Policy för behandling av personuppgifter

Transkript

1 Policy för behandling av personuppgifter Antagen av kommunfullmäktige i Surahammars kommun , XX Senast reviderad Ansvarig handläggare Mia Uhlin Utredare / mia.uhlin@surahammar.se

2 Målsättning för personuppgiftsbehandling Målet med denna policy är att säkerställa att Surahammars kommun och dess bolag hanterar personuppgifter i enlighet med EU:s dataskyddsförordning (General Data Protection Regulation GDPR). Policyn omfattar samtliga behandlingar där personuppgifter hanteras och omfattar både strukturerat och ostrukturerat material. Policyn gäller för kommunens nämnder och dess helägda bolag. Surahammars kommuns mål är att all behandling sker med hänsyn till den enskildes integritet och rättigheter. Personuppgifter ska behandlas med utgångspunkt i följande principer: All behandling ska ske i enlighet med gällande lagstiftning Personuppgifter ska endast behandlas för berättigat ändamål som är fastställt innan behandling påbörjas Personuppgifter ska vara korrekta och uppdaterade Risker för skada för den registrerade ska minimeras genom aktiv riskhantering och lämpliga skyddsåtgärder Endast behöriga ska få åtkomst till personuppgifter Personuppgifter ska skyddas så de inte oavsiktligen förstörs Personuppgifter ska bevaras endast så länge det är nödvändigt för ändamålet Inbyggt dataskydd och dataskydd som standard tillämpas genom att ta hänsyn till integritetsfrågor och bygga in lämpliga säkerhetsmekanismer i IT-lösningar Överföring till tredje land ska inte ske utan adekvata säkerhetsåtgärder Krav på att personuppgifter hanteras enligt gällande lagstiftning ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal Hantering av personuppgifter ska dokumenteras, följas upp och utvärderas kontinuerligt Definitioner Med personuppgift avses information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Exempel på personuppgifter är personnummer, namn, adresser, fastighetsbeteckningar, bild- och ljudupptagningar genom vilka en person kan identifieras. En bedömning om det är fråga om personuppgifter måste göras i det enskilda fallet. Med behandling av personuppgifter avses åtgärder eller serier av åtgärder som vidtas i fråga om personuppgifter. Exempel på strukturerat material är insamling, registrering, lagring, bearbetning, sammanställning eller samkörning. Även ostrukturerat material, så som personuppgifter som skickas via e-post eller sprids på annat sätt omfattas. Organisation och ansvar Kommunstyrelsen beslutar övergripande om viljeinriktningen för personuppgiftsarbetet. Varje styrelse och nämnd är personuppgiftsansvarig för sina egna personuppgiftsbehandlingar. Det vill säga de behandlingar som görs inom styrelsens eller nämndens ansvarsområde. Styrelser och nämnder är ytterst ansvariga för att: Följa gällande lagstiftning

3 Säkerställa att det finns ett Dataskyddsombud Fastställa ändamål med behandlingar Säkerställa att behandling sker med lämplig teknisk och organisatorisk säkerhet Ansvara för att dokumentation av behandlingar finns (registerförteckning) Giltiga personuppgiftsbiträdesavtal finns upprättat vid behov Säkerställa att det vid behov görs riskanalyser och konsekvensbedömningar om behandlingar sannolikt medför en hög risk för den registrerades integritet Säkerställa att personuppgiftsincidenter rapporteras till tillsynsmyndigheten Tillgodose registrerades rättigheter gällande information, tillgång (utlämning), rättning, begränsning, dataportabilitet och invändning Tidsfrister sätts och verkställs för behandlingar gällande arkivering, gallring och rensning Dataskyddsombud Samtliga personuppgiftsansvariga som enligt lagstiftningen ska utse ett Dataskyddsombud ska göra det. Dataskyddsombud har till uppgift att informera och ge råd till den personuppgiftsansvariga organisationen kring vilka skyldigheter som gäller enligt dataskyddsförordningen. Dataskyddsombudet ansvarar bland annat för kommungemensamma styrdokument och mallar inom området. Dataskyddsombudet ska bevaka att reglerna följs och är kontaktperson för tillsynsmyndigheten. Dataskyddsombudet är en oberoende funktion som ska anmälas till tillsynsmyndigheten. Dataskyddssamordnare Dataskyddssamordnare är kommunens kontaktperson gentemot Dataskyddsombudet. Dataskyddssamordnare ska bidra i arbetet med personuppgiftsbehandling utifrån sitt verksamhetsperspektiv, till exempel gällande framtagande av riktlinjer, arbetssätt och övervakning av efterlevnad för personuppgiftsbehandling. Dataskyddssamordnaren ansvarar för att vara insatt i gällande verksamhetsspecifik lagstiftning inom området. Dataskyddssamordnaren ansvarar även för att utbilda, informera och ge råd till verksamheten den representerar. Samtliga personuppgiftsansvariga ansvarar för att säkerställa att minst en Dataskyddsamordnare är utsedd som kontaktperson inom respektive verksamhetsområde. Dataskyddssamordnare utses av verksamhetschef, verkställande direktör eller motsvarande. Personuppgiftsbiträde Personuppgiftsbiträde är program- eller systemleverantör eller annan som på uppdrag av personuppgiftsansvarig hanterar dennes personuppgifter. Med biträdet ska ett personuppgiftsbiträdesavtal upprättas för att säkerställa ändamålsenlig hantering av personuppgifterna. Vidare anvisningar Ytterligare information om tillämpning av denna policy återfinns i Bilaga 1: Riktlinje för behandling av personuppgifter. Vidare konkretisering av denna policy ska utarbetas i andra riktlinjer för personuppgiftsbehandling.

4 Denna riktlinje är en bilaga till Policyn för behandling av personuppgifter för Surahammars kommun och dess bolag fastställd av kommunfullmäktige Strukturerad behandling Inom Surahammars kommun och dess bolag ska samtliga behandlingar av personuppgifter registreras i respektive nämnds registerförteckning. Verksamhetens Dataskyddssamordnare granskar, med stöd av Dataskyddsombudet, om behandlingen har rättslig grund utifrån principerna för behandling av personuppgifter: 1. Samtycke 2. Avtal 3. Rättslig förpliktelse 4. Skydd för grundläggande intressen 5. Uppgift av allmänt intresse eller myndighetsutövning 6. Efter en intresseavvägning Personuppgifterna får inte senare behandlas på ett sätt som är oförenligt med det initiala ändamålet och inte heller sparas längre än nödvändigt. Den som behandlar personuppgifter ska kunna visa att principerna följs. Ostrukturerad behandling Ostrukturerad behandling definieras som sådan behandling av personuppgifter som inte ingår i, eller är avsedda att ingå i, en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Typexempel är behandling av personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar och e-post. Enkla listor är också exempel på ostrukturerat material. Detta innebär att samma regler gäller för alla personuppgifter. Kravet på registrering omfattar både personuppgifter i separata program/system och register/listor som upprättas i andra program, så som Microsoft Excel, Word, och som bevaras i filformat. Hantering av personuppgifter ska främst, och så långt det är möjligt, ske i gemensamma program/system. E-post Hantering av personuppgifter i e-post räknas som behandling av personuppgifter och har samma krav som andra behandlingar. Avseende rättslig grund faller e-post inom flera principer. Huvudparten kan dock hänföras till Uppgifter av allmänt intresse, myndighetsutövning samt Rättslig förpliktelse vid speciallagstiftning. E-post med personuppgifter ska inte ligga kvar i inkorgen eller i skickatmappen hur lång tid som helst. När behandlingen av personuppgiften är klar ska informationen flyttas över till lämpligt program/system och e-postmeddelandet raderas. Den tid som personuppgiften lagras i e-post ska

5 begränsas till ett minimum. Det åvilar både avsändare och mottagare av e-post att uppmärksamma detta. I e-post ska inte personuppgifter som är känsliga eller sekretessbelagda behandlas. Med känsliga personuppgifter avses etnicitet, genetik, hälsa, sexualliv och sexuell läggning samt politisk, facklig, filosofisk och religiös övertygelse. E-post som sker genom särskild hantering med högre och tillräckligt hög säkerhetsnivå, till exempel kryptering, kan i vissa fall även behandla känsliga eller sekretessbelagda uppgifter. Information till registrerade Den registrerade ska få tydlig information kring kommunens och bolagens behandling av personuppgifter. Den registrerade ska få information om behandlingen den omfattas av samt de rättigheter den har enligt gällande lagstiftning. Exempel på information som ska ges till den registrerade är den lagliga grunden för behandlingen, under vilken period personuppgifterna kommer att lagras, ändamålen med behandlingen, eventuella mottagare som ska ta del av personuppgifterna och den enskildas rätt att inge klagomål till en tillsynsmyndighet. Alla medarbetare har ett ansvar att tillse att fungerande rutiner kring detta finns. Upphandling Vid upphandling och utveckling av IT-tjänster ska kommunen och dess bolag alltid ta hänsyn till dataskyddsförordningen. Detta ska säkerställas i upphandlingsdokument och vid avtalsskrivning. Vid ingång av nya avtal med leverantörer som tillhandahåller program/system där personuppgiftsbehandling ingår ska programmet/systemet upptas i register över behandlingar och personuppgiftsbiträdesavtal upprättas. Personuppgiftsbiträde Avtal ska upprättas med de program-/systemleverantörer och eventuellt andra parter som på personuppgiftsansvariges uppdrag hanterar personuppgifter. Part som tecknat avtal med leverantören är ansvarig för att personuppgiftsbiträdesavtal upprättas. Detta innebär att om kommunalförbundet har avtal med en leverantör vars program/system används av samverkande kommuner är det förbundets ansvar att upprätta personuppgiftsbiträdesavtal med leverantören. Om detta förfarande kräver skriftligt avtal i form av fullmakt eller liknande, ska detta upprättas. Kommunalförbundet och kommunerna upprättar egna personuppgiftsbiträdesavtal sinsemellan. Vid utformning av avtal används företrädesvis den mall för personuppgiftsbiträdesavtal som tagits fram av kommunalförbundet och de samverkande kommunerna. Om leverantören inkommer med förslag till avtal ska det säkerställas att förslaget innehåller motsvarande information som egen avtalsmall. Den som undertecknar avtalet ska ha adekvat delegering från den personuppgiftsansvarige. Rapport om personuppgiftsincident Med personuppgiftsincident avses en händelse där personuppgifter har eller kan ha kommit obehörig till del. Det kan exempelvis vara intrång i ett program/system som hanterar personuppgifter eller ett e- postmeddelande med personuppgifter som skickats fel.

6 Alla medarbetare har ett ansvar att rapportera personuppgiftsincidenter till förvaltningens/bolagets Dataskyddssamordnare. Denne ska skyndsamt rapportera till Dataskyddsombudet. Efter upptäckt ska en rapport inkomma till tillsynsmyndigheten inom 72 timmar. Om personuppgiftsincidenten bedöms medföra allvarliga risker för de registrerade så som risk för diskriminering, identitetsstöld, bedrägeri eller finansiella stölder ska även de registrerade informeras om händelsen.