Utökad budgetram för inrättande av tjänst som Dataskyddsombud (DSO) med anledning av Dataskyddsförordningen (GDPR) KS/2017:300

Storlek: px
Starta visningen från sidan:

Download "Utökad budgetram för inrättande av tjänst som Dataskyddsombud (DSO) med anledning av Dataskyddsförordningen (GDPR) KS/2017:300"

Transkript

1 TJÄNSTESKRIVELSE Kommunstyrelsen Erika Nysäter Kvalificerad utredare Telefon Utökad budgetram för inrättande av tjänst som Dataskyddsombud (DSO) med anledning av Dataskyddsförordningen (GDPR) KS/2017:300 Förvaltningens förslag till beslut Förvaltningen föreslår kommunstyrelsen föreslå kommunfullmäktige besluta att utöka budgetramen för kansliavdelningen med 495 tkr från och med budgetåret 2018 att finansieras med medel från årets resultat för inrättande av halvtidstjänst som Dataskyddsombud (DSO) med anledning av Dataskyddsförordningen (GDPR). Sammanfattning av ärendet Under våren 2018 kommer en ny Dataskyddsförordning och dataskyddslag att träda i kraft och ersätta personuppgiftslagen (PUL). Detta kommer kräva tid i form av förberedelser och därefter en halvtidstjänst i form av ett Dataskyddsombud som arbetar med frågorna för att kommunen ska slippa betala sanktionsavgifter och uppfylla lagkrav. TJÄNSTESKRIVELSE EU har beslutat om ett nytt regelverk för behandling av personuppgifter som ska börja tillämpas den 25 maj Det blir kraftigt skärpta krav på behandlingen av personuppgifter, vilket även omfattar Nykvarnsbostäder och kommunkoncernen. Det kommer att kunna dömas ut sanktionsavgifter på upp till 20 miljoner euro eller 4 % av organisationens omsättning. Det ställs krav på att vi har ett dataskyddsombud som har huvudansvaret att bevaka hur personuppgifter hanteras. Det är inte tillräckligt med det ansvar dagens PUL-ombud har som en liten del av deras tjänst. Rollen ska vara oberoende, självständig och ha mandat och resurser att hantera arbetet med säkerställandet av korrekt hantering av personuppgifter. Tillsättandet av en halvtidstjänst utifrån dataskyddsförordningen är för att uppfylla lagkrav. Dataskyddsombud är ett lagkrav för myndigheter och kommuner som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende. Dataskyddsombudet ska också bevaka att reglerna följs och fungera som kontaktperson för Datainspektionen. Det saknas idag biträdesavtal med många leverantörer, vilket måste tas fram före maj Personuppgiftsansvarig nämnd i varje kommun ansvarar för att Dataskyddsförordningens regler följs. Därför måste organisationen ha rutiner och arbeta på ett sådant sätt att nödvändiga Besöksadress: Centrumvägen 26 Postadress: Nykvarn Telefon Fax (3)

2 krav efterföljs. Personen som utses till dataskyddsombud ska utses baserat på yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra uppgifterna och ha kunskap om dataskydd. Ombudet ska kunna agera självständigt och oberoende i organisationen. Personuppgiftsansvarig nämnd ansvarar för att ombudet får det stöd, befogenheter och tillräckliga resurser som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. Tjänsten kan inrättas direkt under kommundirektören för att vara så oberoende som möjligt. Ombudet ska ges möjlighet att delta i alla frågor som rör dataskydd och rapportera direkt till högsta förvaltningsnivå. Alternativt inrättas tjänsten under kanslichef för att få arbetsledning och lättare kunna samverka med säkerhetschef, verksamhetsutvecklare IT och kommunstyrelsens PUL-ombud i det gemensamma systematiska arbetet med att uppfylla lagkraven på området. En halvtidstjänst utifrån den nya Dataskyddsförordningen beräknas till 495 tkr per år. Ett förberedande arbete med inventering av personuppgiftsbehandlingar och IT-system på alla avdelningar har påbörjats under En ökad kostnad för att anpassa system tillkommer inom verksamheterna. Ett digitalt system för att hålla rätt på alla processer behövs på sikt. En utbildningsplan för kommunens alla anställda är under framtagande. TJÄNSTESKRIVELSE Kraven på kommunen ökar genom utökad och komplex lagstiftning. Inom området ska bland annat följande saker hanteras; Administrativ säkerhet (ta fram och implementera olika typer av styrdokument och handledningar, vara kravställare vid upphandling på Privacy by Design i form av inbyggd personlig integritet i IT-system, dataportabilitet, radering av data m.m.), Riskhantering (genomföra konsekvensbedömningar vid nya personuppgiftsbehandlingar, göra handlingsplaner m.m.) Informationssäkerhet (informationshantering, kommunikationssäkerhet, IT-säkerhet, datasäkerhet m.m.). Det krävs att kommunen ska anmäla personuppgiftsincidenter inom 72 timmar och även informera de registrerade om incidenter, vilket det saknas rutiner för idag. Digitalt först är regeringens satsning för digital förnyelse av det offentliga Sverige och är en princip som säger att digitala tjänster, när det är möjligt och relevant, ska vara förstahandsval i den offentliga sektorns kontakter med privatpersoner och företag. E-tjänster för medborgarna och molntjänster som uppfyller lagkrav är en viktig del i detta arbete och medför ökade krav på säker digitalisering av kommunens tjänster. Konsekvenserna av att bara ha dagens PUL-ombud för dessa komplicerade uppgifter är att kommunen inte lever upp till de lagkrav som finns. Vidare kan det leda till; bristande och inaktuella styrdokument, att anställda i kommunen inte vet vad som ska göras vid en eventuell Besöksadress: Centrumvägen 26 Postadress: Nykvarn Telefon Fax (3)

3 personuppgiftsincident vilket i sin tur kan leda till onödiga sanktionsavgifter, det kan även leda till att kommunens information inte är skyddad på ett korrekt sätt vilket kan leda till olagliga dataintrång m.m. Som framgår är det ett brett och komplicerat område. För att på ett effektivt sätt kunna utföra arbetsuppgifterna självständigt med hög kvalitet inom detta område och att motverka riskerna för viten behöver tjänsten inrättas som en halvtidstjänst. Den beräknade utökningen av budgetramen är ca 412 tkr i lönekostnad, 65 tkr för internhyra av arbetsplats, 8 tkr för mobilkostnad samt 10 tkr för kompetensutvecklingskostnader. Den totala utökningen beräknas bli ca 495 tkr/år. Ekonomiska konsekvenser Ärendet medför en kostnadsökning med ca 495 tkr/år från Beslutsunderlag Tjänsteskrivelse Barnkonventionskonsekvenser Ärendet medför inga konsekvenser för barn och unga utifrån barnkonventionen. TJÄNSTESKRIVELSE Ola Edström Kommundirektör Thomas Jansson Kanslichef Beslutet expedieras till Kommunfullmäktige Ekonomichef Kanslichef Akten Besöksadress: Centrumvägen 26 Postadress: Nykvarn Telefon Fax (3)

4

5

6

7

8 Förberedelser inför EU:s dataskyddsförordning Vägledning till personuppgiftsansvariga Hur kan ni som hanterar personuppgifter förbereda er inför EU:s nya dataskyddsförordning? 13 frågor att besvara redan idag

