Registrator Göran Rydeberg

Relevanta dokument
Göran Rydeberg, Stockholms universitet

PUL OCH DATASKYDDSFÖRORDNINGEN

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Koncernkontoret Enheten för juridik

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

OFFENTLIGHET OCH SEKRETESS

Lathund Personuppgiftslagen (PuL)

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Personuppgiftsbehandling för forskningsändamål

Personuppgiftsbiträdesavtal

Svensk författningssamling

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Den nya Dataskyddsförordningen

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

GDPR- Seminarium 2017

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgiftsbehandling i forskning

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Dataskyddsförordningen (GDPR)

Personuppgiftslagen konsekvenser för mitt företag

GDPR UTBILDNINGSDAG SKKF

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Dataskyddsförordningen

Svensk författningssamling

Svensk författningssamling

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Kerstin Wardman, 25 april 2018

Riktlinjer för elektroniska utlämnanden

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Behandling av personuppgifter vid Göteborgs universitet

Svensk författningssamling

Riktlinje för hantering av personuppgifter i e-post och kalender

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Dataskyddsförordningen, GDPR

Policy för personuppgiftsbehandling

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

OFFENTLIGHET OCH SEKRETESS

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Dataskyddsförordningen för prefekter och administrativa chefer

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

Förslag till ny dataskyddsförordning och dess konsekvenser för registerbaserad forskning

Offentlighets- och sekretesslagen (2009:400) OSL (Prop. 2008/09: 150)

PERSONUPPGIFTER SOM BEHANDLAS

Personuppgiftsbiträde

Personuppgiftsinformation för Svedala kommun

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Personuppgifter i forskningen vilka regler gäller?

Dataskyddsförordningen i utbildningsverksamhet

Personuppgiftslagen (PuL) - En kort introduktion

Nya dataskyddsförordningen GDPR

INTEGRITETSPOLICY SAMORDNINGSFÖRBUNDET CENTRALA ÖSTERGÖTLAND

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Dataskyddsförordningen

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

8 Sekretess. 8.1 Allmänt. Sekretess, Avsnitt 8 125

Dataskyddsförordningen

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

INTEGRITETSPOLICY Tikkurila Sverige AB

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Information om dataskyddsförordningen

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Bilaga Personuppgiftsbiträdesavtal

24 kap. 8 offentlighets- och sekretesslagen (2009:400)

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Policy för behandling av personuppgifter

Dataskyddsförordningen GDPR

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

SEKRETESSREGLER SOM HINDER MOT OUTSOURCING?

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

EU:s dataskyddsförordning

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Antagen av kommunstyrelsen Reviderad

Personuppgifter i forskning riktlinje för SLSO

PuL och GDPR en översiktlig genomgång

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

INTEGRITETSPOLICY för Webcap i Sverige AB

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Försvarets radioanstalts (FRA) behandling av personuppgifter

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

Transkript:

Registrator 2017 Göran Rydeberg

Göran Rydeberg Disputerad historiker och arkivarie Avdelningschef vid Stockholms universitet Lång erfarenhet från offentlig arkivverksamhet Forskare och konsult

(OSL) Huvudregeln att sekretess är undantag (TF 2:2) därför begreppet offentlighets- och sekretesslagen. Lagen är teknikneutral! Offentlighets- och sekretesslagen olika former av sekretess

Offentlighets- och sekretesslag Omfattning En sekretessbestämmelses tillämplighet begränsas i regel av 3 rekvisit föremål räckvidd styrka. Offentlighets- och sekretesslagen olika former av sekretess

Allmänna handlingar Handling är allmän, om den förvaras hos myndighet och är inkommen till eller upprättad hos myndighet. Innehållet får inte förvanskas och möjligheter till spårbarhet ska finnas Regler och rutiner för registrering och utlämnande

Vad inte allmän handling? (TF 2 kap) Allmän handling är inte information som förvaras endast för att kunna återskapa information som kan förloras i en myndighets elektroniska system (säkerhetskopia, backup) Depositioner är inte allmänna handlingar E-postmappen men däremot inte enskilda e-postmeddelanden- är allmänna handlingar Loggar. Får konsekvenser för återskapande av information Regler och rutiner för registrering och utlämnande

Registrering av allmänna handlingar 1 Registreras så snart som möjligt Öppna handlingar behöver inte diarieföras Av ringa betydelse behöver varken registreras eller hållas ordnad Upprättande myndighet har huvudansvar Regler och rutiner för registrering och utlämnande

Registrering av allmänna handlingar 2 Sekretessmarkering görs på handlingen eller i det datasystem där den handlingen hanteras och ange 1. tillämplig sekretessbestämmelse, 2. datum då anteckningen gjordes, 3. myndighet som gjort anteckningen. Glöm inte tjänsteanteckningar på handlingar, i diarier eller på annat lämpligt ställe regler och rutiner för registrering och utlämnande

Hemligstämpling Sekretessmarkering (hemligstämpling) kan göras på handling eller i diariet måste ange lagrum (i OSL) för sekretess anger att handling vid angiven tid bedömdes vara hemlig och gällde vid just det tillfället Hemligstämpling

Utlämnande av allmänna handlingar 1 Snarast Gratis Kopia mot avgift Ska kunna göras utan svårigheter (Ännu) bestämmer myndighet hur Regler och rutiner för registrering och utlämnande

Utlämnande av allmänna handlingar 2 - Grundläggande bestämmelser i TF 2 - Prövas normalt av myndighet som förvarar handlingen och av handläggande tjänsteman - Uppgift lämnas ut om det inte finns sekretess eller detta stör arbetet (12 ) - Myndighet ska underlätta för den sökande att ta del av information Regler och rutiner för registrering och utlämnande

Bevarande och gallring av allmänna handlingar Bestämmelser främst i TF 2 och Arkivlagen (1990:782) Beredskap för både analogt och digitalt bevarande Horizon 2020 om tillgängliggörande av myndighetsinformation Myndighet ska tillse och avväga mellan integritetsoch öppenhetskrav (jfr dataskyddsförordningen) Skillnad mellan myndighetskrav på bevarande och krav på tillgängliggörande. Regler och rutiner för registrering och utlämnande

Skaderekvisit Skaderekvisit är en formulering i sekretessreglerna. Rekvisitet anger hur sekretess ska bedömas. Absolut-, kvalificerad sträng-, sträng- samt ordinär sekretess. Rakt skaderekvisit innebär att uppgifterna normalt är offentliga. Omvänt skaderekvisit betyder att uppgifterna normalt är sekretessbelagda. Om det inte anges något skaderekvisit är uppgifterna hemliga. Skaderekvisit

Sekretessbrytande bestämmelser Samtycke Berörd/a lider inte men Nödvändigt för att fullgöra viss verksamhet (jfr dataskyddsförordningen) Uppgiftsskyldighet - anmälningsplikt Misstanke om brott och förhindran av (allvarligt) brott Nödsituation Generalklausul: användning av sekretessbelagd information bedöms som nödvändig enligt 10 kap. 2 Sekretess

Sekretess i förhållande till enskild 1 Sekretess till skydd för en enskild gäller normalt inte i förhållande till den enskilde själv Undantag och överföring av sekretess

Upphovsrätt och sekretess Sekretess vid begäran om att ta del av upphovsrättsskyddat material (OSL 31 kap) Begäran om utlämnande av allmänna handlingar prövas enligt TF och OSL. Upphovsrätten generellt inget hinder för utlämnande. OBS! rätten till kopior av handlingen omfattar inte elektroniska handlingar. Därför kan upphovsrättsliga hinder uppstå när en handling begärs ut i elektronisk form. Myndigheten har t ex inte absolut rätt att framställa en elektronisk kopia av ett upphovsrättsligt skyddat verk, när det begärs utlämnat däremot är det normalt tillåtet att framställa en kopia på papper, i enlighet med TF 2:13 Undantag och överföring av sekretess

Överklagande 1. Att inte lämna ut en handling 2. Att lämna ut en handling med förbehåll. Beslut av riksdagen, regeringen, HD och Högsta förvaltningsdomstolen får inte överklagas. Överklagande

Personuppgiftslagen (PuL) Bygger på OSL 21:7 (1998:204) 1 Informationssäkerhet (MSBFS 2015:3, SIS handbok 550 utgåva 3): Konfidentialitet syftar på att endast behöriga personer får tillgång till information. Riktighet avser att informationen inte obehörigt förstörs eller manipuleras. Med tillgänglighet avses att det ska finnas tillgång till informationen när den behövs. PuL m fl lagar och författningar

PuL 2 Säkerhetsskydd och information Personuppgifter ska samlas in bara för särskilda berättigade ändamål, vara nödvändigt med hänsyn till ändamålen med behandlingen, behandlas bara om nödvändiga och den registrerade har lämnat sitt samtycke PuL m fl lagar och författningar

PuL 3 (forts) Säkerhetsskydd och information Personuppgifter ska Endast inne hålla sådant som döljer information om a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse d) medlemskap i fackförening Känsliga personuppgifter för forskningsändamål ska godkännas enligt lagen (2003:460) om etikprövning av forskning om människor Varje myndighet ska ha ett personuppgiftsombud som bl a är skyldig att till var och en som ansöker om information om egna personuppgifter en gång per år gratis lämna besked om sökande behandlas vid myndigheten. PuL m fl lagar och författningar

PuL 4 Strukturerade och ostrukturerade uppgifter - Databas regelverket gäller fullt ut - Löpande text förenklat förfarande (jfr dataskyddsförordningen ) Gallring: Avidentifiering eller förstöring? Avgör i förväg när och i vilket sammanhang det ska ske Rätt till registerutdrag (23-27 ) PuL m fl lagar och författningar

PuL 5 PuL dataskyddsförordningen och e-arkivet - Lagras information i moln måste personuppgiftsbiträdesavtal tecknas med leverantören (motsv)*. - Gallringskraven detsamma i e-arkivet som i t ex verksamhetsstöden - Kolla ordentligt med leverantören om informationssäkerhet och förvaring innan en lösning kommer på plats -------- Sådant avtal generellt användbart endast när myndigheten upphandlar en molntjänstleverantör vars verksamhetsupplägg motsvarar eller påminner om traditionell outsourcing, dvs, när en myndighet som regel anlitar en leverantör som är etablerad i Sverige. Det är dessutom olämpligt att lämna ut sekretess-reglerade uppgifter till molntjänstleverantör som anlitar fler än någon enstaka underleverantör eller som regelbundet anlitar nya underleverantörer. (Källa: Pensionsmyndigheten, Molntjänster i staten. Bilaga 1, s.15. 2016). Det går knappast att anta utan vidare att ett sådant betydande men skulle uppkomma om man lägger ut denna typ av uppgifter hos en molntjänstleverantör. Hur går det då om man lägger ut sekretessbelagda uppgifter hos en molntjänstleverantör? Av förarbetena till OSL framgår att den skada som kan uppstå ofta kan undanröjas genom att mottagare av uppgifterna omfattas av sekretessbestämmelser i avtal. Och om dessutom det mottagande företagets (molntjänstleverantörens) anställda själva omfattas av sekretesskyldigheter så stärks ju den enskildes skydd än mer. Safe harbor. Den 6 oktober 2015 ogiltigförklarade EU-domstolen kommissionens beslut att Safe Harbor-principerna säkerställer ett adekvat skydd för överförda personuppgifter. Det innebar att överföringar av personuppgifter till USA som skedde med stöd av EU-kommissionens beslut om Safe Harbor var olagliga. Privacy Shield är en ny överenskommelse om skydd för personuppgifter mellan EU och USA och innefattar dels ett antal särskilda principer om hur personuppgifter ska hanteras, dels olika slags översynsmekanismer för att se till att principerna följs. Företag i USA som vill ansluta sig till Privacy Shield ska anmäla till det amerikanska handelsministeriet att de följer principerna och handelsministeriet ska upprätta och tillhandahålla en lista över dessa företag. Privacy Shield har börjat gälla och företag i USA kan sedan den 1 augusti anmäla till det amerikanska handelsministeriet att de följer reglerna i Privacy Shield-överenskommelsen. När ett företag har tagits upp på handelsministeriets Privacy Shield-lista ska företaget anses ha en adekvat skyddsnivå och det är tillåtet att föra över personuppgifter dit från avsändare i EU-länderna. PuL m fl lagar och författningar

Dataskyddsförordningen 1 Vad innebär Dataskyddsförordningen för svensk del? Dataskyddsdirektivet ersätts 2018 av en allmän dataskyddsförordning med tvingande bestämmelser. Förordningen kommer att ersätta PuL. Krav förändras vid hantering av register berör såväl myndigheter som leverantörer Dataskyddsdirektivet har i svensk rätt genomförts dels genom PuL, (avskaffas nu) dels genom ett stort antal författningar som innehåller särregleringar om behandling av personuppgifter för olika myndigheter och sektorer, s.k. registerförfattningar. PuL m fl lagar och författningar

Dataskyddsförordningen 2 Behandling av personuppgifter får ske om syftet bara kan uppnås genom behandling av uppgifter som medger identifiering av den registrerade. Uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar person (kodnycklar) hålls åtskilda från övrig information. Lämpliga skyddsåtgärder vidtas för att skydda den registrerades fri- och rättigheter (t.ex. pseudonymisering). Uppgifterna får inte behandlas för andra ändamål, särskilt inte som grund för beslut rörande den registrerade. Krav på ordentlig dokumentation av medgivanden. PuL m fl lagar och författningar

