Processen för att dokumentera DSF-efterlevnad

Processen för att dokumentera och upprätthålla DSF (GDPR) efterlevnad är en kontinuerlig cykel av flera aktiviteter:

Det här är en kort översikt över nyckelaktiviteter, och en dataskyddsspecialist kan komma att utföra många andra uppgifter relaterade till dataskydd och efterlevnad som inte nämns här: begärningar från registrerade, konsekvensbedömningar av dataskydd, bedömningar av berättigat intresse, konsekvensbedömningar av överföringar, interna granskningar av nya system och manuella processer, intern utbildning och rådgivning, och många fler. Men låt oss titta på grunderna.

Upptäckte

Det börjar med upptäckten. Du måste misstänka att viss behandling utförs av ditt företag. Det kan vara lätt i ett litet företag och mycket svårt i ett större och distribuerat företag. Som en integritetsspecialist, vanligtvis extern till de flesta processägare, måste du misstänka att någon kan äga en behandlingsaktivitet inom företaget, hitta den ägaren och boka ett samtal.

Du kan misstänka att vissa aktiviteter pågår (försäljning, marknadsföring, HR, löner), men du kan också upptäcka många specifika eller interna aktiviteter. Ofta kommer du att upptäcka en karta över aktiviteter och datastreamar som inte fanns tidigare.

IT-avdelningen är ofta medveten om majoriteten av de automatiska processerna, även om de inte äger eller driver dem. Manuella processer kan vara svårare att upptäcka, så du behöver vara proaktiv under intervjun för att slutligen få veta vad alla gör.

Intervjua

I allmänhet är dokumentationen för DSF-efterlevnad intervjubaserad: du frågar processägare (eller vem som helst som är kunnig) om detaljerna för varje specifik process och skriver ner svaren. Det förväntas (och är allmänt accepterat) att datorsystem gör vad deras ägare tror att de gör och att mänskliga kollegor gör vad de ska göra. Du behöver vidta åtgärder om du misstänker att denna förutsättning inte längre är giltig. Till exempel, om människor berättar inkonsekventa historier om vissa processer, eller om du kan observera processen själv.

En intervju är typiskt sett ägnad åt en enda behandlingsaktivitet (eller några få nära relaterade aktiviteter). Ofta har du två olika kollegor: någon som är ansvarig för aktiviteten och någon annan som känner till den i varje detalj. Du kanske vill registrera deras namn i fälten 'Ansvarig person' och 'Kontaktperson' i registren över behandlingsaktiviteter i PrivacyDocs.

Processägare kan ofta inte ge dig den bild du behöver. Till exempel kan ett IT-system betjäna många olika processer, och personer som är involverade i processerna kanske inte är medvetna om detaljerna kring hur data matas in i systemet, tillämpliga säkerhetsåtgärder, lagring, information som ges till berörda parter, etc. Det är också vanligt att den juridiska avdelningen hanterar alla kontrakt, och personer som äger en process inom ett företag har inte en kopia av det.

Register över behandlingsaktiviteter

Målet med intervjuerna är att fylla i registren över behandlingsaktiviteter och att preliminärt notera nya aktiviteter som upptäcks under intervjuerna.

En timme är ofta inte tillräckligt för den inledande intervjun, och uppföljningar kan behövas. (Årliga) granskningar är vanligtvis mycket kortare och övergår så småningom till snabba e-postutbyten: 'Har något förändrats?'

Att dela PrivacyDocs-skärmen med den aktuella posten med dina kollegor under en intervju hjälper dem att förstå den bättre och engagera sig. Du kan dela det slutgiltiga tillståndet av posten efter intervjun med intressenterna för att bekräfta och undvika missförstånd.

Avtal

Att fastställa den rättsliga grunden för varje aktivitet är en separat uppgift eftersom den ofta inte är lätt tillgänglig under intervjuerna. Följande situationer inträffar ofta:

• Behandling baserad på avtal, såsom ett anställningsavtal eller ett försäljningsavtal. Som en privacyprofessionell behöver du hitta avtalet så som det är undertecknat av de registrerade (individer), samla alla varianter av avtalen och bedöma dem för att säkerställa att det som överenskommits stämmer överens med vad som dokumenterats i din efterlevnadsdokumentation. Dessa avtal kan hanteras av andra avdelningar, endast existera elektroniskt eller bestå av olika juridiska dokument. Referenser till avtalen och deras texter anges sedan i PrivacyDocs i de motsvarande fälten.
• Behandling baserad på berättigat intresse. Enligt DSF måste du 'fastställa' ett berättigat intresse genom att genomföra en Bedömning av Berättigat Intresse. Enbart tron att företaget har rätt att utföra en viss behandlingsaktivitet är inte tillräcklig för att vara i överensstämmelse. PrivacyDocs erbjuder ett specialiserat formulär som du kan fylla i. När du gör detta kan du upptäcka att företaget faktiskt inte har något 'berättigat' intresse av att genomföra behandlingen, eller att behandlingen behöver uppdateras, eller att de associerade riskerna behöver utvärderas och hanteras.
• Behandling baserad på samtycke kräver vanligtvis att man hittar de exakta texter som individerna samtycker till. Dessa texter tillhandahålls ofta av försäljnings- eller marknadsföringssystem, är inte enhetliga och hanteras inte riktigt som avtalsöverenskommelser. De måste anges i de lämpliga fälten i PrivacyDocs.

Uppdatera policyer

När en behandlingspost uppdateras kan det vara bra att granska de policyer, meddelanden och avtal där de registrerade informeras eller samtycker till behandlingen. En väldefinierad policy eller meddelande skulle vara tillräckligt omfattande för att inte kräva regelbundna uppdateringar. Det är ändå meningsfullt att granska dem för att hålla sig i synk med resten av dokumentationen om dataskydd.

PrivacyDocs stöder generationen av dessa dokument med 'Policy'-knapparna på verktygsfältet. Efter att ha avslutat din årliga granskning kan du regenerera policyerna och jämföra dem med föregående års versioner med hjälp av jämförelsefunktioner i Microsoft Word eller andra verktyg. På så sätt säkerställer du att dina policydokument är aktuella.

Undersöka överträdelser

Du kan registrera och undersöka personuppgiftsincidenter när de inträffar. Normalt bör små låg-risk incidenter inträffa regelbundet, och ett välfyllt register över dessa incidenter är det bästa tecknet på din efterlevnad av registreringskraven för incidenter enligt DSF (GDPR).

Ett brott skulle typiskt framhäva en risk som behöver mildras eller accepteras.

Identifiera och hantera risker

Risker kan identifieras på tre ställen:

• Preliminär riskidentifiering som en del av ett register över behandlingsaktiviteter (fält 'Risker')
• Konsekvensbedömning av dataskydd (tabell 'KBD - Konsekvensbedömningar av dataskydd')
• Bedömning av överträdelser under registrering av överträdelser

De flesta risker leder till ett affärsbeslut, som sträcker sig från att acceptera riskerna som de är till att ändra de behandlingsaktiviteter som orsakar risken. Du behöver dokumentera dessa steg eftersom de utgör en del av efterlevnadsdokumentationen. Processen för att svara på en risk kan ta tid, särskilt om ett korrekt svar kräver en materiell förändring i behandlingen.

Dokumentera beslut

Dokumentation om beslutsfattande är en del av efterlevnadsdokumentationen. Motsvarande e-postmeddelanden, chattmeddelanden och sammanfattningar av samtal måste samlas in och bifogas varje risk. De bör bäst lagras i en separat mapp som är länkad från PrivacyDocs.

Arbeta med efterlevnadsgap

DSF-efterlevnad är alltid ett pågående arbete. Något är alltid inte klart: saknade dokumentationsdelar, risker som kräver åtgärder, osv. Dessa luckor och företagets pågående framsteg för att täcka dem bör återspeglas i dokumentationen för dataskydd.

Vi kan hjälpa dig

Vi kan hjälpa till med att genomföra intervjuer och upptäcka din karta över behandlingsaktiviteter som en del av PrivacyDocs DSF-konsulttjänster.