9 Inledning Denna checklista tar upp 13 frågor som ni som behandlar personuppgifter bör ta ställning till redan nu för att förbereda er inför införandet av EU:s dataskyddsförordning som ska börja tillämpas i mitten av Dataskyddsförordningen kommer att gälla som lag i Sverige och ersätta personuppgiftslagen. Den kommer dock behöva kompletteras med vissa nationella regler. Regeringen har tillsatt en utredning som ska föreslå hur den svenska lagstiftningen på området bäst anpassas till förordningen. Syftet är att skapa enhetliga dataskyddsregler inom hela EU vilket underlättar för företag att verka på hela unionens inre marknad. Många av dataskyddsförordningens begrepp och principer går att återfinna i personuppgiftslagens bestämmelser. Om ni redan idag har väl genomarbetade åtgärder och rutiner för att säkerställa att personuppgiftslagen följs, kommer ni att ha en bra grund att utgå från. Det är dock viktigt att poängtera att dataskyddsförordningen även innehåller stora förändringar och vissa helt nya bestämmelser. Den personuppgiftsansvariges ansvar och skyldigheter förtydligas och utökas och de registrerades rättigheter förstärks. De nya kraven kan komma att medföra stora förändringar i er verksamhet. För att ni ska hinna anpassa verksamheten på ett effektivt och kostnadsbesparande sätt, är det är därför viktigt att ni redan nu börjar fundera över vilka konsekvenser förordningen kommer att få för er. Denna vägledning kan användas som en checklista när ni ska ta reda på vilka de viktigaste skillnaderna är mellan den nuvarande lagstiftningen och den nya dataskyddsförordningen och hur de påverkar er. Datainspektionen kommer löpande att informera om de kommande förändringarna, bland annat genom att ta fram informationsmaterial och anordna utbildningar. Den så kallade Artikel 29-gruppen, som består av samtliga dataskyddsmyndigheter inom EU/EES, kommer att ta fram vägledningar på europeisk nivå. Det är viktigt att ni redan nu börjar planera hur ni ska anpassa er till dataskyddsförordningen och söker stöd från nyckelpersoner i er organisation. Ni kan till exempel behöva införa nya rutiner för att tillmötesgå dataskyddsförordningens utökade krav på öppenhet och de registrerades rättigheter. I större organisationer kan detta få stor påverkan i frågor om budget, it-system, personal, styrning och kommunikation. Dataskyddsförordningen lägger stor vikt vid den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs, vilket kan medföra krav på ökad dokumentation. Det kommer att införas möjligheter för Förberedelser inför EU:s dataskyddsförordning sid 2

10 tillsynsmyndigheten att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller 4 procent av organisationens omsättning när en organisation missköter sin behandling av personuppgifter. En anpassning till dataskyddsförordningen kommer kräva att ni ser över er interna styrning och era riktlinjer för hur ni hanterar personuppgifter. 1. Är er organisation medveten om EU:s nya dataskyddsförordning? Ni bör försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av dataskyddsförordningen. Ni bör också undersöka hur er organisation kommer att påverkas av förordningen och identifiera de områden som ni måste arbeta särskilt med. Ni kan behöva avsätta betydande resurser för att hinna anpassa er organisation till de nya kraven innan dataskyddsförordningen ska börja tillämpas i mitten av Inledningsvis bör ni särskilt fokusera på att öka medvetenheten om de kommande förändringarna. Det kan bli både kostsamt och svårt att uppfylla reglerna i förordningen om ni väntar med förberedelserna till sista stund. 2. Vilka personuppgifter hanterar ni? Ni bör inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Ni kan behöva göra en bred översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av er organisation. Dataskyddsförordningen innehåller rättigheter som anpassats till informationssamhället. Om ni till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, behöver ni informera mottagaren om detta så att denne i sin tur kan rätta sina egna register. Ni kommer inte att kunna uppfylla detta krav om ni inte vet vilka uppgifter som ni hanterar, varifrån de samlades in och till vem uppgifterna har lämnats ut. Om ni dokumenterar detta kan det hjälpa er att uppfylla dataskyddsförordningens krav på att ni måste kunna visa att förordningens bestämmelser följs. Andra sätt att uppfylla detta krav är Förberedelser inför EU:s dataskyddsförordning sid 3

11 att införa en effektiv policy för dataskydd och tydliga rutiner vid hanteringen av personuppgifter. 3. Använder ni missbruksregeln idag? Ni bör undersöka om ni i er verksamhet har utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Denna regel kommer inte att finnas kvar i förordningen. Ni bör därför särskilt undersöka om behandling som idag stödjer sig på missbruksregeln är förenlig med dataskyddsförordningens bestämmelser. Behandling i ostrukturerat material, till exempel löpande text på internet, är enligt personuppgiftslagen tillåten så länge behandlingen inte utgör en kränkning av den registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner denna svenska särreglering. Förordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter. Har ni i er organisation utnyttjat undantaget för behandling i ostrukturerat material, till exempel vid publicering av personuppgifter på en webbplats eller i annan löpande text, är det viktigt att ni undersöker vilka förutsättningar ni har för att behandla uppgifterna enligt förordningens bestämmelser. Ni kan till exempel behöva undersöka om ni har en rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på behandlingen och att ni informerar de registrerade på ett korrekt sätt. 4. Vilken information lämnar ni? Ni bör granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra. När ni samlar in personuppgifter måste ni enligt personuppgiftslagen lämna viss information, till exempel om er identitet och ändamålet med behandlingen. Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat kommer ni att behöva informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten (som i Sverige är Datainspektionen) om Förberedelser inför EU:s dataskyddsförordning sid 4

12 man anser att ens personuppgifter har hanterats felaktigt av er. Viktigt i sammanhanget är att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. 5. Hur ska ni tillmötesgå de registrerades rättigheter? Ni bör se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format. De viktigaste rättigheterna för de registrerade är att : få tillgång till sina personuppgifter få felaktiga personuppgifter rättade få sina personuppgifter raderade invända mot att personuppgifterna används för direktmarknadsföring invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering flytta personuppgifterna (dataportabilitet) På det stora hela kommer de registrerade att ha samma rättigheter som idag men rättigheterna förstärks med dataskyddsförordningen. Om ni redan idag tillmötesgår de registrerades rättigheter bör övergången till den nya förordningen gå relativt smidigt. Det är därför ett bra tillfälle att nu se över era rutiner och fundera på hur ni ska hantera en begäran om rättelse från en registrerad. Kan era system hjälpa er att hitta och rätta uppgifterna? Vem kan besluta om att uppgifter ska rättas? Dataskyddsförordningen innehåller i likhet med personuppgiftslagen en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter som behandlas om dem. Detta ska göras kostnadsfritt. När ni hanterar en sådan begäran kommer ni dessutom att behöva lämna viss ytterligare information, som exempelvis hur länge personuppgifterna kommer att lagras och att man har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt. Förberedelser inför EU:s dataskyddsförordning sid 5

13 Nytt i dataskyddsförordningen är rätten till dataportabilitet. Denna rättighet kommer att göra det lättare att flytta sina personuppgifter från en organisation eller leverantör till en annan, till exempel om man vill byta socialt nätverk. För er organisation innebär detta att ni i många fall måste kunna tillhandahålla uppgifterna i ett allmänt använt och maskinläsbart format. Tänk på att det är viktigt att säkerställa att en sådan begäran verkligen kommer från den registrerade och undersök därför vilka tekniska lösningar ni kan behöva för detta. 6. Med vilket rättligt stöd behandlar ni personuppgifter? Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser. Många organisationer har inte tydligt pekat ut med vilket rättsligt stöd de behandlar personuppgifter. Det är inte ovanligt att organisationer anser sig ha flera alternativa grunder för sin behandling. Med förordningen följer krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns till exempel större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning. De rättsliga grunderna för behandling av personuppgifter är i stort sett oförändrade. Ni kan därför redan nu kartlägga vilka behandlingar ni genomför och med vilken rättslig grund ni gör detta. Ni bör dokumentera era slutsatser för att ni också ska kunna visa att ni uppfyller dataskyddsförordningens krav. Observera att myndigheter inte kommer att kunna stödja sin behandling på en intresseavvägning. Förberedelser inför EU:s dataskyddsförordning sid 6

14 7. Hur inhämtar ni samtycke? Ni bör undersöka på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade. Ett giltigt samtycke enligt dataskyddsförordningen har samma innebörd som i personuppgiftslagen. Det måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om ni stödjer er på samtycke för att behandla personuppgifter behöver ni försäkra er om att kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste ni antingen förändra era rutiner eller finna en annan rättslig grund för behandlingen. Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ni bör fundera över hur ni i efterhand ska kunna visa att ett giltigt samtycke har lämnats. 8. Behandlar ni personuppgifter om barn? Ni bör redan nu fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online. Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Kort sagt, om ni erbjuder den typen av tjänster till barn måste ni inhämta vårdnadshavares samtycke för att få behandla barnets uppgifter. Detta gäller enligt förordningen, barn under 16 år. Medlemsstaterna kan själva bestämma en lägre åldersgräns, dock lägst 13 år. Reglerna kan få betydande konsekvenser om er organisation erbjuder denna typ av tjänster till barn. Kom ihåg att ni då också måste kunna visa att vårdnadshavarens samtycke har lämnats. Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information som riktar sig till barn vara skriven på ett tydligt och enkelt Förberedelser inför EU:s dataskyddsförordning sid 7

15 sätt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning. 9. Vad ska ni göra vid personuppgiftsincidenter? Ni bör se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Dataskyddsförordningen innehåller nya bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till tillsynsmyndigheten inom 72 timmar. Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder ska ni även informera de registrerade om händelsen så att de kan vidta nödvändiga åtgärder. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att ni har tillräckliga rutiner på plats för att ni ska kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Ni bör även fundera över vilka risker en sådan incident kan medföra och när ni behöver anmäla händelsen till tillsynsmyndigheten. Tänk på att tidfristerna för att rapportera personuppgiftsincidenter är korta. Det är därför bra att redan nu bestämma var ansvaret för att göra en sådan anmälan ska ligga i er organisation så att anmälan kan göras i rätt tid. 10. Vilka särskilda integritetsrisker finns med er behandling? Ni bör fundera på om er personuppgiftsbehandling är förenad med särskilda risker för enskildas fri- och rättigheter och om ni i så fall måste göra en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen. Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker för Förberedelser inför EU:s dataskyddsförordning sid 8

16 enskilda. Om er organisation avser att utföra en riskfylld personuppgiftsbehandling måste ni först göra en noggrann analys av vilka konsekvenser behandlingen kan få för enskilda. Sådan riskfylld behandling kan till exempel vara storskaliga register som innehåller känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats. Om er analys visar att risken är hög, måste ni samråda med tillsynsmyndigheten innan behandlingen får påbörjas. Observera även kravet på att utse dataskyddsombud vid riskfylld behandling, se mer under punkt Har ni byggt in skydd för personuppgifter i era it-system? Ni bör redan nu ta hänsyn till dataskyddsförordningens regler när ni tar fram nya it-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. Genom att ta hänsyn till dessa principer när man utvecklar nya eller ändrar befintliga it-system blir det enklare för organisationer att uppfylla reglerna i förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen. När ni behandlar personuppgifter ska ni vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i förordningen både när ni fattar beslut om hur behandlingen ska genomföras och under hela den fortsatta behandlingen. Vilka åtgärder som behövs beror på uppgifternas art, omfattning och syfte med behandlingen liksom vilka risker för enskildas rättigheter och friheter som behandlingen kan innebära. Åtgärderna kan till exempel vara pseudonymisering, som medför att uppgifterna inte går att koppla till en enskild person utan ytterligare information (nyckel) som hålls avskild, eller dataminimering, det vill säga att endast behandla de uppgifter som är nödvändiga för varje enskilt ändamål. Förberedelser inför EU:s dataskyddsförordning sid 9

17 12. Vem ansvarar för dataskyddsfrågor i er organisation? Ni bör bestämma var i er organisation som ansvaret för dataskyddsfrågor ska ligga. Om det krävs enligt dataskyddsförordningen måste ni även formellt utse ett dataskyddsombud. Förordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Det gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. Ni bör redan nu överväga om er verksamhet kräver att ni utser ett dataskyddsombud. På Datainspektionens webbplats finns mycket information om dataskyddsombudets (nuvarande personuppgiftsombudets) roll. Myndigheten ordnar löpande utbildningar för blivande ombud. Läs mer här: Har ni verksamhet i flera länder? Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför. Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om ni har verksamhet i flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar som ni utför. Förordningens regler kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sin centrala förvaltning eller var beslut om personuppgiftsbehandling fattas. I organisationer med Förberedelser inför EU:s dataskyddsförordning sid 10

18 traditionella upplägg, där alla viktiga beslut fattas på huvudkontoret, skapar detta normalt inga större problem. Det kan dock bli svårare att avgöra i organisationer med spridda ansvarsområden, där beslut om personuppgiftsbehandlingen ofta fattas på olika ställen. I sådana fall kan olika behandlingar falla under olika tillsynsmyndigheters behörighet. Det kan alltså vara nödvändigt att kartlägga var i er organisation de viktigaste och mest betydelsefulla besluten om personuppgiftsbehandling fattas. Förberedelser inför EU:s dataskyddsförordning sid 11

19 En vägledning från SKL Dataskyddsombud i kommuner, landsting och regioner Dataskyddsförordningen 1 ersätter personuppgiftslagen (PUL) den 25 maj De nya reglerna börjar då gälla direkt utan någon övergångsperiod. Reglerna om dataskyddsombud (på engelska Data Protection Officer, DPO) finns i artiklarna i dataskyddsförordningen och varje bestämmelse kommenteras separat i vägledningen nedan. Rollen som dataskyddsombud är inte samma som personuppgiftombudet i nuvarande PUL. Det finns flera skillnader och SKL rekommenderar alla kommuner, landsting och regioner att göra en strategisk bedömning av hur arbetet med dataskyddsfrågor ska genomföras i organisationen. Det är lämpligt att gå igenom avtal och riktlinjer som gäller idag för personuppgiftsombud. Man bör ställa sig frågan om det finns behov av rekrytering för uppdraget som dataskyddsombud och om beskrivningen av uppdraget är i överensstämmelse med de nya kraven i förordningen. En av de största förändringarna med de nya reglerna är att ombudets kontrollerande och rådgivande funktion för organisationen renodlas. Det innebär samtidigt att organisationen självständigt måste bedriva ett aktivt dataskyddsarbete som inte leds av dataskyddsombudet. Organisationens arbete ska följas upp av ombudet, men det är en rekommendation att varje organisation parallellt med dataskyddsombudet även utser någon i ledningsposition som har ett övergripande ansvar för genomförandet av dataskyddsarbetet. Ytterligare en förändring är att de nya reglerna ställer krav på dataskyddsombudets kompetens och placering i organisationen. Den person som utses måste ha tillräcklig kunskap om dataskydd och ska utses på grundval av yrkesmässiga kvalifikationer, sakkunskap och förmåga att utföra uppgifterna. Ombudet ska kunna agera självständigt och oberoende i organisationen och ska rapportera till organisationens ledning. Det är därför även en rekommendation att fatta nytt beslut om att utse 1

20 dataskyddsombud, även om man bedömer att nuvarande personuppgiftsombud kan fortsätta som dataskyddsombud. EU-Kommissionen har en Article 29 Data Protection Working Party (WP29) som ger ut råd och vägledningar om hur bestämmelserna ska tillämpas och deras tolkningar kommer att vara vägledande för hur den svenska tillsynsmyndigheten Datainspektionen bedömer dessa frågor. SKLs kommentarer till bestämmelserna stödjer sig på vägledningen om dataskyddsombud; Guidelines on Data Protection Officers ( DPOs ), WP243 rev.01, Adopted on 5 April 2017, nedan Guidelines. Hela Dataskyddsförordningen hittas här: Artiklar i Dataskyddsförordningen med kommentarer: Artikel 37, punkt 1 Utnämning av dataskyddsombudet 1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet, b) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10. Kommentar Kommuner, landsting och regioner och deras självständiga nämnder är myndigheter och måste utse dataskyddsombud. Det är varje självständig nämnd som är personuppgiftsansvarig för behandlingar inom sitt verksamhetsområde och som ansvarar för

21 att utse ett ombud. Bestämmelsen omfattar även kommunalförbund och gemensamma nämnder. Även kommunala bolag (hel- och majoritetsägda) omfattas av kravet på att utse dataskyddsombud. De är visserligen privaträttsliga organ som omfattas av Aktiebolagslagen, men är upprättade med stöd av regler i Kommunallagen och utför kommunala uppgifter. De omfattas även av Offentlighet- och Sekretesslagens och Tryckfrihetsförordningens regler om offentlighet och sekretess och allmänna handlingar. De bör därför betraktas som offentligt organ, art. 37, p.1a. I helägda kommunala aktiebolag är det styrelsen eller en VD som utser dataskyddsombudet. När det gäller upphandlade privata utförare av kommunal verksamhet bör dessa däremot inte omfattas av definitionen av myndighet eller offentligt organ. Dessa uppdragstagares verksamhet ligger för långt ifrån offentliga funktioner och de kan syssla med mycket som inte är offentligt finansierad verksamhet. Privata utförare kan däremot omfattas av någon annan bestämmelse som medför att dataskyddsombud måste utses. Varje personuppgiftsansvarig bör göra sin egen bedömning av detta. Reglerna om när dataskyddsombud måste utses innebär en miniminivå och det finns inget som hindrar att andra personuppgiftsansvariga eller personuppgiftsbiträden frivilligt utser dataskyddsombud. Artikel 37, punkt En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett dataskyddsombud. 3. Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek. 4. I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskyddsombudet får agera för sådana

22 sammanslutningar och andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden. Kommentar I en kommun, ett landsting eller en region kan ett gemensamt ombud utses för samtliga nämnder inom den kommunen/landstinget om det är lämpligt. Flera nämnder i en liten kommun kan t ex utse ett gemensamt ombud, om det är lämpligt utifrån uppgiftens omfattning och komplexiteten i verksamheterna. Om ombudet kan antas kunna fullgöra sina uppgifter för alla myndigheterna och vara lika tillgänglig för de olika personuppgiftsansvariga nämnderna och för registrerade individer. Olika verksamheter kräver olika kunnande hos ombudet. Flera kommuner, landsting eller regioner kan även regionalt gemensamt utse ett eller flera ombud som kan arbeta för flera organisationer samtidigt. Detta kan t.ex. vara lämpligt att samordna med kommunförbund eller andra regionala samverkansområden som redan finns. Än så länge finns inga begränsningar kopplat till omfattning, antal anställda eller liknande när det gäller hur stor organisation ett dataskyddsombud kan ha. De krav som beskrivs är inriktade på att ombudet ska vara lätt att nå, både inom och utanför organisationen och ombudets möjligheter att genomföra uppdraget. Om ett dataskyddsombud har uppdrag för flera myndigheter med olika typer av verksamheter kan ett team med olika kompetenser ge stöd. Det är den personuppgiftsansvariga organisationens ansvar att se till att ombudet har tillräckliga resurser och tid att klara av uppgifterna.(guidelines s.10, 22) Artikel 37, punkt 5 Kommentar 5. Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39. Det finns inget formellt krav på att ombudet måste ha viss utbildning eller legitimation, men med tanke på de bedömningar som ska göras enligt artikel 39, kan det vara lämpligt med någon som är jurist eller som har annan relevant utbildning och kunskap och yrkeserfarenhet inom området dataskyddslagstiftning. Förutom juristutbildning kan personer med IT-utbildning, statsvetare,

23 arkivarier eller personer med utbildning inom informationssäkerhet ha goda kunskaper inom detta område. Ombudet bör även ha kunskap och förståelse för personuppgiftsbehandling inom sektorn och om IT-system och informationssäkerhet. Eftersom uppdraget är för en myndighet bör ombudet även ha goda kunskaper om förvaltningsregler och verksamhetens processer och rutiner. När det gäller förmågan att genomföra arbetsuppgifterna ska det tolkas så att det både ställs krav på personlig lämplighet som hög yrkesmässig integritet och självständighet men även förmågan att klara av uppgifterna beroende på ifall ombudet har fått en lämplig plats i organisationen med tillräckliga resurser. Vilken utbildningsnivå och erfarenhet som krävs för att genomföra uppdraget ska även ställas i proportion till hur pass omfattande och hur känslig behandlingen av personuppgifter är, som organisationen genomför. Se Guidelines s samt s. 23. Artikel 37, punkt 6 Kommentar 6. Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal. Det är tillåtet att anlita utomstående uppdragstagare. Om en organisation anlitas som uppdragstagare ska det framgå vilken medarbetare inom den organisationen som har rollen som dataskyddsombud. Uppgifterna får fördelas på ett team av flera medarbetare hos uppdragstagaren så att kunskaper kan kombineras, så länge det är klart vem som har huvudansvar. Detta bör även framgå i avtalet med uppdragstagaren. Alla medarbetare i teamet måste ha tillräckliga kvalifikationer för uppdraget som dataskyddsombud och man måste även tydliggöra att det inte finns några intressekonflikter på grund av andra uppdrag. Medarbetarna ska även vara skyddade mot att drabbas av negativa påföljder som en följd av sitt arbete som dataskyddsombud. Det är lämpligt att även detta tydliggörs i uppdragsavtalet.

24 Artikel 37, punkt 7 Kommentar 7. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten. Kontaktuppgifter till ombudet måste kommuniceras tydligt så att både tillsynsmyndigheten och enskilda, inom och utanför organisationen, kan nå ombudet. Än så länge finns ingen rutin beslutad för anmälan till Datainspektionen, men det rekommenderas att personuppgiftsansvarig organisation informerar tillsynsmyndigheten om vem som har utsetts som ombud. Kontaktuppgifterna kan publiceras på organisationens webbplats med telefonnummer, e-postadress, funktionsbrevlåda eller postadress. Det är lämpligt att informera växelfunktioner, registratorer, kontaktcenter eller andra vanliga kontaktvägar. Artikel 38 Kommentar Dataskyddsombudets ställning Den här bestämmelsen med en tydlig beskrivning av ombudets position i organisationen och utpekat ansvar för personuppgiftsansvarig är ny och innebär en tydlig skärpning jämfört med PuL. De nya reglerna ställer krav på att alla organisationer måste se över sina rutiner när det gäller ombudets placering i organisationen, möjlighet till inflytande, resurser och oberoende ställning. Indirekt ställer det även krav på organisationen att ha resurser att vara drivande i dataskyddsfrågor eftersom ombudets roll blir mer tydligt rådgivande och kontrollerande. Det är lämpligt att se över organisationens verksamhetsprocesser som involverar IT och dataanvändning samt vilka ledningsmöten och beslutsgrupper som dataskyddsombudet bör kallas till. Det kan inte förutsättas att ombudet själv ska efterfråga detta efter rekryteringen, utan det ligger på den personuppgiftsansvariga organisationen att förbereda. Artikel 38, punkt 1 1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

25 Kommentar Det är den personuppgiftsansvariga organisationens ansvar att säkerställa att ombudet involveras och rådfrågas på ett så tidigt stadium som möjligt när personuppgifter ska behandlas. Det är avgörande att ombudet involveras i tidigast möjliga skede av alla frågor där dataskydd blir aktuellt. Förutom att rådfrågas i samband med konsekvensbedömningar (se Art 39) ska organisationen säkerställa att dataskyddsombudet till exempel: - Regelbundet bjuds in till ledningsmöten på högsta beslutande och mellannivå, - Att ombudet närvarar vid beslut som påverkar dataskydd och att all relevant information görs tillgänglig i god tid, - Att ombudets bedömning alltid måste övervägas och om ombudets råd inte följs ska organisationen dokumentera skälen. - Att dataskyddsombudet omgående kontaktas vid incidenter som kan medföra olovlig åtkomst av information. Det är lämpligt att uppdatera interna styrdokument om ITprocesser så att det framgår när och hur dataskyddsombudet ska konsulteras. Artikel 38, punkt 2 Kommentar 2. Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap. Organisationen ska från högsta beslutande nivå aktivt tydliggöra sitt stöd för dataskyddsombudet. För kommunledningsnivån bör det vara t.ex. kommundirektör med ledningsgrupp och inom nämnderna förvaltningschef med ledningsgrupp. De resurser som organisationen ska tillhandahålla för att ombudet ska kunna genomföra uppdraget ska bestå av: - Tid; ombudet bör få möjlighet att avsätta tillräckligt med tid för sitt uppdrag. Detta är särskilt viktigt att bevaka när uppdraget är på deltid. - Budget

26 - Tillgång till stöd från andra kompetenser som HR, juridik, IT, säkerhet och liknande som behövs för att ombudet ska få tillräcklig information, - Utbildning; ombudet måste få möjlighet att upprätthålla sin sakkunskap, samt - Team; beroende på storlek och typ av organisation bör dataskyddsombudet ha möjlighet att bygga upp ett team för att kunna genomföra uppgifterna. Guidelines s. 14 och 23. Artikel 38, punkt 3 Kommentar 3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. Dataskyddsombudet ska ha en oberoende ställning och ska inte ta emot instruktioner eller utsättas för påtryckningar eller sanktioner som syftar till att påverka hur uppdraget genomförs. Ombudet ska rapportera direkt till organisationens högsta förvaltningsnivå, för t.ex. kommuner kommundirektör med ledningsgrupp och inom nämnderna chef för förvaltningen med ledningsgrupp. Det är lämpligt att sätta upp lagom intervall och former för rapportering, en gång om året kan vara för sällan, snarare varje kvartal eller samordnat med andra liknande rapporteringsprocesser. Det finns inget i de nya reglerna som hindrar ett tidsbegränsat förordnande av dataskyddsombudet. Det är en strategisk fråga för varje organisation att bedöma. Om ombudet anställs i den personuppgiftsansvariges organisation så kan anställningen gälla uppgiften dataskyddsombud eller en annan mer allmän tjänstebeskrivning.

27 Artikel 38, punkt 4 Kommentar Artikel 38, punkt Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning. Arbetet som dataskyddsombud ska vara delvis utåtriktat så att registrerade individer kan komma i kontakt med ombudet och få hjälp och stöd. 5. Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt. 6. Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt. Kommentar Arbetet som dataskyddsombud kan kombineras med andra uppdrag inom organisationen, men det är direkt olämpligt för t.ex. en ITchef att vara ombud eftersom det skulle innebära att ombudet granskar sig själv. Det är inte lämpligt att dataskyddsombudets roll blandas med andra uppdrag som är av beslutande eller har ledningskaraktär. Rollen som ombud kan hellre kombineras med uppgifter som rådgivare eller som har kontrollerande funktioner. Placeringen i organisationen som beskrivs under Artikel 38 punkt 3 kräver också att ombudet kan ha en självständig och oberoende ställning där denne inte utsätts för påverkan i sitt uppdrag. Sammantaget medför detta att det är viktigt att även hitta en lämplig placering i organisationen. Artikel 39, punkt 1 a-b Dataskyddsombudets uppgifter 1. Dataskyddsombudet ska ha minst följande uppgifter: a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser. b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning,

28 information till och utbildning av personal som deltar i behandling och tillhörande granskning. Kommentar Dataskyddsombudet ska fungera som intern rådgivare, som ger stöd för den personuppgiftsansvariga kommunen, landstinget eller regionen, så att man förstår hur regelverket ska följas. Detta kräver att ombudet har förmåga att tolka och beskriva detta för organisationens ledning och anställda. Ombudet ska även ha en övervakande roll och följa upp att regelverket följs av den personuppgiftsansvariga organisationen. Det är dock inte ombudet som ska fungera som projektledare eller som har ansvaret för att ta initiativ, utan rollen liknar mer en revisor eller en controller som löpande granskar verksamheten och kommer med förslag om åtgärder samt rapporterar brister. Artikel 39, punkt 1 c c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35. Kommentar Dataskyddsförordningen Artikel 35 kräver att personuppgiftsansvariga som ska genomföra särskilt känsliga behandlingar av personuppgifter först ska göra en konsekvensbedömning. I det arbetet måste dataskyddsombudet rådfrågas och denne ska även övervaka att åtgärderna genomförs. En konsekvensbedömning krävs när det gäller behandling av personuppgifter som avslöjar: ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I Artikel 35, punkt 7 beskrivs närmare hur en konsekvensbedömning ska vara utformad. I korthet är det en beskrivning av vilka personuppgifter som ska behandlas, för vilka syften, på vilket sätt,

29 vilka risker det kan medföra och vilka åtgärder som ska vidtas för att minska riskerna. Artikel 39, punkt 1 d-e Kommentar d) Att samarbeta med tillsynsmyndigheten. e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor. Datainspektionen är tillsynsmyndighet och uppdaterar löpande information för dataskyddsombud och om dataskyddsförordningen. Artikel 39, punkt 2 Kommentar Artikel 83, punkt 4 a 2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften. Dataskyddsombudet ska vid genomförandet av sitt uppdrag ha ett riskbaserat perspektiv och fokusera på de personuppgiftsbehandlingar som innebär en hög risk för de registrerades personliga integritet. 4. Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: a) Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25 39, 42 och 43. Kommentar Personuppgiftsansvariga organisationer som är skyldiga att utse dataskyddsombud, men inte gör det, kan drabbas av sanktionsavgifter. För svenska myndigheter, inklusive kommuner, landsting och regioner, gäller dock inte reglerna om sanktionsavgifter direkt enligt förordningen. Medlemsländerna får var och en enligt artikel 83.7 i förordningen ta ställning till om sanktionsavgifter skall gälla för offentliga myndigheter och organ eller inte och i så fall vilka belopp som ska gälla. I Sverige är detta ännu inte beslutat. Förslagen i den nya s.k. dataskyddslagen (SOU 2017:39) skulle om de beslutas, innebära sanktionsavgifter för myndigheter med max

30 belopp om 10 miljoner kr när det gäller bestämmelser om dataskyddsombud.

31

32

Dataskyddsombud i kommuner, landsting och regioner

Dataskyddsombud i kommuner, landsting och regioner En vägledning från SKL Dataskyddsombud i kommuner, landsting och regioner Dataskyddsförordningen 1 ersätter personuppgiftslagen (PUL) den 25 maj 2018. De nya reglerna börjar då gälla direkt utan någon

Läs mer

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Allmänna råd. Datainspektionen informerar. Nr 2/2016 Datainspektionen informerar Nr 2/2016 Allmänna råd Checklista för att stöda myndigheter och andra organisationer i deras förberedandearbete inför EUdataskyddsförordningens ikraftträdande i maj 2018. Checklistan

Läs mer

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun GDPR Handlingsplan Inledning Den 25 maj 2018 börjar den nya dataskyddsförordningen att gälla som lag i Sverige och ersätta den nuvarande personuppgiftslagen. Mycket av det som finns i den nya förordningen

Läs mer

Ett eller flera dataskyddsombud?

Ett eller flera dataskyddsombud? Dataskyddsförordningen (GDPR) kommer att gälla som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Förordningen kommer att ersätta personuppgiftslagen (1998:204), PuL, och vara direkt tillämplig

Läs mer

PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR

PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR PuL Inför nya PuL Allmän dataskyddsförordning, GDPR Förberedande information Börja plantera nu Föranmälan är inte bindande men berättigar till 20% reducerat pris per delta- +MÄNGDRABATTER HELDAG 5 500

Läs mer

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE 28 september 2017 1 ALLMÄNT OM DATASKYDDSFÖRORDNINGEN Nuvarande reglering för behandling av personuppgifter Den nuvarande regleringen för behandling

Läs mer

Lindesbergs kommuns arbete med dataskyddsförordningen

Lindesbergs kommuns arbete med dataskyddsförordningen KS 2018/63-4 Lindesbergs kommuns arbete med dataskyddsförordningen Strategi Plan/program Riktlinje Regler och instruktioner 1 Fastställt av: Kommunstyrelsen Datum: 2018-04-23 63 För revidering ansvarar:

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Stadsledningskontoret Juridiska avdelningen Sida 1 (6) 2017-04-25 kommer den 25 maj 2018 att ersätta personuppgiftslagen (PuL). Förordningen behöver kompletteras med nationella regler. För närvarande pågår

Läs mer

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Allmänna Råd. Datainspektionen informerar Nr 3/2017 Datainspektionen informerar Nr 3/2017 Allmänna Råd Den nya EU-förordningen om dataskydd som träder ikraft i maj 2018 innehåller bestämmelser om dataskyddsombudet. Bestämmelserna reglerar vilken roll och

Läs mer

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från EU:s nya dataskyddsförordning Med Emanuel Nyberg från EU:s Dataskyddsförordning ersätter PUL Men mycket är oförändrat Mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen. På

Läs mer

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal 8 Steg GDPR Dataskyddsförordningen lägger stor vikt vid den personuppgiftsansvariga organisationens skyldighet att kunna visa att förordningen följs och ställer ökade krav på dokumentation som kan påvisa

Läs mer

Information till personuppgiftsansvarig om dataskyddsombud

Information till personuppgiftsansvarig om dataskyddsombud 1 (5) Information 2018-03-28 Diarienummer RS 2017-04482 Västra Götalandsregionen Koncernkontoret GDPR-projektet Information till personuppgiftsansvarig om dataskyddsombud Sammanfattning I dokumentet ges

Läs mer

GDPR- Seminarium 2017

GDPR- Seminarium 2017 GDPR- Seminarium 2017 Guldfågeln Arena Jonas Lindbäck 070-526 82 27 jonas.lindback@aditor.se Dataskyddsförordningen GDPR Martin Brinnen 2017-10-24 Ett par nyheter En förordning gäller som svensk lag Harmonisering

Läs mer

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018 Sida 1 (10) 2017-01-25 Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018 Inledning 25 maj 2018 kommer lagstiftningen gällande personuppgifter att ändras. För att

Läs mer

Handlingsplan för persondataskydd

Handlingsplan för persondataskydd Kommunledningskontoret Handlingsplan för persondataskydd Dokumentansvarig: Anders Lindqvist, Verksamhetsutvecklare Fastställd av: Kommunstyrelsen, Dnr KS 18/226 Omfattar: Koncernen Ånge kommun Fastställd

Läs mer

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen (GDPR) Dataskyddsförordningen (GDPR) Borlänge den 7 december 2016 Martin Brinnen Rätten till privatliv Rättighet EU grundläggande stadga Europakonventionen Regeringsformen EU-nivå Dataskyddsförordningen E-privacy

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express 26 april 2018 på Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - beslut i EU våren 2016 Förordning ikraft 25 maj 2018

Läs mer

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Policy och riktlinje för hantering av personuppgifter i Trosa kommun Policy och riktlinje för hantering av personuppgifter i Trosa kommun Antagen av: Kommunfullmäktige 2018-04-25, 36, dnr KS 2018/65 Dokumentkategori: Styrdokument Dokumenttyp: Policy Kommunstyrelsen Policy

Läs mer

Tidsplan för anpassning av verksamheten till dataskyddsförordningen

Tidsplan för anpassning av verksamheten till dataskyddsförordningen Tjänsteutlåtande Utfärdat 2016-08-15 Diarienummer 0844/16 Personal och information Hans Luthman, telefon 031-368 30 18 E-post: hans.luthman@arbvux.goteborg.se Tidsplan för anpassning av verksamheten till

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express den 21 september 2016 på Nils Bergh Heléne Hellström Persson Christian Rimmerfeldt Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades

Läs mer

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista. Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den 25 maj 2018. Detta är i princip taget från SKLs checklista. 1. Förbered verksamheten Skolan bör försäkra sig om att beslutsfattare,

Läs mer

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med Styrande dokument för dataskydd Fastställd av Kommunstyrelsen Senast reviderad av 2018-05-17 Gäller från och med 2018-05-25 Innehållsförteckning 1 Inledning 3 2 Omfattning 3 3 Bakgrund 3 4 Personuppgiftsansvar

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express den 7 december 2016 på Nils Bergh Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades i Sverige genom

Läs mer

Utseende av dataskyddsombud

Utseende av dataskyddsombud Fastighetskontoret Tjänsteutlåtande Utfärdat 2018-04-24 Sammanträdesdatum: 2018-05-21 Diarienummer 2761/18 Handläggare Elisabeth Mårdbrink Telefon: 031-368 12 05 E-post: elisabeth.mardbrink@fastighet.goteborg.se

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Almega Express Sundsvall 22 maj 2018 på Kenneth Lidgren Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - Beslut i EU våren 2016 Förordning ikraft 25 maj 2018

Läs mer

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Dataskyddsombud för miljö- och hälsoskyddsnämnden Miljöförvaltningen Verksamhetsstöd Sida 1 (6) 2018-03-20 Handläggare Albin Ring Telefon: 08-508 28 928 Till Miljö- och hälsoskyddsnämnden 2018-04-10, p. 8 Dataskyddsombud för miljö- och hälsoskyddsnämnden

Läs mer

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018 GDPR Datalag - 1973 Personuppgiftslag - 1998 Dataskyddsförordning - maj 2018 Dataskyddslag - maj 2018 Ny lag om personuppgiftsbehandling för forskningsändamål är på gång Förordningen i korthet Principerna

Läs mer

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet? Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet? BAKGRUND Personuppgiftslagen (PuL) ersätts av Dataskyddsförordningen (General Data Protection Regulation, GDPR). Dataskyddsförordningen,

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige KOMMUNAL FÖRFATTNINGSSAMLING 2018:1-003 Policy och riktlinjer för hantering av personuppgifter Antagen av kommunfullmäktige 2018-03-27 35 1 Att gälla från och med 2018-05-01 Policy för hantering av personuppgifter

Läs mer

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten? Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten? BAKGRUND Personuppgiftslagen (PuL) har ersatts av Dataskyddsförordningen (General Data Protection Regulation, GDPR). Sedan 25

Läs mer

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning 1(9) Antagen Dnr 2017/1035 av styrgruppen: 2017-10-19 Reviderad: 2017-12-14 Susanne Svanholm Jurist Juridikavdelningen susanne.svanholm@uadm.uu.se Styrgruppen vid Uppsala universitet för anpassning inför

Läs mer

UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, , kl

UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, , kl UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, 2018-03-21, kl 13.00-14.00 Beslutande Ersättare Elmer Eriksson, ordförande Marie-Louise Nilsson, vice ordförande Henrik Helmersson

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen - En översikt om de nya reglerna Observera att denna broschyr endast ger information om dataskyddsförordningen och ska inte uppfattas som juridisk rådgivning. Lindmark Welinder uppmanar

Läs mer

EU:s dataskyddsförordning

EU:s dataskyddsförordning EU:s dataskyddsförordning Länsstyrelsen den 8 november 2016 Elisabeth Jilderyd och Eva Maria Broberg Datainspektionen Datainspektionen Datainspektionen arbetar för att säkra den enskilda individens rätt

Läs mer

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen GDPR - General Data Protection Regulation Dataskyddsförordningen GDPR - General Data Protection Regulation September 2017 Cecilia Frank Bakgrund Dataskyddsdirektivet (95/46) 1995 Digital utveckling Olikheter i nationell implementering Harmonisering

Läs mer

GDPR. Dataskyddsförordningen 27 april Emil Lechner

GDPR. Dataskyddsförordningen 27 april Emil Lechner GDPR. Dataskyddsförordningen 27 april 2017 Emil Lechner Advokatfirman EdmarLaw Hjälper främst IT-bolag och teknikintensiva bolag. Specialistkompetens inom IT-rätt, avtalsrätt, immaterialrätt och e-handel.

Läs mer

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB Dataskyddsförordningen Kristina Blomberg PuL-Pedagogen Sverige AB www.pulpedagogen.se Lite historia och fakta 1973 trädde datalagen i kraft (världens första nationella integritetslagstiftning) 1998 trädde

Läs mer

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation? Nya krav när PUL blir GDPR Vad innebär det för din organisation? Den 25 maj 2018 ersätts personuppgiftlagen (PUL) och EU:s nya dataskyddsförordning, GDPR, börjar tillämpas. GDPR kommer att gälla som lag

Läs mer

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 1 Innehåll 1. Inledning... 3 2. Behandling... 3 3. Personuppgift... 3 4. Principer för behandling av personuppgifter... 3

Läs mer

Dataskyddsförordningen för prefekter och administrativa chefer

Dataskyddsförordningen för prefekter och administrativa chefer Dataskyddsförordningen för prefekter och administrativa chefer 4 maj 2018 2 Dataskyddsförordningen ersätter personuppgiftslagen Den 25 maj 2018 börjar EU:s nya regelverk för personuppgiftsbehandling, dataskyddsförordningen

Läs mer

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2017-09-04 1 (1) Sida 134 Dnr KS/2015:410 Personuppgiftslagen - förslag på riktlinje för Mjölby kommun Bakgrund EU:s dataskyddsförordning

Läs mer

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER 2018-05-03 INNEHÅLLSFÖRTECKNING 1 INLEDNING OCH SYFTE... 2 2 TILLÄMPNING OCH REVIDERING... 2 3 ORGANISATION OCH ANSVAR... 2 4 BEGREPP OCH FÖRKORTNINGAR...