Dataskyddsförordningen 3 Rätten för den enskilde att få veta Få reda på vem som tar reda på saker om dig och påverkar dig Incidentrapportering få reda på när något går fel Dina uppgifter ska användas på det sätt du vet om och har godkänt Rätten för den enskilde att få samtycka Godkänna andras relationer till dig Makt över vilka nya relationer du formar Bestämma när du bidrar och hur Dataminimering Rätt information på rätt plats vid rätt tid Datainsamling ska minimeras för bättre datasäkerhet Individcentrerat individens intressen ska om möjligt alltid stå i centrum Effektiva sanktioner mycket stora viten ska kunna dömas ut (20 milj euro, eller 4% av årlig verksamhetsomsättning PuL m fl lagar och författningar

Dataskyddsförordningen 4 Några betydelsefulla konsekvenser för hantering av information vid myndigheter Varje personuppgift i organisationens IT-system ska kunna motiveras och redovisas. Företaget ska veta och dokumentera vilka personuppgifter som finns och var de finns i IT-systemen. Man ska kunna redovisa varifrån varje personuppgift kommer, vad den ska användas till och att den är korrekt och aktuell. Den som personuppgiften gäller har rätt till insyn, och till att begära rättelser och ändringar. I de flesta fall också rätt att få personuppgifterna raderade. Det görs inte skillnad mellan strukturerade och ostrukturerade personuppgifter. Personuppgifter i, till exempel, e-post, pdf:er och video, faller också under den nya förordningen. Kraven på datasäkerhet är hårda. PuL m fl lagar och författningar

Dataskyddsförordningen 4 Några betydelsefulla konsekvenser för hantering av information vid myndigheter Varje personuppgift i organisationens IT-system ska kunna motiveras och redovisas. Företaget ska veta och dokumentera vilka personuppgifter som finns och var de finns i IT-systemen. Man ska kunna redovisa varifrån varje personuppgift kommer, vad den ska användas till och att den är korrekt och aktuell. Den som personuppgiften gäller har rätt till insyn, och till att begära rättelser och ändringar. I de flesta fall också rätt att få personuppgifterna raderade. Det görs inte skillnad mellan strukturerade och ostrukturerade personuppgifter. Personuppgifter i, till exempel, e-post, pdf:er och video, faller också under den nya förordningen. Kraven på datasäkerhet är hårda. PuL m fl lagar och författningar

Dataskyddsförordningen 5 Myndigheter måste Ha rutiner för insyn, ändringar och radering som kan tillämpas snabbt från dag ett. Ha anpassat eller byggt om IT-systemet så att det klarar de nya kraven att förete information. Vara beredda på, och ha rutiner för, att uppvisa dokumentation för att företaget uppfyller bestämmelserna. Vara beredda på, och ha rutiner för, att anmäla förlust, läckage och/eller stöld av personuppgifter inom 72 timmar. Vara beredda på, och ha rutiner för, att hantera kontroller och insyn från olika myndigheter. PuL m fl lagar och författningar

Dataskyddsförordningen 6 Svenska utredningar Kommittédirektiv 2016:15. Översyn beslutad av regeringen i feb 2016 som gäller att fram till senast 2017-05-12 Undersöka vilka kompletterande nationella föreskrifter, exempelvis processuella bestämmelser, som förordningen kräver, Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner som Sverige behöver eller bör införa, Överväga vilka kompletterande bestämmelser om t.ex. behandling av känsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen, Undersöka om det finns behov av generella bestämmelser för personuppgiftsbehandling utanför EU-rättens tillämpningsområde, Lämna sådana författningsförslag som är behövliga och lämpliga. PuL m fl lagar och författningar

Dataskyddsförordningen 7 Svenska utredningar Regeringen har gett utredare i uppdrag att föreslå en kompletterande reglering av personuppgiftsbehandling inom forskningsområdet. (Cecilia Magnusson Sjöberg, slutredovisning dec 2017) Utredaren ska bland annat analysera personuppgiftsbehandling för forskningsändamål utöver den övergripande reglering som Dataskyddsutredningen kommer att föreslå. Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner som Sverige behöver eller bör införa. Utredaren ska analysera Registerforskningsutredningens förslag om en ny lag om forskningsdatabaser och föreslå regleringar av forskningsdatabaser som ska kunna användas i framtida forskningsprojekt. PuL m fl lagar och författningar

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss