GDPR Avtal

Vi skriver de GDPR avtal och dokument som företag måste ha enligt GDPR till fasta priser

DATASKYDDSPOLICY

En dataskyddspolicy är ett viktigt GDPR avtal som företag måste ha enligt lagen. På engelska är det kallat för ”Privacy Policy”. I dataskyddspolicyn ska det framgå hur företaget behandlar personuppgifter, ändamålet med behandlingen, vilka personuppgifter som blir behandlade, hur länge uppgifterna blir lagrade, vem uppgifterna blir delade med osv. Denna policy ska vara skriven med ett enkelt språk så att läsaren förstår innehållet. Dataskyddspolicyn kan med fördel bli publicerad offentligt  på företagets hemsida för att allmänheten ska kunna läsa om behandlingen.

INTERNA RUTINER

Interna rutiner är viktiga GDPR dokument som företag måste skriva. Det är viktigt att se till att samtliga anställda och medarbetare känner till de interna rutinerna och arbetar utefter dem. De interna rutinerna handlar om exempelvis hur de registrerades rättigheter tillgodoses, hur personuppgiftsincidenter ska bli hanterade, hur gallring av icke längre nödvändiga personuppgifter ska ske och liknande. De interna rutinerna ska vara dokumenterade i skrift. Der är även dessa interna rutiner som Datainspektionen kan efterfråga vid en inspektion.

PB-AVTAL

Ett PB-avtal (personuppgiftsbiträdesavtal) är ett mycket centralt GDPR avtal av stor betydelse. Alla företag, som ger någon annan i uppdrag att behandla personuppgifterna för den ansvariges räkning, måste enligt lagen upprätta ett PB-avtal med personuppgiftbiträdet. Biträdet behandlar personuppgifterna på uppdrag av den ansvariges räkning. PB-avtalet innehåller instruktioner om hur personuppgifterna får bli behandlade och andra viktiga bestämmelser som biträdet måste följa. Exempelvis är biträdet enligt lagen skyldigt att meddela den ansvarige om incidenter. 

REGISTERFÖRTECKNING

En registerförteckning är ett GDPR dokument som innehåller olika tabeller över kategorier av registrerade personer, kategorier av personuppgifter, lagringsplatser, leverantörer, system, biträden m.m. Registerförteckningen är viktig eftersom den ger en överblick över hur företaget behandlar personuppgifter, vart personuppgifterna finns lagrade, vilka personuppgiftbiträden som hanterar uppgifterna för företagets räkning och liknande information. Genom registerförteckningen kan den mest centrala informationen vara på en samlad plats, vilket underlättar gallring m.m.

UNDERBITRÄDESAVTAL

Om ett personuppgiftbiträde (”PB”) anlitar ett underbiträde (”PuB”), ska dessa parter ingå ett PB-avtal. Enligt GDPR ska den personuppgiftsansvarige godkänna samtliga PuB som PB anlitar och har rätt att neka till ett visst PuB. Det är viktigt att alla parter följer GDPR i sin behandling av personuppgifterna.

LOGGBÖCKER

Företag bör upprätta olika typer av loggböcker för att styrka att företaget följer GDPR inom sin verksamhet. Exempelvis bör företag upprätta loggbok för incidenter, för gallring av personuppgifter och för lösenordsbyten. I en loggbok ska företaget registrera när händelser inträffar, vilka åtgärder som vidtagits m.m.