Vägledning inventering av personuppgiftsbehandlingar, (aktivitet 3a, 3b, 4a, 4b i checklistan)

Transkript

1 Vägledning inventering av personuppgiftsbehandlingar, (aktivitet 3a, 3b, 4a, 4b i checklistan) Dokumentnamn: Vägledning inventering av personuppgiftsbehandlingar Dokumentansvarig: [Förnamn Efternamn, organisatorisk enhet vid behov] Godkänd av: [Förnamn Efternamn, organisatorisk enhet vid behov] Version: [1.0] Dokumentdatum: [20XX-XX-XX] Reviderad: [20XX-XX-XX]

2 Innehåll Inledning... 3 RegIT... 3 Vem ansvarar för registerförteckningen?... 4 Kartläggning av personuppgiftsbehandlingar... 4 Vad ska ni leta efter?... 4 Hur gör jag?... 5 Fliken Alla system i alla kommuner... 5 Fliken Personuppgifter utanför system... 5 Mall - utskick för kartläggning av personuppgiftsbehandlingar utanför IT-system... 6 Förklaringar till fälten i PU fliken i RegIT (12)

3 Inledning Denna vägledning, som har tagits fram inom Umeå kommuns GDPR projekt, syftar till att hjälpa personuppgiftsansvariga att uppfylla kravet att upprätta ett register enligt artikel 30. Genom att dokumentera personuppgiftsbehandlingen i RegIT så anses personuppgiftsbehandlingen vara godkänd av den personuppgiftsansvarige (nämnden). (Med tiden kommer detta att ske på annat vis). RegIT Inom Umeå kommun har vi RegIT till vår hjälp att föra register över de personuppgiftsbehandlingar som Umeå kommun har. Registerförteckningen, RegIT, uppfyller flera funktioner. Genom att upprätta en registerförteckning skapas god kontroll över personuppgifternas livscykel och denna kan ligga till grund för verksamhetens processer och utvecklingen av dessa, samt vilka säkerhetsåtgärder som behöver vidtas om behandlingen exempelvis rör känsliga uppgifter. Förteckningen ska innehålla information om vilka uppgifter som samlas in, varifrån uppgifterna samlas in, till vem uppgifterna lämnas ut, vart uppgifterna lagras, i vilka system används uppgifterna och för vilka ändamål dessa används. Utöver att ge en god överblick syftar en registerförteckning även till att säkerställa att det finns en laglig grund för personuppgiftsbehandlingen. Förteckningen kan även användas för att visa upp för Datainspektionen vid ett eventuellt tillsynsärende, för uppföljning av efterlevnad, för att användas i samband med registerutdrag, för att hitta personuppgiftsbiträdesavtal som behöver uppdateras samt för att hitta dokumenterade åtgärder, t.ex. konsekvensbedömningar. I RegIT finns två flikar som är relevanta för att ni ska kunna dokumentera er kartläggning. 3 (12)

4 Vem ansvarar för registerförteckningen? Varje verksamhet bör utse ägarskap för registerförteckningen då det är ett levande register som ska uppdateras regelbundet. Förslagsvis tilldelas detta ägarskap till personuppgiftsombudet. Vid varje ny personuppgiftsbehandling eller när en behandling upphör bör förteckningen uppdateras. Enligt dataskyddsförordningen ska registerförteckningen göras tillgänglig för Datainspektionen om en sådan begäran framställs. Kartläggning av personuppgiftsbehandlingar För att kunna ta fram ett nuläge och upprätta en registerförteckning krävs att varje verksamhet kartlägger samtliga personuppgiftsbehandlingar som förekommer i verksamheten. I samband med inventeringen bör säkerställas att det finns ett ändamål med personuppgiftsbehandlingen, att behandlingen följer de allmänna principerna samt att personuppgiftsbehandlingarna är lagliga m.m. Det åligger därför varje nämnd/bolag att genomföra en inventering av de personuppgifter som hanteras i dess verksamhet samt att säkerställa korrekt hantering och implementering i enlighet med den nya dataskyddsförordningen. Vad ska ni leta efter? Det gäller både nya och gamla behandlingar som stora IT-system, arbetsgruppers SharePoint-platser eller enkla Excel-filer. I praktiken innebär inventeringen en detaljerad kartläggning av alla register, system/tjänster och dokument där personuppgifter förekommer. All personal bör därmed se över sina digitala enheter och undersöka vilken information som lagras lokalt eller vad som lagras på externa lagringsenheter som exempelvis USB-stickor, externa hårddiskar samt molnbaserade lagringstjänster, men även fysiskt material som datautskrifter. Övrigt material som förvaras i pärmar m.m. där personuppgifter inte är sökbara omfattas inte av lagen, men ska ändå skyddas på ett sätt som motsvarar informationens värde. 4 (12)

5 Hur gör jag? 1. Kontakta verksamhetsansvarig och informera om att de behöver göra kartläggningen och att de behöver utse en kontaktperson som kan bistå dig under kartläggningsfasen 2. Boka in möte med kontaktpersonen för att ge denna en instruktion/mall a. Uppmana till att användaren raderar sådant som ej längre behövs eller sådant som vi inte har laglig grund för (obs! allmänna handlingar som ska bevaras ska arkiveras) b. Sådant som behövs och som vi har laglig grund för ska förtecknas i RegIT, boka in tider med systemförvaltare och verksamhetsrepresentanter för att hjälpa till med denna aktivitet Fliken Alla system i alla kommuner (system, tjänster, applikationer som ni använder, där driften sköts av egen organisation eller annan leverantör, kan vara en molntjänst) 1. Kontrollera att era system finns med i RegIT. a. Kontrollera att fälten är besvarade för systemet 2. Har ni system som hanterar personuppgifter och systemet inte finns med i RegIT, tillför systemet i RegIT. Fliken Personuppgifter utanför system (excelfiler, worddokument, Sharepointplatser/Sharepointlistor, fillagringsytor, sociala medier, intranätsidor) Kontrollera med verksamhetsrepresentant vilka behandlingar som utförs av användarna. (mall för utskick finns i slutet av detta dokument) I denna flik på RegIT förtecknar ni behandlingar som kan finnas hos användare, i exempelvis ett excel-ark. Det kan vara ett excelark eller en SharePoint-plats som används av flera i arbetsgruppen, och då behöver ni endast förteckna som en behandling, om ändamålet är det samma för alla användare. Har ni olika ändamål och syfte med samma dokument, och fortfarande har laglig grund för behandlingen, så ska behandlingen anses som en egen behandling och förtecknas för sig i RegIT. 5 (12)

6 Mall - utskick för kartläggning av personuppgiftsbehandlingar utanför IT-system (Förslagsvis kopierar du nedanstående text och skickar ut till de verksamheter som ingår inom den nämnd som du är personuppgiftsombud för.) Här kommer information gällande registrering av personuppgifter utanför IT-system. Som ett led inför Dataskyddsförordningens införande i nationell lagstiftning skall även personuppgifter som förs utanför IT-system registreras i en särskild lista i RegIT. Dessa personregister handlar om enskilda dokument i Word eller Excel eller enskilda listor i Sharepointapplikationer. Sådana personregister kan många gånger vara lokalt förda och sparade (på J: eller i din OneDrive) och därför svåra att spåra. Du och din grupp bör undersöka och dokumentera följande: 1. vem är ansvarig för det registret 2. vilka olika typer av personuppgifter registret behandlar 3. vad används det till, och 4. med vilket rättsligt stöd hanteras uppgifterna. Målsättningen med denna registrering är: 1. dels att lämna ett bättre underlag till den personuppgiftsansvarige om vilka personregister som verksamheten faktiskt för 2. dels att förhindra förande av personregister som inte är sanktionerade av verksamheten Dokumentation/listor över personregister bör finnas i RegIT senast 31 januari (12)

7 Förklaringar till fälten i PU fliken i RegIT Fält Ändamål: Behandling tillåten pga Förklaring Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålsangivelsen måste vara specifik och får inte vara en allmänt hållen ändamålsangivelse. En arbetsgivare kan t.ex. inte i början av en anställning informera den nya medarbetaren om att behandlingen av personuppgifter kommer att ske för ändamål som är förknippade med tjänstgöringen i stort. Ändamålet måste även vid inventeringen vara betydligt mer specificerat, t.ex. i termer av personaladministration, kompetensutveckling, prestationsmätning etc. Att ändamålet måste vara uttryckligt angivet innebär att man inte ska behöva gissa sig till vilket ändamål det är som ligger till grund för en viss behandling. Det är möjligt att ange flera ändamål när uppgifterna samlas in. "Enligt dataskyddsförordningen finns följande rättsliga grunder som en behandling kan vila på. Listan är uttömmande. SAMTYCKE - Detta alternativ innebär att den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Samtycket ska vara en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandlingen av personuppgifter som rör honom eller henne. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling. Har samtycket lämnats i en skriftlig förklaring som också rör andra frågor ska samtycket tydligt särskiljas från de andra frågorna. Myndigheters möjlighet att åberopa samtycke som laglig grund är dock begränsad med anledning av ojämlikheten mellan myndigheten och den registrerade. I enstaka fall kan samtycke anses vara grund för 7 (12)

8 Fält Förklaring personuppgiftsbehandling inom kommunen. Förekomst av personuppgifter i sociala medier, på hemsidor eller liknande kan behöva föregås av ett samtycke. AVTAL - Behandlingen är nödvändig för att fullgöra ett avtal där den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, t.ex. kan en näringsidkare med stöd i denna bestämmelse t.ex. lägga upp kundkonton för leverans- och fakturahantering. Det krävs att den registrerade själv är avtalspart. Ett avtal mellan den personuppgiftsansvarige och en juridisk person kan således inte åberopas som stöd för behandling av uppgifter om anställda hos den juridiska personen, t.ex. om den personuppgiftsansvarige ingår avtal med ett rekryteringsbolag som ska behandla uppgifter om den registrerade inför ett eventuellt anställningsavtal. RÄTTSLIG FÖRPLIKTELSE - Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Rättsliga förpliktelser kan komma till uttryck i offentligrättslig författningsreglering eller beslut av myndighet. Det kan t.ex. gälla skyldigheten för bolag att rapportera in uppgifter om sina anställda till Försäkringskassan, Skatteverket m.fl. Även civilrättsligt grundade förpliktelser, som exempelvis arbetsrättsliga turordningsbestämmelser vid uppsägning av arbetstagare göra att det blir tillåtet för arbetsgivaren att upprätta listor över sina anställda. SKYDD FÖR GRUNDLÄGGANDE INTRESSE - Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Exempelvis kan det vid olycksfall vara avgörande för en persons överlevnad att snabbt få tillgång till uppgifter om blodgrupp och medicinskt data av grundläggande betydelse för akutvården. MYNDIGHETSUTÖVNING/ALLMÄNT INTRESSE - 8 (12)

