Instruktion för åtgärdsplan vid personuppgiftsincidenter

Relevanta dokument
RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Anmälan av personuppgiftsincident

Anmälan av personuppgiftsincident

Anmälda personuppgiftsincidenter 2018

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Rapportering vid personuppgiftsincidenter

INFORMATIONSSÄKERHET OCH DATASKYDD

Anmälan av gränsöverskridande personuppgiftsincidenter

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Policy för behandling av personuppgifter

Älvsjö scoutkår av Svenska scoutförbundet

Handläggning av personuppgiftsincidenter

Handlingsplan för persondataskydd

GDPR- Seminarium 2017

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSBITRÄDESAVTAL

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

ARTIKEL 29-ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddspolicy. Tillämplig lagstiftning. Dataförvaltare

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen GDPR

Riktlinjer för dataskydd

Riktlinjer för hantering av personuppgifter

Bilaga 1a Personuppgiftsbiträdesavtal

Svensk författningssamling

Dataskyddsförordningen

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Personuppgiftsbiträdesavtal

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan.

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

DATASKYDD (GDPR) Del 2: Förvaltningsledning

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Personuppgiftsbiträdesavtal

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

GDPR Presentation Agenda

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Policy GDPR för Innovatum AB, Innovatum Science Center AB, Innovatum Portfolio AB samt Innovatum Progress AB

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

GDPR POLICY Behandling av personuppgifter

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

GDPR och hantering av personuppgifter

VEMS ANSVAR ÄR DET ATT DATASKYDDSFÖRORDNINGEN EFTERLEVS? Copyright Forcepoint. 2

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Remiss av förslag till Riktlinjer för hantering av personuppgifter

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

EU:s nya dataskyddsförordning Lotta Wikman Öman

Dataskyddsförordningen

EU:s dataskyddsförordning

Allmänna råd. Datainspektionen informerar. Nr 2/2016

STOCKHOLMS FOTBOLLFÖRBUND

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Personuppgiftsbiträdesavtal

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsförordningen

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Styrande dokument Instruktion/Handbok 1.0 2/Internt Rutiner för whistleblowing Godkänd AGES Industri AB

Dataskyddsförordningen

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Policy för behandling av personuppgifter

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

DSF (GDPR) Ny lag om personuppgifter

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Integritetspolicy, Agenta Investment Management

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

Information till personuppgiftsansvarig om dataskyddsombud

Dataskyddsförordningen

Transkript:

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Innehållsförteckning Åtgärdsplan för personuppgiftsincidenter... 3 Bakgrund och syfte... 3 Vad är en personuppgiftsincident?... 3 Exempel på personuppgiftsincidenter... 3 Anmäla personuppgiftsincident till Datainspektionen... 4 Undantag till anmälningsskyldighet... 4 Konsekvenser... 4 Innehåll i anmälan av personuppgiftsincident... 4 Vem ska göra anmälan... 4 Undvik sanktionsavgifter... 5 Informera de registrerade... 5 Information till de registrerade... 5 Dokumentation... 5 Undvika personuppgiftsincidenter... 6 Sid 2/6

Åtgärdsplan för personuppgiftsincidenter Bakgrund och syfte Föreningen ska se till att de följer dataskyddsförordningen och arbeta proaktivt med att undvika personuppgiftsincidenter. Föreningen har därför tagit fram denna åtgärdsplan för hantering av personuppgiftsincidenter. Åtgärdsplanen syftar till att klargöra hur föreningen identifierar och hanterar personuppgiftsincidenter. Vidare klargör åtgärdsplanen hur föreningen bör skapa medvetenhet kring de risker som följer av personuppgiftsincidenter. Vad är en personuppgiftsincident? En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors fri- och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel: diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning finansiell förlust brott mot sekretess eller tystnadsplikt. En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda gått förlorade på annat sätt kommit i orätta händer. Det spelar ingen roll om händelsen har skett oavsiktligt eller med avsikt. I båda fallen kan det vara personuppgiftsincidenter. Exempel på personuppgiftsincidenter Någon obehörig part har fått tillgång till personuppgifter, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna. Datorer som innehåller personuppgifter har förlorats eller stulits. Någon har ändrat personuppgifter utan tillstånd. Personuppgifter är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna. Sid 3/6

Anmäla personuppgiftsincident till Datainspektionen Föreningen har en skyldighet att utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om en incident, anmäla personuppgiftsincidenten till Datainspektionen. Anmälan sker via Datainspektionens e-tjänst för att rapportera personuppgiftsincidenter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska föreningen motivera förseningen. Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder. Undantag till anmälningsskyldighet Anmälningsskyldigheten gäller inte om det är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Det är föreningen som, enligt ansvarsprincipen, måste påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Konsekvenser En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Innehåll i anmälan av personuppgiftsincident All information som ska finnas i en anmälan avseende personuppgiftsincidenter återfinns i Datainspektionen e-tjänst för att rapportera personuppgiftsincidenter. Vem ska göra anmälan Föreningen är i egenskap av personuppgiftsansvarig ansvarig för att upprätta anmälan. Inom föreningen är det styrelsen som ansvarar för att föreningen efterlever kraven under dataskyddsförordningen. Föreningen ska varje verksamhetsår utse en person som är ansvarig för att upprätta en anmälan vid en eventuell personuppgiftsincident. Sid 4/6

Undvik sanktionsavgifter Om föreningen inte rapporterar en personuppgiftsincident kan det innebära en överträdelse av dataskyddsförordningen, vilket kan leda till att föreningen måste betala sanktionsavgifter. Informera de registrerade Om personuppgiftsincidenten är allvarlig ska föreningen utan onödigt dröjsmål även informera de registrerade om personuppgiftsincidenten. Detta gäller alltså om det är sannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter. Föreningen ska bedöma både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och sannolikheten för att detta inträffar. Hur allvarliga kan konsekvenserna bli? Hur sannolikt är det att enskilda personer drabbas? Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre. När risken är hög ska föreningen genast informera de personer som har drabbats, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att föreningen ska kunna hjälpa individerna att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident. Information till de registrerade Föreningens information till de registrerade ska uppfylla Datainspektionens minimikrav: Tydlig och klar beskrivning av orsaken till personuppgiftsincidenten. Namn och kontaktuppgifter till föreningens kontaktperson i ärendet eller till en annan kontakt som är insatt i frågan och kan svara på frågor. Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten. Beskrivning vad föreningen har gjort, eller tänker göra, för att hantera personuppgiftsincidenten. I förkommande fall: Beskriv vad föreningen har gjort för att mildra eventuella negativa effekter. Dokumentation Föreningen ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för Sid 5/6

tillsynsmyndigheten att kontrollera efterlevnaden av föreningens anmälningsskyldighet samt ytterligare skyldigheter som följer av anmälan om personuppgiftsincident. Undvika personuppgiftsincidenter Föreningen ska arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter. Detta innebär bland annat att föreningen ska: Skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter. Upprätta en handlingsplan för de fall en personuppgiftsincident inträffar. Dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen. Sid 6/6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss