Riktlinjer för webbpublicering enligt PuL

Relevanta dokument
Policy för hantering av personuppgifter

Rutin för webbpublicering av personuppgifter

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Kanslichef - Tillsvidare

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun

Personuppgiftslagen (PuL) - En kort introduktion

PERSONUPPGIFTSLAGEN (PUL)

Lathund Personuppgiftslagen (PuL)

Riktlinjer för behandling av personuppgifter vid webbpublicering

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Frågor & svar om nya PuL

Personuppgiftslagen konsekvenser för mitt företag

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Tingssalen, kommunhuset i Högsby kl Raymond Asp, S Helena Grybäck Svensson, förbundschef Ulla Nilsson, sekreterare

Riktlinje för hantering av personuppgifter i e-post och kalender

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter vid Högskolan Dalarna

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftsbehandling i forskning

Granskning av landstingets hantering av personuppgifter

Personuppgiftsbehandling för forskningsändamål

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Lindesbergs kommuns arbete med dataskyddsförordningen

Webbpublicering och personuppgiftslagen

Information till nyanställda inom barn- och utbildningsförvaltningen

Kerstin Wardman, 25 april 2018

Riktlinjer för behandling av personuppgifter

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Policy för behandling av personuppgifter

Punkt 21 Riktlinje för fritextfält

Riktlinjer för diariet på Internet

Riktlinjer för hantering av personuppgifter

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Personuppgiftslagen 20 april 2010

Dataskyddsförordningen - GDPR

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Användande av Google Apps For Education

Svensk författningssamling

Riktlinjer för personuppgiftshantering

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Svensk författningssamling

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

PuL och GDPR en översiktlig genomgång

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Publicering på Internet

Svensk författningssamling

Personuppgiftsbiträdesavtal

Riktlinjer för e-posthantering i Norrköpings kommun

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Den nya Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Policy för personuppgiftsbehandling

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Svensk författningssamling

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Personuppgiftsbiträdesavtal

Bilaga Personuppgiftsbiträdesavtal

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR. Anders Ahlström

Personuppgiftsinformation för Svedala kommun

Policy för integritet vid hantering av personuppgifter

RIKTLINJER FÖR SOCIALA MEDIER. Bakgrund. Syfte. Användning av sociala mediekanaler. Ansvar för publicering. Sida 1(5)

Allmänna råd. Vi har lagring i flera miljöer som är uppdelat regionalt och lokalt.

Kvalitetsregisterdag

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Anpassning till DSF

INSTRUKTION FÖR BEHANDLING AV PERSONUPPGIFTER med blankett för anmälan av behandling av personuppgifter enligt personuppgiftslagen

Rutin för användning av Social Medier. Dnr. Beslutad av kommundirektören Reviderad Reviderad Reviderad

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Personuppgiftsombudet

Behandling av personuppgifter vid Göteborgs universitet

Policy för sociala medier i Stockholms stad

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Malmö stads riktlinjer för sociala medier

SKARPNÄCKS STADSDELSFÖRVALTNING

Information om personuppgiftslagens tillämpning i Riksbanken

Transkript:

1 1 Dokumenttyp och beslutsinstans Riktlinjer / kommunstyrelsen Dokumentansvarig Mats Mikulic Dokumentnamn Riktlinjer för webbpublicering enligt PuL Dokumentet gäller för Samtliga nämnder/bolag och tjänstemän Fastställda 2015-01-15 (KS 17) Giltig till och med Gäller tillsvidare från och med 2015-02-01 Riktlinjer för webbpublicering enligt PuL Kommunkansliet Mats Mikulic, kommunjurist

Innehåll Inledning 1. Regelverk 2. Definition av behandling och personuppgift 3. Ansvarig för kommunens och bolagens webbpublicering 3.1 Ansvarig nämnd / styrelse 3.2 Personuppgiftsansvarig och personuppgiftsombud 3.3 Biträden till personuppgiftsombudet 3.4 Registrator, nämndsekreterare, kommunikatörer och skribenter 4. Vilka uppgifter får inte publiceras på webben? 5. Vilka uppgifter får publiceras på webben? 6. Hur sker bedömningen enligt PuL? 7. Kontroll av handlingar m.m. före publicering och maskering av uppgifter 8. Information till den registrerade och samtycke 9. Hur länge ska personuppgifter finnas på webben? Bilaga - Checklista för bedömning enligt personuppgiftslagen inför publicering på webben

Inledning Kommunens verksamhet görs i allt högre grad tillgänglig för medborgarna bland annat genom att tekniska hjälpmedel möjliggör ökad öppenhet och insyn. Publicering av protokoll och annan information på webben bidrar till att kommunen förverkligar intentionerna med offentlighetsprincipen. Det ger ökad insyn i kommunens verksamhet, samtidigt som kommunen kan sprida information till medborgarna och andra berörda. Samtidigt som tillgängligheten och spridningen av uppgifter på webben ökar tilltar risken för att integritetskränkande uppgifter kan komma att publiceras. För att publiceringen ska ske på ett korrekt sätt i förhållande till lagar och bestämmelser har dessa riktlinjer utarbetats som ett styrande och vägledande dokument. Riktlinjerna syftar till att publicering av uppgifter sker i enlighet med personuppgiftslagen (PuL) och andra lagar inom området. Vidare fastställs i och med dessa riktlinjer kommunens organisation och ansvarsfördelning vid publicering av personuppgifter på webben. Dessa riktlinjer omfattar endast de uppgifter som publiceras på kommunens hemsida www.tjorn.se.

1. Regelverk Personuppgiftslagen (PuL) har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, genom det så kallade dataskyddsdirektivet. I personuppgiftslagen finns regler för hur personuppgifter får behandlas. Begreppet "behandlas" är brett; det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning med mera. Lagen bygger i hög grad på samtycke och information till de registrerade. Det finns också regler om säkerhet och rättelse av felaktiga uppgifter. Personuppgiftslagen kompletteras med ett antal förordningar, däribland personuppgiftsförordningen. Vid sidan av lagar och förordningar utarbetar Datainspektionen föreskrifter samt ger ut allmänna råd med rekommendationer i olika frågor. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen, exempelvis lagar om hur personuppgifter ska behandlas inom hälso- och sjukvården och socialtjänsten, exempelvis i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Det finns också undantag från personuppgiftslagen med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten. 2. Definition av behandling och personuppgift Personuppgiftslagen avser behandling av personuppgifter. Innebörden av begreppet behandling är brett och omfattar varje åtgärd man vidtar med personuppgifterna, oavsett det sker med en dators hjälp eller inte. Behandlingen kan exempelvis avse insamling, registrering, lagring, bearbetning, utlämning genom att sända, sprida eller på annat sätt tillhandahålla uppgifter. En personuppgift utgörs av all slags information som direkt eller indirekt kan knytas till en fysisk levande person. Exempel på personuppgifter är: Namn, personnummer, adress, telefonnummer, e-postadress Fastighetsbeteckning Kundnummer Foton, bilder, ljud- och bildupptagningar

3. Ansvarig för kommunens och bolagens webbpublicering 3.1 Ansvarig nämnd / styrelse Kommunstyrelsen är den nämnd som har det övergripande ansvaret för att utarbeta och uppdatera riktlinjer för webbpublicering. Kommunstyrelsen ansvarar för att övriga nämnder och dess förvaltningar får kännedom riktlinjerna. En nämnd kan ha behov av att precisera riktlinjerna utifrån sin specifika verksamhet. För de kommunala bolagen är det respektive styrelse som ansvarar för de registreringar och behandlingar som sker i bolagets verksamhet. 3.2 Personuppgiftsansvarig och personuppgiftsombud Varje nämnd och bolag är personuppgiftsansvarig för sin verksamhet. Nämnden/bolaget är alltså ytterst ansvarig för att personuppgiftslagen följs och att publiceringen följer gällande bestämmelser. Nämnden/bolaget kan utse ett personuppgiftsombud som ska se till att personuppgifter behandlas på ett lagligt och korrekt sätt. Det innebär att ombudet måste förvissa sig om att den personuppgiftsansvarige följer bestämmelserna i personuppgiftslagen och i anknytande lagstiftning. Ombudet ska exempelvis granska rutinerna och de krav på kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige ställer på den personal som behandlar personuppgifter. I vissa fall ska personuppgiftsombudet anmäla brister till Datainspektionen. Den personuppgiftsansvarige, alltså nämnden/bolaget, har emellertid alltid det yttersta ansvaret för all behandling även om man utsett ett personuppgiftsombud. Lämpligen utser respektive nämnd och bolag ett gemensamt personuppgiftsombud. 3.3 Biträden till personuppgiftsombudet Personuppgiftsombudet har till sin hjälp biträden i varje förvaltning. Biträdet bistår med att sammanställa aktuell förteckning över behandlingar som innehåller personuppgifter samt utbildar och informerar om PuL i sin förvaltning. Biträden (ett eller flera) utses av respektive förvaltningschef/vd.

3.4 Registrator, nämndsekreterare, kommunikatörer och skribenter Registratorer och nämndsekreterare gör utifrån gällande regelverk bedömningar om personuppgifter i protokoll får publiceras på webben. För övrig publicering gäller att av förvaltningschef/vd utsedda kommunikatörer och skribenter ansvarar för att inga personuppgifter publiceras i strid med PuL Vid tveksamt om uppgifter får publiceras ska alltid personuppgiftsbiträdet eller personuppgiftsombudet kontaktas. 4. Vilka uppgifter får inte publiceras på webben? Det är aldrig tillåtet att publicera uppgifter som är kränkande. Alla sådana uppgifter i protokoll och övriga handlingar ska tas bort innan dokumentet publiceras. Detsamma gäller behandling av personuppgifter som inte ingår i en handling. Exempel på kränkande uppgifter är: Känsliga personuppgifter; uppgifter om ras, etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, medlemskap i fackförening och uppgifter som rör hälsa och sexualliv. Uppgifter som omfattas av tystnadsplikt eller sekretess. Uppgifter om lagöverträdelser Annan information som är integritetskänslig 5. Vilka uppgifter får publiceras på webben? Det är tillåtet att publicera uppgifter i så kallat ostrukturerat material (5 a PuL) i exempelvis kallelse, kungörelse och protokoll så länge det inte är kränkande enligt personuppgiftslagen. Ostrukturerat material utgör sådan information som ingår i en löpande text samt i ljud och bild. Även enklare strukturer med namnlistor, tex. lista över personer som innehar förtroendeuppdrag, utgör normalt ostrukturerat material, om inte materialet ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur. Det är inte möjligt att generellt ange vad som är kränkande utan det måste göras en bedömning i varje enskilt fall.

Personuppgifter som rör tjänstemän eller förtroendevalda politiker får normalt publiceras om detta har ett direkt samband med tjänsteutövningen respektive uppdraget, alltså inte i egenskap av privatperson. Uppgifter som kan publiceras är exempelvis namn, politisk tillhörighet och vem som är ansvarig handläggare eller liknande information. I övrigt får personuppgifter rörande enskilda publiceras bara om dessa och övriga publicerade uppgifter, enskilt eller sammantaget, inte kan antas leda till att den registrerades integritet kränks. Dessa personuppgifter får inte heller publiceras i kombination med information som är integritetskänslig, omfattas av sekretess eller tystnadsplikt eller rör lagöverträdelse. Vid publicering av personuppgifter som ingår i ett så kallat strukturerat material krävs som huvudregel alltid samtycke innan publicering oavsett vilken typ av personuppgifter som avses. Med strukturerat material avses personuppgifter som ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av uppgifterna, såsom traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. 6. Hur sker bedömningen enligt PuL? Bedömning måste göras i varje enskilt ärende enligt personuppgiftslagens bestämmelser om uppgifterna får publiceras eller inte. Om behandlingen av personuppgiften skulle strida mot PuL får uppgiften inte publiceras utan ska tas bort. Bedömningen enligt PuL görs av den som är utsedd att publicera uppgifter på webben. Det kan exempelvis vara nämndsekreterare, registrator, kommunikatör eller skribent. Den checklista som bifogas till dessa riktlinjer utgör stöd för bedömningen enligt PuL. Vid tveksamhet ska alltid personuppgiftsbiträdet eller personuppgiftsombudet kontaktas för samråd.

7. Kontroll av handlingar m.m. före publicering och maskering av uppgifter Innan protokoll eller andra handlingar publiceras på webben ska det kontrolleras så att handlingen inte innehåller några personuppgifter som inte får publiceras enligt PuL. I första hand ska protokollen skrivas på ett sådant sätt att de inte innehåller några personuppgifter utöver de som anges som tillåtet. I de fall det inte går att undvika ska känsliga, integritetskänsliga eller sekretessbelagda uppgifter maskeras. Maskering görs genom att den känsliga texten stryks över så att texten inte syns. Därefter används kopian med överstrykningen för publicering. Sker däremot maskeringen digitalt ska uppgiften helt tas bort. Det måste dock tydligt framgå att maskering har skett. Detta sker lämpligen genom att det istället för den maskerade uppgiften ersätts med xxxxxxxx. Denna rutin tillämpas också när uppgifter publiceras utan att de ingår i ett protokoll eller annan handling. Den som publicerar handlingen/uppgiften ansvarar för kontrollen och eventuell maskering av uppgifter. Publiceringen utförs av registrator, nämndsekreterare, kommunikatörer och skribenter enligt p. 3.4 ovan. 8. Information till den registrerade och samtycke Den som är utsedd att publicera uppgifterna på webben ska förvissa sig om att information lämnats och att samtycke inhämtats före publicering om detta krävs enligt personuppgiftslagen. När personuppgifter samlas in och behandlas måste de som registreras informeras om detta. På kommunens samtliga blanketter med personuppgifter ska en information ges om bland annat varför uppgifterna samlas in och hur dessa kommer att hanteras. Respektive förvaltning ska se till att denna information finns. Om uppgifterna samlas in via telefon eller muntlig kontakt ska informationen om behandlingen av personuppgifterna lämnas muntligen. Tjänstemän och förtroendevalda politiker ska få denna information muntligen eller skriftligen när tjänsten respektive uppdraget påbörjas och därefter kontinuerligt, minst en gång per år, avseende uppgifter i protokoll och i webbsändningar. Övrig behandling på webben förutsätter att information ges inför varje publicering.

Utgångspunkten är att behandling av personuppgifter endast är tillåten om den registrerade har lämnat sitt samtycke. Från denna regel finns omfattande undantag. I vilka fall samtycke krävs eller om publicering får ske även utan samtycke måste prövas utifrån den aktuella behandlingen. Det ska alltid dokumenteras om samtycke inhämtats. 9. Hur länge ska personuppgifter finnas på webben? Efter fem år gallras protokoll och andra handlingar med tillhörande personuppgifter. Den som blivit utsedd att publicera uppgiften ansvarar också för att gallring sker. Bedömningen av vad som ska gallras ska göras minst en gång per år. Den som publicerar uppgifterna på webben ansvarar också för att gallring sker. Tekniskt stöd för detta ändamål bör tas fram. -----------------------

Bilaga - Checklista för bedömning enligt personuppgiftslagen inför publicering på webben Denna checklista utgör ett redskap för att underlätta bedömningen. Mer detaljerad information finns i tillämpligt regelverk och på Datainspektionens hemsida (http://www.datainspektionen.se). Vid tveksamhet ska samråd alltid ske med personuppgiftsbiträdet eller med personuppgiftsombudet. 1. Är det en personuppgift? 2. Handlar det om behandling av personuppgift enligt PuL? 3. Är reglerna om territoriell begränsning, privat bruk tillämpliga? 4. Är annan lag tillämplig? 5. Föreligger det sekretess? 6. Är undantagen för offentlighetsprincipen, tryckfrihets- eller yttrandefrihetsreglering tillämpliga? 7. Är undantagen för journalistiskt ändamål eller konstnärligt och litterärt skapande tillämpliga? 8. När får uppgifterna behandlas? 9. Hur får uppgifterna behandlas? 10. Är det fråga om känsliga uppgifter, personnummer, information om lagöverträdelser eller på annat sätt integritetskänsliga? 11. Har informations lämnas till den som registreras? 12. Behövs det / finns det samtycke?

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss