OK, vi kommer inte att ljuga för dig: Att dokumentera att din verksamhet följer den nya dataskyddsförordningen kan vara en av de mest manuellt intensiva delarna av att uppfylla kraven i GDPR. Eftersom det finns väldigt lite information om det fritt tillgängligt så har vi satt samman en guide för hur du skapar din egen dokumentation.

För det första en snabb översikt över GDPR-dokumentationen

För att visa att du följer EU: s allmänna databeskrivningsförordning (GDPR), kommer du sannolikt att behöva producera och behålla ett brett spektrum av dokumentation. Detta hjälper dig inte bara att uppfylla de explicita och implicita kraven för ditt specifika register (särskilt bevisa att du har erhållit samtycke från registrerade), men kommer också att se till att du har bevis för att stödja dina påståenden om tillsynsmyndigheten har någon anledning att genomföra en utredning av din hantering.

Vilken dokumentation är särskilt viktig?

  • Uttalanden om den information du samlar in och bearbetar och syftet med behandlingen (artikel 13 i GDPR).
  • Dokumenterade samtycken från registrerade eller relevant innehavare av föräldraansvar (artiklarna 7 och 8 i GDPR).
  • Dokumentation om bearbetningsaktiviteter som står under ditt ansvar (artikel 30 i GDPR).
  • Dokumenterade processer för att skydda personuppgifter, t.ex. en informationssäkerhetspolitik, krypteringspolitik och rutiner etc.

Precis som med att skapa / underhålla dokumentation för vilket hanteringssystem som helst, finns det följande grundläggande regler som du bör följa:

  1. Det måste vara komplett – starta inte något och förvänta dig att det är tillräckligt bra.
  2. Det måste vara heltäckande – var noga med att lämna ingenting.
  3. Det borde vara i linje med GDPR – ha en kopia av GDPR-kraven bredvid dig när du bygger din dokumentation.

Det måste skräddarsys för att passa din organisation – den här delen är verkligen viktig, och ganska ofta något som organisationer glömmer. Se till att din dokumentation är tillämplig på din organisation. Alltför många gånger har vi sett att företag producerar en minimal, icke-beskrivande dokumentation som kan gälla för alla organisationer. Gör det själv.

  • Dokumentationen ska göras tillgänglig för din personal, men med varierande tillgångsnivåer.
  • Undvik dubbelarbete över dokumentationen – om möjligt bör dokumentationen struktureras så att du inte behöver uppdatera saker på flera ställen.
  • Det borde finnas en standardinriktning till dina dokument, så att de alla har samma utseende – versionskontroll, ändra historia, format etc.
  • Dokumentationen har en livscykel: första utkastet – publicerat – pensionär.
  • Dokument bör kontrolleras.
  • Använd jobbtitel istället för namn.