Dataskyddsförordningen - GDPR

Transkript

1 Dataskyddsförordningen - GDPR

2 GDPR ersatte PUL den 25 maj 2018 Syfte: Att stärka individens rättigheter och integritetsskydd Varför: Världen har förändrats (internet, bredare användning av personuppgifter, olika IT-hot) Krav på oss: - Måste kunna visa att vi följer lagstiftningen (t. ex. genom processer/rutiner, registerförteckning, uppdaterade personuppgiftsbiträdesavtal) - Skapa strukturer för hanteringen av personuppgifter ända längst ut i organisationen (ansvar, roller, delegation, utbilda personal) - Säkerställa löpande förvaltning av hanteringen av personuppgifter - Klara av att lämna registerutdrag på enskilds begäran inom en månad - Incidenthantering och rapportering av incidenter till Datainspektionen (72h)

3 Dataskyddsförordningen (GDPR) Ny nationell dataskyddslag Patientdatalag, SoLPuL, SoLPuF, Brottsdatalag, OSL SOSFS 2014:5 Europakonventionen om de mänskliga rättigheterna och EU:s stadga om de grundläggande rättigheterna Svenska grundlagar

4 Vad är en personuppgift? En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras genom ex. namn, personnummer, bild, ljudupptagning, IP-nummer, e-postadress. Begreppet är brett. Känsliga personuppgifter är ex. uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter, uppgifter om hälsa, sexualliv, sexuell läggning. Huvudregeln är att behandling av känsliga personuppgifter är förbjuden men socialtjänst och hälso- och sjukvård utgör undantag.

5 Behandling av personuppgifter Inhämtning Insamling Framtagning Registrering Lagring Lagring Hantering Delning Gallring Användning, organisering, begränsning, Läsning Justering, ändring Överföring Spridning Tillhandahållande Lagring, arkivering Radering Förstöring

6 7 grundläggande krav enligt GDPR 1. laglighet, korrekthet och öppenhet: det ska finnas en laglig grund för att behandla personuppgifterna och det ska vara lätt för den registrerade att få information om vilka uppgifter som behandlas och varför 2. ändamålsbegränsning: personuppgifterna ska bara användas för det ändamål de samlades in och som anges i registret över den specifika behandlingen 3. korrekthet: Personuppgifter ska vara korrekta och uppdaterade 4. uppgiftsminimering: bara de personuppgifter som verkligen behövs för att utföra arbetet ska sparas ingen uppgift ska sparas för att den kan vara bra att ha 5. lagringsminimering: uppgifterna ska bara sparas så länge som de faktiskt behövs (eller måste sparas med hänsyn till lagkrav) 6. integritet och konfidentialitet: både tekniska och organisatoriska åtgärder ska vidtas för att skydda uppgifterna 7. ansvarsskyldighet: skyldighet att både följa förordningen och visa att den följs

7 6 lagliga grunder för behandling 1. Den registrerade har samtyckt till behandlingen för ett eller flera specifika ändamål. 2. För att uppfylla ett avtal den personuppgiftsansvarige har med den registrerade. 3. För att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige har. 4. Skydd för intresse av grundläggande betydelse för den registrerade eller annan fysisk person. 5. För att utföra uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. 6. Efter en intresseavvägning där den personuppgiftsansvarige anses ha ett berättigat intresse av behandlingen, om inte den registrerades rättigheter väger tyngre. Dock gäller denna grund inte för organisationer inom offentlig sektor.

8 Lagliga grunder inom socialtjänsten Avtal som grund för personuppgiftsbehandling kommer bland annat att användas för majoriteten av personuppgifterna som behandlas om anställda. Allt som behöver behandlas för att kunna uppfylla anställningsavtalet faller under denna grund. Här placeras även behandlingar som sker för att kunna genomföra avtal med leverantörer. Rättslig förpliktelse är en tillämplig laglig grund inom socialtjänsten eftersom flera personuppgiftsbehandlingar som utförs inom sådan verksamhet framgår direkt av lag. Dokumentationskrav i socialtjänstlagen är exempel på personuppgiftsbehandlingar med rättslig förpliktelse som laglig grund. Allmänt intresse eller myndighetsutövning utgör laglig grund för majoriteten av personuppgiftsbehandlingarna inom socialtjänsten. Med allmänt intresse avses enligt propositionen till dataskyddslagen (prop. 2017/18:105) den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, såväl obligationsrättsliga skyldigheter som frivilliga befogenheter.

9 Samtycke enligt GDPR - problematiskt Kraven på ett samtycke har höjts genom GDPR. För att ett giltigt samtycke ska föreligga krävs enligt förordningen att samtycket är frivilligt, specifikt, att den enskilde är informerad och att det lämnas genom en aktiv handling. När en myndighet hämtar in samtycke från enskilda kan inte frivillighet förutsättas eftersom det råder en maktobalans mellan myndigheten och den enskilde medborgaren. Detta framgår av artikel 29-gruppens vägledning om samtycke. För att ett samtycke ska vara giltigt krävs alltså att den enskilda i praktiken kan säga nej till personuppgiftsbehandlingen. För att kunna visa att man följer lagstiftningen krävs det att man kan visa att man har hämtat in samtycken i de fall man använder sig av denna lagliga grund. Samtycket innebär därför också en större administration än övriga lagliga grunder.

10 GDPR i socialförvaltningen Socialnämnden ses som självständig myndighet och är personuppgiftsansvarig Leverantörer av verksamhetssystem är personuppgiftsbiträden när de hanterar personuppgifter på vårt uppdrag Isaac Ferguson är socialnämndens dataskyddsombud. Han hör till kommunstyrelseförvaltningen Processer och rutiner håller på att revideras/skrivas fram, både i kommunen och i socialförvaltningen Mer information finns på Kvalitetsfabriken, Insidan och Gislaveds kommuns hemsida Utbildning för personal/chefer: 30 november och 7 december Kontaktpersoner inom kansli- & utvecklingsenheten: Tomas Lindberg (nämndsekreterare), Petra Johansson (utvecklingsledare) Anette Wallentin (administratör), Mattias Svensson (IT, digitalisering)

11 Några råd Samla inte in fler personuppgifter än nödvändigt och enbart för ett bestämt ändamål som ni har lagstöd för Spara inte uppgifterna längre än nödvändigt följ gallrings- och arkiveringsreglerna Lagra inte e-post mer än under tiden som du behöver uppgifterna för en viss arbetsuppgift. Outlook är inget säkert lagringsställe flytta till säkrare lagringsplats om du behöver spara Gå igenom och städa upp din hemkatalog i datorn och vid behov även i de gemensamma mapparna. Använd våra verksamhetssystem i första hand

12 Några råd (forts) Helt nya personuppgiftsbehandlingar ska godkännas av förvaltningschef All personuppgiftsbehandling som förekommer hos oss ska finnas redogjord för i förvaltningens registerförteckning kontakta nämndsekreterare eller administratör på KU Med leverantörer som hanterar personuppgifter på uppdrag av oss skrivs personuppgiftsbiträdesavtal, dessa avtal registreras sedan i Castor: SN

13 Vill du veta mer? Datainspektionen: regler/dataskyddsforordningen/ SKL: alisering/dataskyddsforordningengdpr ht ml