Integritetspolicyn är ett av de mest förbisedda dokumenten hos företag, trots att den är ett krav enligt GDPR. Många policys bygger på mallar, är egenknåpade eller har inte uppdaterats på flera år, vilket gör att de inte längre speglar hur personuppgifter faktiskt behandlas. Resultatet blir ofta något man måste ha, utan större praktisk nytta. Här är tre konkreta sätt att säkerställa att policyn uppfyller kraven och är relevant i praktiken.

1. Policyn ska spegla faktisk behandling

Integritetspolicyn ska beskriva hur personuppgifter faktiskt behandlas, inte en idealbild. Det är viktigare att informationen är korrekt och transparent än att den framstår som fullständig.

Till exempel bör policyn visa hur ni tillgodoser registrerades rättigheter, såsom hur registerutdrag och radering hanteras, samt vilka interna rutiner som finns för att följa upp dessa ärenden. Policyn bör uppdateras regelbundet, särskilt om nya rättsliga grunder, ändamål eller personuppgiftsbiträden tillkommer.

2. Se över ändamål och rättslig grund

Ändamålet med varje behandling sätter ramarna för vilka uppgifter som får behandlas, och varje ändamål måste ha en tydligt angiven rättslig grund. Ett vanligt problem är svepande formuleringar som inte förklarar varför uppgifterna behandlas.

Undvik slentrianmässigt samtycke eller intresseavvägning. Samtycke används ofta felaktigt, till exempel när det är villkorat eller svårt att återkalla. Vid intresseavvägning saknas ofta dokumentation eller faktisk bedömning. En korrekt rättslig grund minskar risken för brister vid granskning och stärker transparensen gentemot de registrerade.

3. Uppdatera struktur, språk och tillgänglighet

Policyn ska vara lätt att hitta, tydlig och begriplig, och alltid göras tillgänglig innan personuppgifter behandlas. Det är ofta bra att presentera varje behandling i tabellform, där ändamål, kategorier av uppgifter, rättslig grund och lagringstid tydligt kopplas till just den behandlingen.

En välformulerad integritetspolicy informerar de registrerade och stärker samtidigt verksamhetens juridiska efterlevnad.

En uppdaterad integritetspolicy minskar inte bara juridiska risker utan stärker också förtroendet hos kunder och användare. Om policyn inte har setts över på flera år är det hög tid att göra det nu.