GDPR – Ansvariga
Avtal och dokument
Vi skriver de GDPR avtal och dokument som företag måste ha enligt GDPR till fasta priser.
GDPR-relaterade avtal och dokument
Företag måste kunna visa att de följer GDPR, även kallad för dataskyddsförordningen. Det innebär bland annat att ha lämpliga GDPR-relaterade avtal och dokument.
Detta är några avtal och dokument som företag kan behöva för att följa GDPR:
Integritetsmeddelande
Ett Integritetsmeddelande, även kallat för dataskyddspolicy, sekretesspolicy och integritetspolicy, är ett viktigt GDPR-dokument som företag måste ha enligt lagen. På engelska är det kallat för ”Privacy Policy”. I Integritetsmeddelandet ska det framgå hur företaget behandlar personuppgifter, ändamålet med behandlingen, vilka personuppgifter som blir behandlade, hur länge uppgifterna blir lagrade, vem uppgifterna blir delade med osv.
Detta dokument ska vara skriven med ett enkelt språk så att läsaren förstår innehållet. Integritetsmeddelandet kan med fördel bli publicerad offentligt på företagets hemsida för att allmänheten ska kunna läsa om behandlingen.
Kort fakta om GDPR. Det:
- Började gälla i maj 2018.
- Finns sex rättsliga grunder och sju grundläggande principer.
- Är en EU-förordning som innebär att det gäller i hela EU/EES-området.
Upprätta interna rutiner
Interna rutiner är viktiga GDPR dokument som företag måste skriva. Det är viktigt att se till att samtliga anställda och medarbetare känner till de interna rutinerna och arbetar utefter dem. De interna rutinerna handlar om exempelvis hur de registrerades rättigheter tillgodoses, hur personuppgiftsincidenter ska bli hanterade, hur gallring av icke längre nödvändiga personuppgifter ska ske och liknande. De interna rutinerna ska vara dokumenterade i skrift. Det är även dessa interna rutiner som Integritetsskyddsmyndigheten kan efterfråga vid en inspektion.
Personuppgiftsbiträdesavtal
Ett biträdesavtal (personuppgiftsbiträdesavtal) är ett mycket centralt GDPR avtal av stor betydelse. Alla företag, som ger någon annan i uppdrag att behandla personuppgifterna för den ansvariges räkning, måste enligt lagen upprätta ett biträdesavtal med personuppgiftsbiträdet. Biträdet behandlar personuppgifterna på uppdrag av den ansvariges räkning. PB-avtalet innehåller instruktioner om hur personuppgifterna får bli behandlade och andra viktiga bestämmelser som biträdet måste följa. Exempelvis är biträdet enligt lagen skyldigt att meddela den ansvarige om incidenter.
Om ett personuppgiftbiträde anlitar ett underbiträde, ska dessa parter också ingå ett biträdesavtal. Enligt GDPR är det viktigt att alla parter följer GDPR i sin behandling av personuppgifterna.
Registerförteckning
En registerförteckning är ett GDPR dokument som innehåller olika tabeller över kategorier av registrerade personer, kategorier av personuppgifter, lagringsplatser, leverantörer, system, biträden m.m.
Registerförteckningen är viktig eftersom den ger en överblick över hur företaget behandlar personuppgifter, vart personuppgifterna finns lagrade, vilka personuppgiftbiträden som hanterar uppgifterna för företagets räkning och liknande information. Genom registerförteckningen kan den mest centrala informationen vara på en samlad plats, vilket underlättar gallring m.m.
Loggböcker
Företag bör upprätta olika typer av loggböcker för att styrka att företaget följer GDPR inom sin verksamhet. Exempelvis bör företag upprätta loggbok för incidenter, för gallring av personuppgifter och för lösenordsbyten. I en loggbok ska företaget registrera när händelser inträffar, vilka åtgärder som vidtagits m.m.
Behöver ni hjälp?
Vi kan hjälpa er genom att skriva GDPR-relaterade avtal och dokument till fast pris. Arbetet sker på distans via dator och telefon. Priserna är fasta och inkluderar alltid samtal med jurist samt genomgång av avtalet. Vi har dessutom skapat olika GDPR-paket som innehåller flera viktiga GDPR-relaterade avtal och dokument som företag kan behöva.
Mer information
Bedömningar
Företag kan behöva göra olika bedömningar innan de påbörjar en behandling av personuppgifter. Till exempel en bedömning av det berättigade intresset om den rättsliga grunden är intresseavvägning. En annan bedömning är en konsekvensbedömning av dataöverföringar. Den kan företag behöva göra om de överför personuppgifter till tredjeland.