Läs mer

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund Syfte Riktlinjen har som syfte att göra policyn för behandling av personuppgifter konkret den ger vägledning i hur hantering av personuppgifter skall ske inom Sydnärkes kommunalförbund. Riktlinjen är antagen

Läs mer

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad Styrande dokument Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad 2BDetta dokument gäller för Göteborgs Stads samtliga nämnder samt styrelser i sådana organisationer där Göteborgs

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och

Läs mer

EU:s allmänna dataskyddsförordning:

EU:s allmänna dataskyddsförordning: EU:s allmänna dataskyddsförordning: Datainspektionens roll och befogenheter, dataskyddsombudet och anpassning av svensk lagstiftning Eva Maria Broberg och Lisa Johansson, jurister Enheten för myndigheter,

Läs mer

Vården och reglerna om dataskydd

Vården och reglerna om dataskydd Vården och reglerna om dataskydd 2016-09-21 Katarina Tullstedt Enhetschef Enheten för myndigheter, vård och utbildning Datainspektionen Rätten till privatliv Europakonventionen EU:s stadga om de grundläggande

Läs mer

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Riktlinjer för behandling av personuppgifter i Årjängs kommun Kommunfullmäktige Lina Johannesson, 0573-141 26 lina.johannesson@arjang.se RIKTLINJE Antagen av Kommunfullmäktige 1(12) Dnr KS 2018/210.00 Paragraf 2018-06-18 96 Riktlinjer för behandling av personuppgifter

Läs mer

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017 GDPR Behandling av personuppgifter för forskningsändamål Ulrika Harnesk 11 december 2017 Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s stadga om de grundläggande rättigheterna

Läs mer

Välkomna till kurs i den nya dataskyddsförordningen

Välkomna till kurs i den nya dataskyddsförordningen Välkomna till kurs i den nya dataskyddsförordningen Malmö den 6 oktober 2016 Eva Maria Broberg, Lisa Johansson, Jonas Agnvall och Martin Brinnen Disposition Introduktion rätten till privatliv, dataskyddsregleringen,

Läs mer

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer Behandling av personuppgifter enligt dataskyddslagstiftningen Riktlinjer Dokumenttyp Riktlinjer Giltighetstid fr. o. m. t. o. m. 2018-11-28- Gäller tills vidare Gäller för målgruppen Antagen av Kommunstyrelsen

Läs mer

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april 2016 Elisabeth Wallin, Jurist, Datainspektionen Vad händer 2018? EU:s allmänna dataskyddsförordning ersätter dataskyddsdirektivet

Läs mer

Dataskyddsförordningen GDPR

Dataskyddsförordningen GDPR Dataskyddsförordningen GDPR 2017-12-14 1 När? Dataskyddsförordningen 25 maj 2018. Dataskyddslag - SOU 2017:39 En ny dataskyddslag kompletterande bestämmelser till EU:s dataskyddsförordning. 2 Vad är en

Läs mer

Instruktion till mall för registerförteckning

Instruktion till mall för registerförteckning Datum 2017-12-01 1 (7) Avdelningen för Digitalisering Instruktion till mall för registerförteckning Dataskyddsförordningen artikel 30.1 kräver att varje personuppgiftsansvarig organisation ska föra ett

Läs mer

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015 Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen 12 november 2015 1 Historik och processen mot en dataskyddsförordning Datalagen från 1973. Dataskyddsdirektivet

Läs mer

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017 Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter 5 oktober 2017 Agenda GDPR en överblick Centrala begrepp Grundläggande principer GDPR i 10 punkter Rekommenderade åtgärder Agenda GDPR

Läs mer

Riktlinjer för dataskydd

Riktlinjer för dataskydd 1 Riktlinjer för dataskydd Inledning Följande riktlinje syftar till att konkretisera policyn för dataskydd samt ge vägledning och råd vid hantering av personuppgifter i X kommun. Riktlinjen, som grundar

Läs mer

Riktlinjer för personuppgiftshantering

Riktlinjer för personuppgiftshantering Sida 1(6) Riktlinjer för personuppgiftshantering 1. Inledning Bakgrund Personuppgifter hanteras från och med den 25 maj 2018 enligt EU:s dataskyddsförordning (2016/679) och kompletterande nationell lagstiftning

Läs mer

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU PERSONUPPGIFTER 2.0 - NY DATASKYDDSFÖRORDNING INOM EU NY DATASKYDDSFÖRORDNING FRÅN VÅREN 2018 I december 2015 träffades en politisk överenskommelse mellan EU:s lagstiftande organ om innehållet i EU:s nya

Läs mer

Information om dataskyddsförordningen

Information om dataskyddsförordningen Information om dataskyddsförordningen 2018-04-12 Agenda Kort om dataskyddsförordningen (GDPR) Info om centralt GDPR-projekt Övriga frågor Bakgrund Dataskyddsförordningen (GDPR) ersätter personuppgiftslagen

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Brottsdataförordning Utfärdad den 20 juni 2018 Publicerad den 27 juni 2018 Regeringen föreskriver 1 följande. 1 kap. Allmänna bestämmelser 1 I denna förordning finns kompletterande

Läs mer

Samtycke och dataskyddsförordningen (GDPR)

Samtycke och dataskyddsförordningen (GDPR) Samtycke och dataskyddsförordningen (GDPR) Genom införandet av dataskyddsförordningen, på engelska kallad General Data Protection Regulation (GDPR), som började gälla den 25 maj 2018, ställs högre krav

Läs mer

Behandling av personuppgifter vid Göteborgs universitet

Behandling av personuppgifter vid Göteborgs universitet Behandling av personuppgifter vid Göteborgs universitet Illustrationer: Dolling Tahko 1 Personuppgifter vid Göteborgs universitetet Universitet behandlar personuppgifter för Studenter (till exempel i Ladok)

Läs mer

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation? Nya krav när PUL blir GDPR Vad innebär det för din organisation? Den 25 maj 2018 ersätts personuppgiftlagen (PUL) och EU:s nya dataskyddsförordning, GDPR, träder i kraft. GDPR kommer att gälla som lag

Läs mer

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter Dokumenttyp Policy Dokumentansvarig Kommunkontoret Upprättad 2018-08-06 Antagen Ks 2018-09-24, 97 Senast reviderad Dokumentet gäller för Kiruna kommunkoncern Dataskyddspolicy Hur vi inom Kiruna kommunkoncern

Läs mer

EU:s dataskyddsförordning

EU:s dataskyddsförordning EU:s dataskyddsförordning Riksarkivets konferens Näringslivets hus, Stockholm 10 oktober 2017 Elisabeth Jilderyd Datainspektionen Dataskydd vad handlar det om? Behandling av personuppgifter personuppgiftsansvariga

Läs mer

Skolan och Dataskyddsförordningen

Skolan och Dataskyddsförordningen Skolan och Dataskyddsförordningen Webinarium 21 feb 2017 kl. 13.30 15.00 Sarah Arlebrink, stadsjurist Göteborgs stad Staffan Wikell, jurist SKL Johanna Karlén, projektledare avdelningen för digitalisering,

Läs mer

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN HÖ G S K O L A N I S K Ö V DE W W W. HIS. S E Bild 1 Bild 1 SYFTET MED DATASKYDDSFÖRORDNINGEN ÄR ett enhetligt regelverk

Läs mer

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 2 Union to Unions policy om dataskyddsförordningen, General Data protection Regulation (GDPR) Innehåll 1. Inledning...

Läs mer

GDPR UTBILDNINGSDAG SKKF

GDPR UTBILDNINGSDAG SKKF GDPR UTBILDNINGSDAG SKKF 2018-10-25 Vad ska vi prata om idag? Presentation Andreas Bakgrund till GDPR Personuppgifter och känsliga personuppgifter Lägg till en bildrubrik 4 Rättslig grund för att behandla

Läs mer

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd. EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd. Datainspektionen Adress: Elverksgatan 10 (Kv. itiden) Telefon:

Läs mer

GDPR Presentation Agenda

GDPR Presentation Agenda GDPR Presentation Agenda Start & välkommen Föreläsning - dataskyddsförordningen - principer - laglig behandling - den registrerades rättigheter - ansvarsskyldighet - GDPR Roadmap Föreläsning slut Varför

Läs mer

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN 1 (7) BEHANDLING AV PERSONUPPGIFTER (GDPR) SALA4000, v 2.0, 2012-08-27 N:\Informationsenheten\InformationSala\Projekt\GDPR\sakn-integritetspolicy-behandling av personuppgifter.docx Behandling av personuppgifter...

