Information till personuppgiftsansvarig om dataskyddsombud

Relevanta dokument
Ett eller flera dataskyddsombud?

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Dataskyddsförordningen

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsombud i kommuner, landsting och regioner

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

EU:s allmänna dataskyddsförordning:

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Riktlinjer för personuppgiftshantering

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

Information om behandling av personuppgifter

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Riktlinjer för dataskydd

Handlingsplan för persondataskydd

Utseende av dataskyddsombud

EU:s dataskyddsförordning

GDPR och hantering av personuppgifter

ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER

Dataskyddsförordningen

Dataskyddsförordningen (DSF/GDPR)

GDPR Presentation Agenda

Handläggning av personuppgiftsincidenter

KALLELSE Plats och tid för sammanträde Kommunkontoret, Storsjörummet torsdag den 21 februari kl 08:30

Dataskyddsombud, organisation och finansiering

3 Tillsättning av dataskyddsombud för hälso- och sjukvårdsnämndens personuppgiftsbehandlin gar HSN

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

GDPR- Seminarium 2017

Anvisningar för behandling av personuppgifter

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Riktlinjer för hantering av personuppgifter

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Riktlinjer för hantering av personuppgifter

Vården och reglerna om dataskydd

Dataskyddsförordningen för prefekter och administrativa chefer

Kanslichef - Tillsvidare

Varberg och Falkenbergs kommuner

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Terese Renbro, kommunsekreterare

Dataskyddsombud (DSO) för kulturnämnden samt information om lokal organisation för hantering av personuppgifter i kulturförvaltningen

Lindesbergs kommuns arbete med dataskyddsförordningen

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Policy för hantering av personuppgifter

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

vid Geritrim vård- och rehabiliteringsenhet

Policy för behandling av personuppgifter

Regler för behandling av personuppgifter vid Högskolan Dalarna

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Jessica Hådell (Sekreterare) Åsa Hofsten (IT-strateg) Nesterud Thomas (IT-strateg) Jörgen Persson (S) (Bräcke kommun) Sekreterare...

Dataskyddsförordningen

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Policy för informationssäkerhet och dataskydd 2018

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

PERSONUPPGIFTS- BITRÄDESAVTAL

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Skolan och Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Innehåll. Protokoll av 2

Utökad budgetram för inrättande av tjänst som Dataskyddsombud (DSO) med anledning av Dataskyddsförordningen (GDPR) KS/2017:300

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Personuppgiftsinformation för Svedala kommun

Sammanträdesdatum

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

GDPR POLICY Behandling av personuppgifter

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSLAGEN (PUL)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

När en konsekvensbedömning ska genomföras

Plats och tid Förvaltningsbyggnaden, sessionssalen, måndagen den 28 maj 2018, kl 09.00

GDPR UTBILDNINGSDAG SKKF

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Svensk författningssamling

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Transkript:

1 (5) Information 2018-03-28 Diarienummer RS 2017-04482 Västra Götalandsregionen Koncernkontoret GDPR-projektet Information till personuppgiftsansvarig om dataskyddsombud Sammanfattning I dokumentet ges en bild av vad ett dataskyddsombud är, vilka möjligheter personuppgiftsansvariga ska ge dataskyddsombudet, vilka kompetenskrav som ett dataskyddsombud ska ha och vad varje personuppgiftsansvarig ska göra för att uppnå kraven i dataskyddsförordningen gällande dataskyddsombud. Med personuppgiftsansvarig nedan avses varje nämnd, styrelse och bolag. Med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Nämnd styrelse och bolag kan, i förekommande fall, behandla uppgifter för annan organisations räkning och därmed vara personuppgiftsbiträde. Ytterligare information om dataskyddsombud och GDPR finns på Datainspektionens hemsida och på SKL:s hemsida. Hänvisningar till artiklar nedan i dokumentet avser GDPR, länk till förordningstexten på Datainspektionens hemsida https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/for ordningstexten/ Som bilaga till detta dokument ligger Information om dataskyddsombudets uppdrag. Postadress: Regionens Hus 462 80 Vänersborg Besöksadress: Östergatan 1 Vänersborg Telefon: 010-441 00 00 Webbplats: www.vgregion.se E-post: post@vgregion.se

