Dataskydds- och integritetspolicy

Dataskydds- och integritetspolicyn (P17) fastställer ett omfattande ramverk för skydd av personuppgifter och införande av privacy-by-design-principer i hela organisationen. Policyn fastställer de obligatoriska organisatoriska och tekniska kraven som krävs för att uppfylla internationella standarder och föränderliga regulatoriska ramverk, och säkerställer att personuppgifter hanteras på ett lagligt, säkert och transparent sätt genom hela sin livscykel. Omfattningen sträcker sig till alla organisationsenheter, all personal och system som behandlar personuppgifter, oavsett om de finns på fysiska eller digitala medier, och inkluderar molntjänster, SaaS-plattformar och mobila enheter. Policyn är tydlig i sin omfattning och klargör att alla anställda, uppdragstagare och tredje parter omfattas av dess krav. Alla miljöer där personuppgifter finns—produktions-, utvecklings-, test- eller säkerhetskopieringsmiljöer—omfattas. Policyn behandlar inte bara insamling, lagring och användning av personuppgifter, utan även lagringstid, bortskaffning, gränsöverskridande överföringar och hantering av rättigheter för registrerade. Ett centralt mål med policyn är att säkerställa efterlevnad av ledande regelverk och standarder: GDPR (artiklarna 5, 6, 12–23, 25, 28, 30, 32–34; skäl 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (klausulerna 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (kontrollerna 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (olika kontroller) och COBIT 2019 (APO12, DSS01, DSS05, MEA). För detta kräver den tilldelning av roller och ansvarsskyldighetsstrukturer: verkställande ledning säkerställer strategisk tillsyn; DPO samordnar efterlevnadsprocesser, genomdrivande av rättigheter för registrerade och interaktion med tillsynsmyndigheter; och säkerhet, juridik och regelefterlevnad, dataägare och IT implementerar tillsammans tekniska och organisatoriska skyddsåtgärder, upprätthåller register och hanterar personuppgiftsincidenter. Policyn kräver ett formellt ramverk för dataskyddsstyrning integrerat med organisationens ledningssystem för informationssäkerhet för konsekvent genomdrivande. Den avgränsar processer för att upprätthålla register över dataskyddsrisker, genomföra DPIA:er för behandling med hög risk och säkerställa att dataskyddskontroller (från uppgiftsminimering och pseudonymisering till schemaläggning av lagringstid och säker bortskaffning) är djupt inbäddade. Laglig behandling av information och dokumenterade rättsliga grunder är grundläggande, med uttrycklig hantering av samtycke, datainventeringar och gränsöverskridande dataflöden. Begäran från registrerade hanteras inom fastställda tidsfrister och loggas för spårbarhet, och robusta ramverk för hantering av personuppgiftsincidenter, undantagshantering och tredjepartstillsyn beskrivs i detalj. Regelbundna översyner, revisionsspår och ett krav på årliga (eller ad hoc) internrevisioner bidrar till att säkerställa att policyn förblir effektiv och responsiv på regulatoriska förändringar, revisionsiakttagelser eller större incidenter. Varje väsentlig uppdatering måste godkännas av verkställande ledning och dokumenteras i ledningssystemet för informationssäkerhet. Policyn utgör en integrerad del av organisationens bredare informationssäkerhets- och riskhanteringssystem och kopplas nära till kompletterande policyer för incidentrespons, riskhantering, klassificering, lagringstid, datamaskering och efterlevnadsövervakning.