Läs mer

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY Inledning Dataskyddsförordningen 1 började tillämpas den 25 maj 2018 i hela EU. Den är därför

Läs mer

Dataskyddsförordningen (DSF/GDPR)

Dataskyddsförordningen (DSF/GDPR) Dataskyddsförordningen (DSF/GDPR) Styrelseinformation Bostads AB Poseidon 2018-09-27 Nina Havner Dataskyddsombud 2 Bakgrund Dataskyddsförordningen EU beslut i april 2016 om en Dataskyddsförordning (DSF).

Läs mer

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER GULLSPÅNG KOMMUN Antagen av kommunfullmäktige 2018-05-30, 69 Dnr: KS 2018/275 Kommunledningskontoret Torggatan 19, Box 80 548 22 HOVA Tel: 0506-360 00 www.gullspang.se

Läs mer

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

DATASKYDD (GDPR) Del 1: Kommun- /regionledning DATASKYDD (GDPR) Del 1: Kommun- /regionledning Del 1 Kommunledning Organisationens högsta ledning Del 2 Förvaltningsledning Verksamhetsledning Del 3 Dataskyddssamordnare Dataskyddsredogörare Del 4 Kärnverksamhet

Läs mer

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa KS18-410 003 Dataskyddspolicy För kommunstyrelse och nämnder Föreskrifter Plan Policy Program Reglemente Riktlinjer Strategi Taxa Innehåll Bakgrund... 3 Syfte... 3 Ansvar... 3 Styrelse och nämnder... 3

Läs mer

DATASKYDD (GDPR) Del 2: Förvaltningsledning

DATASKYDD (GDPR) Del 2: Förvaltningsledning DATASKYDD (GDPR) Del 2: Förvaltningsledning Del 1 Kommunledning Organisationens högsta ledning Del 2 Förvaltningsledning Verksamhetsledning Del 3 Dataskyddssamordnare Dataskyddsredogörare Del 4 Kärnverksamhet

Läs mer

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN 1 RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN INLEDNING Dataskyddsförordningen, GDPR, (förkortning av engelskans General Data Protection Regulation) och datalagen, båda kallas

Läs mer

GDPR- Vad har hänt och hur ser tillämpningen ut?

GDPR- Vad har hänt och hur ser tillämpningen ut? GDPR- Vad har hänt och hur ser tillämpningen ut? Upplägg Tillåten behandling. När kan samtycke användas? Rätten till information, rättning och radering Tillsyn 2 Bakgrund: GDPR-spelarna Lagstiftare Media

Läs mer

Dataskyddsombud, organisation och finansiering

Dataskyddsombud, organisation och finansiering Tjänsteskrivelse 1 (5) Kommunledningsförvaltningen Jenny Björkholm, Pia Brink 2018-02-26 Dnr KS 2018-140 Kommunstyrelsen Dataskyddsombud, organisation och finansiering Förslag till beslut 1. Kommunledningsförvaltningens

Läs mer

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag Giltig från och med: 2018-05-25 1. Inledning Bonnier Fastigheter med dotterbolag påverkas liksom våra hyresgäster,

Läs mer

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter s anvisningar avseende behandlingen av 20180711 20180711 Innehåll... 4 Viktiga dokument... 4 Viktiga begrepp... 4 Personuppgift... 4 Behandling... 4 Lagkrav... 5 Roller... 5 Personuppgiftsansvarig... 5

Läs mer

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR NYA DATASKYDDSFÖRORDNINGEN GDPR NYA DATASKYDDSFÖRORDNINGEN GDPR NYA DATASKYDDSFÖRORDNINGEN GENERAL DATA PROTECTION REGULATION De nya reglerna gäller från och med den 25 maj 2018 och ersätter PUL Syfte: Stärka integritetsskyddet

Läs mer

PuL och GDPR en översiktlig genomgång

PuL och GDPR en översiktlig genomgång PuL och GDPR en översiktlig genomgång Innehåll: Allmänt om nuvarande PuL Definitioner Allmänna bestämmelser Grundläggande krav Roller Säkerhet GDPR Skillnader mot dagens bestämmelser Checklista Personuppgiftslagen

Läs mer

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018 Dataskyddsförordningen 2018 Adress till denna presentation: bit.do/gdprant Vi talar om dataskyddsförordningen och GDPR General Data Protection Regulation Tra dde i kraft 24.5.2016, ga ller i Finland fr.o.m.

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Dataskyddsförordningen, DSF Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter

Läs mer

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018 Dataskyddsförordningen 2018 Adress till denna presentation: www.bit.do/gdpr-ant Vi talar om dataskyddsförordningen och GDPR General Data Protection Regulation Tra dde i kraft 24.5.2016, ga ller i Finland

Läs mer

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud Dataskyddsombudsrollen och Dataskyddsförordningen i korthet Madeleine Arvidsson Wäli, Dataskyddsombud Dataskyddsombudsrollen i kommun Lag och avtalet som grund Mitt uppdrag framgår dels av förordningen

Läs mer

PUL OCH DATASKYDDSFÖRORDNINGEN

PUL OCH DATASKYDDSFÖRORDNINGEN PUL OCH DATASKYDDSFÖRORDNINGEN Tfn 08-654 94 62 soren@sorenoman.se, www.sorenoman.se PUL och den nya förordningen Personuppgiftslagen 1998 Missbruksregel (5 a ) för behandling utanför databaser 2007 Dataskyddsförordningen

Läs mer

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA Sida 1 (6) Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA Vad är GDPR den nya dataskyddsförordningen? Dataskyddsförordningen (GDPR) är en ny EU-förordning som innehåller regler om hur

Läs mer

Ny dataskyddsförordning En vägledning genom processen

Ny dataskyddsförordning En vägledning genom processen Ny dataskyddsförordning En vägledning genom processen TechLaw är en affärsjuridisk byrå specialiserad inom IP, media och teknologi. Vi är experter inom våra områden och ger tydliga och kvalificerade råd

Läs mer

Denna policy skapades av och för organisationens behandling av personuppgifter.

Denna policy skapades av och för organisationens behandling av personuppgifter. Denna policy skapades av och för organisationens behandling av personuppgifter. Organisationen är personuppgiftsansvarig. Uppgift oavsett form, gränssnitt eller miljö som direkt eller indirekt kan hänföras

Läs mer

Den nya Dataskyddsförordningen

Den nya Dataskyddsförordningen Studenter Informations- och utbildningsmaterial Den nya Dataskyddsförordningen Dataskyddsförordningen/General Data Protection Regulation (GDPR) ska stärka enskilda personers rättigheter över hur myndigheter,

Läs mer

GDPR. Dataskyddsförordningen

GDPR. Dataskyddsförordningen GDPR Dataskyddsförordningen torsdagen den 29 mars 2018 Innehåll» Inledning» Integritetskontroll?» Centrala begrepp» Grundläggande krav» Laglig grund» Den registrerades rättigheter» Känsliga personuppgifter»

Läs mer

Personuppgiftsinformation för Svedala kommun

Personuppgiftsinformation för Svedala kommun Personuppgiftsinformation för Svedala kommun Den nya dataskyddsförordningen, General Data Protection Regulation (GDPR), började tillämpas den 25 maj 2018 och ersatte den tidigare personuppgiftslagen. Dataskyddsförordningen

Läs mer

Dataskyddsförordningen

Dataskyddsförordningen Dataskyddsförordningen Dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och

Läs mer

Riktlinjer för hantering av personuppgifter

Riktlinjer för hantering av personuppgifter Riktlinjer för hantering av personuppgifter Mariestads kommun Antaget av Kommunstyrelsen Mariestad 2018-05-14 Datum: 2018-04-04 Dnr: Sida: 2 (6) Riktlinjer för hantering av personuppgifter Inledning EU:s

Läs mer

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR) 1 (5) Bilaga 1 Datum 2018-02-16 Handläggare: Fredrika Holm Telefon: 070-577 86 51 E-post: fredrika.holm@vgregion.se Till samtliga förvaltningschefer och Verkställande direktörer i de majoritetsägda bolagen

Läs mer