Vägen till efterlevnad

De beslut som ni fattar om behandlingen av era uppgifter är avgörande för att säkerställa att ni följer era skyldigheter enligt dataskyddsförordningen (GDPR). Men hur uppfyller ni de här skyldigheterna samtidigt som ni uppfyller kraven i nationell lagstiftning och er verksamhets specifika behov?

Underlätta efterlevnad genom  att klassificera er data enligt vårt klassificeringsprogram som följer dataskyddsprinciperna. Uppfyll era skyldigheter med lätthet tack vare våra minsta lagringstider. Behöver ni lägga till kategorier för särskilda ändamål eller ange andra lagringstider än de som föreslås? Inga problem. Ni skräddarsyr bara dessa policyer efter era verksamhetsbehov med våra fullt anpassningsbara lösningar.

Ett personuppgiftsbiträdes uppgift är endast att behandla era data i enlighet med era instruktioner. Men vi ser oss som något mer än bara ert personuppgiftsbiträde. Som er affärspartner är vi engagerade i att dela med oss av vår expertis och skapa smarta funktioner för att göra era beslut i datafrågor enklare.

Vår handlingsplan Vägen till efterlevnad består av fyra enkla steg med en kort beskrivning av och en tydlig överblick över när leveranser ska ske och vem som ska vidta åtgärder. Varje steg innehåller också länkar till relevant dokumentation från vårt paket Vägen till efterlevnad för mer information. Om ni följer dessa steg med stöd av våra resurser och konsulter kommer ni att vara på god väg mot efterlevnad. Tveka inte att kontakta oss om ni har några frågor.

Handlingsplan

Sammanfattning
Först måste ni definiera den lagliga grunden för behandlingen av era data, eftersom vi behöver känna till den innan vi kan gå vidare till nästa steg och det även kan påverka gallringsprocessen. Att separera personuppgifterna i olika integritetskategorier är en förutsättning för datarapports- och dataexportfunktionerna, vilka är viktiga för att iaktta de registrerades rättigheter. Ändamålskategorier och lagringstider måste definieras för att säkerställa att lagstadgade krav och era specifika verksamhetsbehov uppfylls och detta i sin tur resulterar i att ni får information till era register över behandlingen. Ni behöver analysera era dataflöden så att vi kan hjälpa er att skapa säkra överföringsmetoder och tydligt definierade inställningar för åtkomstbehörighet. Om alla dessa steg slutförs enligt vår föreslagna tidsplan, kommer era policyer att vara genomförda i våra produkter och processer senast den 25 maj.

1. Definiera laglig grund

Avtal

Personuppgifter som krävs för utföra skyldigheterna i ett anställningsavtal.

Samtycke

Personuppgifter som inte är nödvändiga för utförandet av skyldigheterna i ett anställningsavtal eller annan laglig grund.

  • Fritt val
  • Läs vårt statement om samtycke [Fråga till Ian/Sanna-Kaisa: var finns det? – borde det finnas en länk i den engelska texten som är publicerad?]

En laglig grund krävs för behandling av personuppgifter. Avtal, samtycke, berättigat intresse och lagstadgade krav ingår i de tillgängliga laglighetskategorierna. Ni kan använda våra register över behandling som mall om ni inte behandlar personuppgifter på grundval av samtycke eller berättigat intresse.

A lawful basis is required for processing personal data. Contract, consent, legitimate interest and statutory law are among the lawfulness categories available. You can use our Records of Processing as a template if you do not process personal data on the basis of consent or legitimate interest.

contract and consent
lawfulness definition

2. Gör data smartare

Indirekt identifierande uppgifter
Personuppgifter som indirekt hänför till en person eftersom chansen att de skulle gälla andra är hög och den särpräglade naturen är låg.

Direkt identifierande uppgifter
Personuppgifter som är unika eller mycket unika för endast en individ.

Känsliga uppgifter
Uppgifter som är känsliga till sin natur.

Alla personuppgifter som ingår i vår standardkonfiguration delas in i de tre kategorier som nämns ovan. Kategorin för känsliga uppgifter överensstämmer med de begränsande särskilda kategorierna för behandling i dataskyddsförordningen. Direkt identifierande personuppgifter och känsliga uppgifter sammanställs med era register över behandling i en datarapport för att informera era anställda om den vanligast förekommande typen av data som behandlas och funktionen för dataexport (portabilitet) tillhandahåller alla data i ett maskinläsbart format.

Intelligent data
intelligent

3. Särskilja mellan olika ändamål

Produktändamål
Uppgifterna är nödvändiga för att produkten ska kunna uppfylla sitt ändamål.

Juridiska ändamål
Uppgifterna är nödvändiga för att uppfylla ett lagstadgat krav.

Kundens ändamål
Uppgifter som vi behandlar men inte behöver.

Varje laglighetskategori kan ha ett eller flera ändamål för behandling. Vi har lagt till flera fördefinierade ändamål som rekommendation, men ni får gärna anpassa dem till er verksamhet och era ansvarsområden som personuppgiftsansvarig.  Ändamålen är grupperade efter ändamålsklassificering. Ni behöver därefter ange lagringstider som baseras på behandlingens ändamål. Vi tillhandahåller också rekommenderade lagringstider anpassade efter nationella lagstadgade krav i våra register över behandling för användning efter ert eget gottfinnande. När ni har fastställt era ändamål för behandling och lagringstider, har ni vad ni behöver för att förbereda era register över behandling.

differentiate purpose

4. Kontrollera flöde och åtkomst

Direkt överföring
Färre  behandlingsåtgärderför uppgifterna minskar riskerna för integritet och korrekthet.

E-post
Känsliga eller mycket unika direktrelaterade personuppgifter bör  krypteras.

Åtkomst
Ingen bör får åtkomst till data som de inte behöver eller inte borde få åtkomst till.

Det är nödvändigt att kontrollera vem som har åtkomst till data och hur de överförs för att bevara korrektheten, integriteten och säkerheten. Börja med att analysera era dataflöden, särskilt i slutet av era datas livscykel. Baserat på analysen kan vi hjälpa er att skapa e-postkryptering, en direktanslutning mellan ert företag och vårt och/eller direktintegration med tredje parter som fackföreningar, banker och leverantörer av personalförmåner. Ni behöver också meddela vem som ska ha åtkomst till vilka uppgifter för att kunna tillvarata de registrerades rättigheter och garantera säkerheten.

GDPR- flow and access
Flow and access

PAKET

Innehåll

1 Databehandlingsavtal

Databehandlingsavtalet reglerar det formella förhållandet och skyldigheterna mellan Aditro som personuppgiftsbiträde och ert företag som personuppgiftsansvarig.
ENGELSKA
NORSKA
SVENSKA
FINSKA

2 Dataskyddspolicy – personuppgiftsbiträde

Dataskyddspolicyn beskriver de organisatoriska och tekniska skyddsåtgärder som Aditro har vidtagit för att skydda personuppgifter.
ENGELSKA
NORSKA
SVENSKA
FINSKA

3 Register över behandling

I våra register över behandling finns kontaktuppgifterna till vårt dataskyddsombud, behandlingens ändamål, en beskrivning av kategorierna av personuppgifter, kategorierna av mottagare och tekniska och organisatoriska säkerhetsåtgärder.
ENGELSKA

4 Ramverk för uppgiftsförvaltning 

Detta dokument syftar till att skapa ett ramverk för starkare uppgiftsförvaltning med hjälp av en klassificering som grundar sig på principerna och målen för dataskydd.
ENGELSKA

5 Efterlevnadsmatris

Efterlevnadsmatrisen ger en översikt över kraven i dataskyddsförordningen och hur de återspeglas i Aditros processer och lösningar.
ENGELSKA

Vanliga frågor

 Kan vårt företag genomföra stegen ovan på egen hand?

Steg 1: Det här steget är ert ansvar men det påverkar eventuella justeringar som behöver göras i steg 3. Kontakta oss om ni behöver hjälp av våra konsulter.

Steg 2 och 3: Vi strävar efter att tillhandahålla omfattande resurser för att möjliggöra självbetjäning, men vi rekommenderar att ni samarbetar med våra konsulter för bästa resultat.

Steg 4: Vi rekommenderar starkt att ni kontaktar våra konsulter för detta steg.

Hur anlitar jag Aditros konsulter?

Vi kommer att lansera specifika , men ni är välkommen att kontakta vårt konsultteam tidigare.

Hur hittar vi vad vi behöver för självbetjäning?

Den produktspecifika information som ni behöver för självbetjäning kommer att göras tillgänglig i slutet av februari i form av guider på kundsidorna och ett produktwebbinarium. Ni kan också hitta information i vårt dokumentationspaket. Se resursdelen i handlingsplanen för att se vilka dokument som är relevanta för varje steg.

Kommer allting verkligen att vara klart till dataskyddsförordningens genomförandedatum, den 25 maj?

Vi kan bara garantera att ovanstående steg kommer att vara slutförda om ni arbetar med våra konsulter och gör de leveranser som krävs av er enligt tidsplanen. De flesta funktionerna, som radering och datautdrag, kan användas när nya produktuppdateringar släpps före genomförandedatumet. Handlingsplanen ovan har utformats så att ni kan visa att ni aktivt arbetar med dataskyddsprinciper och för att ge en smidig övergång till efterlevnad. Funktioner för borttagning av data bör konfigureras på lämpligt sätt före användning och det är därför vi rekommenderar att ni följer de här stegen.

KONTAKT

Även om vi strävar efter att tillhandahålla alla de resurser som ni behöver för självbetjäning, rekommenderar vi att ni kontaktar våra konsulter så att de kan hjälpa er att spara tid och öka effektiviteten på vägen till efterlevnad. Vi kommer att lansera specifika paket för genomförande av dataskyddsförordningen i slutet av februari, men ni är välkommen att kontakta vårt konsultteam tidigare.

Dataskyddsombud
Ian van de Walle
E-post
Direkt: +46 (0)767 686 679

KONSULTER
Sverige

Klicka på länken nedan
Kundsidor

Norge
Klicka på länken nedan
Kundesider

Finland
Klicka på länken nedan
Asiakassivut

YTTERLIGARE INFORMATION

Webbinarier
Dataskyddsförordningen – Vägen till efterlevnad  (klicka för att titta på inspelningen)

GDPR Road to compliance for outsourcing customers (klicka för att se inspelningen)

Outsourcing Road to Compliance (pdf från webinar)

Videor 
Aditros mötesinspelning (svenska)
Aditros möte, frågestund (engelska)