Information 2018-03-29 2 (5) Dataskyddsombud Enligt dataskyddsförordningen (GDPR) är det obligatoriskt för alla offentliga myndigheter att utnämna ett dataskyddsombud. Tänk på att även anmäla utsett dataskyddsombud till Datainspektionen. Detta görs enligt instruktioner på Datainspektionens hemsida: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordni ngen/skyldigheter-for-de-som-behandlarpersonuppgifter/dataskyddsombud/informera-om-att-ni-har-ettdataskyddsombud/ Rollen som dataskyddsombud är inte densamma som personuppgiftsombudet har enligt personuppgiftslagen, PUL. En av de största förändringarna med de nya reglerna är att den kontrollerande och rådgivande funktionen för organisationen renodlas. Det innebär samtidigt att organisationen självständigt måste bedriva ett aktivt dataskyddsarbete som leds av personuppgiftsansvarig. Personuppgiftsansvarig ska inom organisationen dessutom utse en befattningshavare som har ett övergripande ansvar för genomförandet av det interna dataskyddsarbetet. Organisationens arbete ska följas upp av dataskyddsombudet. Det är den personuppgiftsansvarige eller i förekommande fall personuppgiftsbiträdet som ska säkerställa och kunna visa att behandlingen utförs i enlighet med förordningens bestämmelser och har således ansvaret för att dataskyddet efterlevs. Den personuppgiftsansvarige eller personuppgiftsombudet ska göra det möjligt för dataskyddsombudet att effektivt utföra sina uppgifter. Utnämnandet av ett dataskyddsombud är det första steget. Dataskyddsombuden måste ges tillräcklig självständighet för att effektivt kunna utföra sina uppgifter. Dataskyddsombudets övriga arbetsuppgifter får inte stå i intressekonflikt med uppdraget som dataskyddsombud. Dataskyddsombudet har inget ansvar i händelse av bristande efterlevnad av den allmänna dataskyddsförordningen. Dataskyddsombud ska utnämnas för all behandling som utförs av den personuppgiftsansvarige eller personuppgiftsbiträdet. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter. Det är möjligt att flera personuppgiftsansvariga delar på ett dataskyddsombud om det är lämpligt med hänsyn till uppdragets omfattning och verksamhetens karaktär. Det är den personuppgiftsansvariga organisationens ansvar att se till att ombudet har tillräckliga resurser och tid att klara av uppgifterna. Det är även möjligt att utse flera dataskyddsombud inom en personuppgiftsansvarig. Kunskapsnivå Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och sakkunskaper om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39. Nivån på sakkunskapen bör fastställas i förhållande till den uppgiftsbehandling som utförs och det skydd som krävs för den behandling som utförs och de personuppgifter som behandlas. Dataskyddsombudet ska ha tillräckliga kunskap om verksamheten och den personuppgiftsansvariges organisation, vilket även inkluderar dess administrativa

Information 2018-03-29 3 (5) regler och processer. Dataskyddsombudet bör även ha en god förståelse av den behandling som genomförs och vara insatt i den personuppgiftsansvariges informationssystem samt datasäkerhets- och dataskyddsbehov. Förmåga att fullgöra uppgifter Dataskyddsombudens förmåga att fullgöra sina uppgifter hänför sig till deras personliga kvaliteter, kunskaper och ställning inom organisationen. Personliga kvaliteter är till exempel integritet och hög yrkesetik. Dataskyddsombudets främsta prioritering inom Västra Götalandsregionen bör vara att kontrollera efterlevnaden av den allmänna dataskyddsförordningen. Dataskyddsombudets deltagande i alla frågor som rör skyddet av personuppgifter Personuppgiftsansvarig och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett adekvat sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Det är viktigt att dataskyddsombudet så tidigt som möjligt görs delaktigt i alla frågor som rör dataskydd. När det gäller konsekvensbedömningar avseende dataskydd föreskriver dataskyddsförordningen uttryckligen att dataskyddsombudet ska göras delaktigt redan i ett tidigt skede och att den personuppgiftsansvarige ska rådfråga dataskyddsombudet vid genomförande av en konsekvensbedömning avseende dataskydd. Att säkerställa att dataskyddsombudet informeras och rådfrågas redan från början underlättar efterlevnaden av förordningen och främjar en strategi för inbyggt dataskydd. Dessutom är det viktigt att dataskyddsombudet ses som en diskussionspartner inom organisationen och ingår i de relevanta arbetsgrupper som har ansvar för behandling av personuppgifter inom organisationen. Indirekt ställer det även krav på organisationen att ha resurser att vara drivande i dataskyddsfrågor eftersom ombudets roll blir mer tydligt rådgivande och kontrollerande Resurser Dataskyddsombudet ska ha de resurser som krävs för att fullgöra sina uppgifter. Högsta ledningen bör aktivt stödja dataskyddsombudets arbete. Dataskyddsombudet bör ha tillräckligt med tid på sig för att fullgöra sina uppgifter. Detta är särskilt viktigt när ett internt dataskyddsombud utnämns på deltid. Dataskyddsombud måste ges möjlighet att hålla sig uppdaterade om utvecklingen på dataskyddsområdet. Generellt sett gäller att ju mer komplex och/eller känslig behandlingen är desto mer resurser behöver anslås till dataskyddsombudet. Dataskyddsfunktionen måste vara effektiv och ha tillräckligt med resurser i förhållande till den uppgiftsbehandling som utförs. Dataskyddsombudet oberoende ställning Dataskyddsombud ska kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt, detta framgår av artikel 38 Ett dataskyddsombud får när de utför sina uppgifter inte instrueras om hur de ska hantera en fråga, till exempel vilka resultat som bör uppnås, hur ett klagomål ska utredas eller huruvida tillsynsmyndigheten ska rådfrågas eller inte. Dataskyddsombuden får inte heller