9 Fält Förklaring Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Exempel på arbetsuppgifter av allmänt intresse är arkivering, forskning och framställning av statistik. Arbetsuppgiften kan utföras av en myndighet eller ett enskilt subjekt på uppdrag av myndigheten. Myndighetsutövning innebär beslut eller ensidig åtgärd mot enskilda. Myndighetsutövning kan både medföra förpliktelser för enskilda och mynna ut i gynnande beslut. Detta kan även ske i förhållande till andra myndigheter, t.ex. när en myndighet utövar tillsyn över en annan. Det är statliga och kommunala verksamheter som i första hand utövar myndighetsutövning. Juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsuppgifter som innefattar myndighetsutövning. En stor del av den behandling av personuppgifter som utförs i den offentliga sektorn torde vara tillåten med stöd av punkten. INTRESSEAVVÄGNING - Observera att denna lagliga grund gäller inte längre myndigheter. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är barn. Här ska alltså en intresseavvägning göras mellan å ena sidan den personuppgiftsansvariges (eller tredje man till vilken personuppgifterna lämnas ut) tillgodoseende av ett berättigat ändamål genom en viss behandling och å andra sidan den registrerades intresse av skydd mot kränkning av den personliga integriteten. Väger intresset för en behandling tyngre än intresset av integritetsskydd blir behandlingen tillåten Kategori av personuppgift Den som en personuppgift avser. De registrerade kan kategoriseras på övergripande nivå, t.ex. Anställda, Medborgare, Leverantörer 9 (12)

10 Fält Typ av personuppgift Personuppgift hämtas ifrån Lämnas personuppgifter ut och i så fall till vem? Överförs personuppgifter till tredjeland Särskilda risker Rutiner för behörighetstilldelning Senaste konsekvensbedömning Förklaring Beskriv vilka typer av personuppgifter som behandlas. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Varifrån kommer personuppgiften? Från annat system? I så fall vilket? Från den registrerade själv? Från nationellt register? I så fall vilket? Mottagare är i princip samtliga till vilka personuppgifter lämnas ut. Det kan röra sig om såväl en fysisk person som en juridisk person, t.ex. ett företag eller en ideell förening etc. Myndigheter kan också vara mottagare. Med tredje land avses länder som inte ingår i EU/EES. Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES måste den personuppgiftsansvarige se till att något av undantagen från förbudet mot överföring till tredje land kan tillämpas, till exempel samtycke, standardavtalsklausuler eller anslutande till Privacy Shield. Här sammanfattar ni den riskanalys och/eller konsekvensbedömning som genomförts för systemet. Framkom gula, orangea eller röda risker? Har riskanalys/konsekvensbedömning genomförts så bifoga resultatrapport i RegIT. Vilka roller får beställa behörigheter och vilka roller administrerar behörigheterna i systemet? När gjordes senaste konsekvensbedömning? Markera datum! Enligt Umeå kommuns policy ska en konsekvensbedömning genomföras om en behandling innefattar minst två av följande: data som rör sårbara fysiska personer (barn, patienter, brukare, klienter) känsliga data, behandling i stor omfattning, utvärdering, bedömning av den registrerade inkl 10 (12)

11 Fält Förklaring profilering, automatisk behandling systematisk övervakning data som matchas eller kombineras i flera datakällor Har riskanalys/konsekvensbedömning genomförts så bifoga resultatrapport i RegIT. Lagstöd för behandling av känsliga uppgifter Känsliga personuppgifter har ett starkare skydd i dataskyddsförordningen. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Det finns dock flera undantag från förbudet, till exempel om det finns ett uttryckligt samtycke. Precis som vid all personuppgiftsbehandling måste den som behandlar känsliga personuppgifter alltid följa de grundläggande principerna för behandling av personuppgifter, ha en rättslig grund för behandlingen samt uppfylla övriga bestämmelser i dataskyddsförordningen och kompletterande bestämmelser i nationell rätt. Personuppgiftsbiträdesavtal Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Om någon utanför Umeå kommun (extern part) har åtkomst till de personuppgifter (i produktions eller testmiljö) som vi ansvarar för så är dessa parter personuppgiftsbiträde till Umeå kommun, förutsatt att personuppgifterna är autentiska. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Biträdet får inte anlita ett annat 11 (12)

12 Fält Förklaring biträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvarige. Den personuppgiftsansvarige måste teckna ett skriftligt avtal med biträdet. Personuppgiftsbiträdesavtalet ska bifogas i RegIT. 12 (12)