbund med direktion antas dataskyddspolicyn i direktionen.

Vidare ska det finnas riktlinjer för dataskydd som mer ingående slår fast hur arbetet med dataskydd ska genomföras. Riktlinjer bör antas på styrelsenivå.

En lokalt anpassad organisation för dataskyddsarbetet ska också finnas och den bör antas på styrelsenivå.

Alla organisationer som har en webbplats bör också ha integritetspolicy där det bl a framgår vilka personuppgifter som samlas in, vem som är personuppgiftsansvarig, kontaktuppgifter till dataskyddsombud och information om hur enskilda kan utnyttja sina rättigheter. Integritetspolicy bör antas på styrelsenivå.