Information 2018-03-29 4 (5) instrueras att inta en viss ståndpunkt i frågor som rör dataskyddslagstiftningen, till exempel en viss tolkning av lagen. Den personuppgiftsansvarige eller personuppgiftsbiträdet behåller ansvaret för efterlevnaden av dataskyddslagstiftningen och måste kunna visa att bestämmelserna efterlevs. Om den personuppgiftsansvarige eller personuppgiftsbiträdet fattar beslut som är oförenliga med dataskyddsförordningen och dataskyddsombudets råd, bör dataskyddsombudet ges möjlighet att klargöra sin avvikande ståndpunkt genom ett yttrande riktat till högsta förvaltningsnivå och till dem som fattar besluten. I artikel 38.3 anges att dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. Sådan rapportering bör ske på olika nivåer säkerställer att högsta ledningen är medveten om dataskyddsombudets råd och rekommendationer Avsättande eller sanktioner mot dataskyddsombudet Enligt artikel 38.3 får dataskyddsombudet inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Detta krav stärker dataskyddsombudens självständighet och bidrar till att se till att de agerar oberoende och ges tillräckligt skydd när de utför sina uppgifter. Sanktioner kan ha olika former och vara direkta eller indirekta. De kan till exempel bestå i att den berörda personen inte blir befordrad eller att befordran dröjer, att personen förhindras att gå vidare i karriären, eller inte får förmåner som andra anställda får. Sanktionerna behöver inte förverkligas bara ett hot är tillräckligt om de används för att bestraffa dataskyddsombudet av skäl som har samband med verksamheten som dataskyddsombud. Intressekonflikter Dataskyddsombud får fullgöra även andra uppgifter och uppdrag. Det krävs dock att sådana uppgifter och uppdrag inte leder till en intressekonflikt. Kravet att det inte får föreligga intressekonflikter är nära kopplat till kravet att dataskyddsombuden ska kunna agera på ett oberoende sätt Som en tumregel kan motstridiga befattningar inom organisationen vara befattningar i högsta ledningen men även andra funktioner om sådana befattningar eller funktioner innebär att dataskyddsombudet fastställer ändamålen med och medlen för behandlingen av personuppgifter. Vad varje personuppgiftsansvarig och personuppgiftsbiträde ska göra Utse dataskyddsombud och göra en anmälan av dataskyddsombudet till Datainspektionen. Se till att dataskyddsombudet får tillgång till de uppgifter som denne behöver för att fullgöra sitt uppdrag Göra känt inom organisationen vem som är dataskyddsombud och skapa möjligheter för såväl personer inom den egna organisationen som allmänheten att få kontakt med dataskyddsombudet

Information 2018-03-29 5 (5) Upprätta rutiner för att säkerställa att dataskyddsombudet involveras tidigt i alla frågor som rör dataskydd, och rutin för hur dataskyddsombudet ska rapportera till styrelse/nämnd och förvaltningsledning. Rådfråga dataskyddsombudet omgående när en personuppgiftsincident inträffat Se till att dataskyddsombudet har tillräckligt med tid och resurser för att fullgöra sitt uppdrag Göra det möjligt för den som har uppdrag som dataskyddsombud att fortbilda sig inom området och att löpande kunna hålla sig uppdaterad med utvecklingen. Bilaga Information om dataskyddsombudets uppdrag

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss