Anpassning till DSF

Relevanta dokument
Allmänna råd. Vi har lagring i flera miljöer som är uppdelat regionalt och lokalt.

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Behandling av personuppgifter vid Göteborgs universitet

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Lathund Personuppgiftslagen (PuL)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Kerstin Wardman, 25 april 2018

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

Mertzig Asset Management AB

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR General data protection regulation Dataskyddsförordningen

Den nya dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

(5) Integritetspolicy - Kumla Bostäder AB

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Riktlinje för hantering av personuppgifter i e-post och kalender

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR. Anders Ahlström

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

DSF (GDPR) Ny lag om personuppgifter

Så behandlar vi dina personuppgifter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Policy för personuppgiftsbehandling

Lindesbergs kommuns arbete med dataskyddsförordningen

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Instruktion till mall för registerförteckning

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

GDPR- Seminarium 2017

Personuppgiftspolicy Signera Rekrytering AB

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Denna dag, har följande policy upprättats för Svensk biblioteksförening ( Föreningen ).

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Den nya Dataskyddsförordningen

För- och efternamn:... Personnummer:... Adress:... Postadress:... Tel. bostad:... Tel. arbete:... Målsmans namn:... Ändamål:

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Vad står förkortningen GDPR för? GDPR är en förkortning för General Data Protection Regulation.

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Vården och reglerna om dataskydd

Integritetspolicy Våra Gårdar

Till dig som använder bildspelet för att presentera!

POLICY FÖR DIGITAL KOMMUNIKATION

Personuppgiftsbehandling för forskningsändamål

Personuppgiftslagen (PuL) - En kort introduktion

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Riktlinjer för webbpublicering enligt PuL

Information om dataskyddsförordningen

Manual för ansökan till Stiftelsen Kjellbergska Flickskolans Donationer

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen - GDPR

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

GDPR UTBILDNINGSDAG SKKF

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Vad är en personuppgift och vad är en behandling av personuppgifter

Integritetspolicy Dataskyddsförordningen

BlueStep Banks AB (publ) Integritetspolicy

Bilaga - Personuppgiftsbiträdesavtal

Datainspektionen informerar

Personuppgiftslagen konsekvenser för mitt företag

INTEGRITETSPOLICY FÖR VERKSAMHETEN

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Riktlinjer för behandling av personuppgifter

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Stiftelsen PETTERSILFVERSKIÖLDSMINNESFOND

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Hallsbergs Bostadsstiftelses integritetspolicy

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

Policy för behandling av personuppgifter

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Hyresgästföreningens integritetspolicy

PERSONUPPGIFTSPOLICY

PUL OCH DATASKYDDSFÖRORDNINGEN

Genom att använda vår webbplats godkänner du att din personliga information behandlas i enlighet med denna integritetspolicy

CARL JÖNSSONS UNDERSTÖDSSTIFTELSE II 1 (6)

Transkript:

Anpassning till DSF 20180525

Sammanfattning... 2 Allmänna råd.... 4 Vi har lagring i flertalet miljöer som är uppdelat regional och lokalt.... 4 Tillgång till personuppgifter.... 4 Personer har rätt att veta vilka som ser deras information och varför.... 4 Ändamålsbeskrivning.... 4 Person som inte vill vara registrerad.... 5 Uppgiftsminimering.... 5 Kryptering av kommunikation.... 5 Hantering av ekonomiadministration (digitalt)... 5 Hantering av ekonomiadministration (på papper)... 5 Hantering av personuppgifter HR.... 5 Övervakning av incidenter.... 6 Säkerhetsinställningar för användare.... 6 Hantering av särskilda kategorier.... 6 Hantering av utskrifter av personuppgifter på papper.... 6 Hantering av utskrifter av personuppgifter digitalt.... 6 Data Portabilitet.... 6 Rättelse av personuppgifter.... 7 Rättigheter gällande vad användarna ser.... 7 Gallring.... 7 Texter på material.... 7 Kommunikation.... 7 Överföring av data till externa intressenter.... 7 Databas i Episerver.... 7 Sida 1 av 7

PRO måste från och med den 25:e maj 2018 anpassa hanteringen av personuppgifter enligt den nya lagen DSF, Dataskyddsförordningen. PRO har genomfört analys av vilka personuppgifter vi hanterar och vilken typ av uppgifter. Det har skett en genomgång av var och hur dessa uppgifter lagras och hanteras, båda digitalt och på papper. DSF anger även att hanteringen av så kallade ostrukturerade uppgifter ska ingå i dokumentationen, detta kommer att ske i steg två av anpassningen. Genomgång av Sida 2 av 7

våra IT lösningar har gjorts, säkerhetsmässigt och vilka processer som finns och är anpassade för DSF. En GAP analys har genomförts. Nedan specificeras råd på hur PROs föreningar, samorganisationer och distrikt bör anpassa verksamheten för att anpassas till de direktiv som finns i DSF. Sida 3 av 7

Varje distrikt, samorganisation och förening är ansvariga för de personuppgifter ni samlar in och lagrar i er förening. Varje distrikt, samorganisation samt förening är personuppgiftsansvarig och ska följa de stadgar, beslut och policys som fastställs av PROs kongress, representantskap samt riks styrelse. Personuppgifterna som finns i PROs system ansvarar riksorganisationen för. Detta finns beskrivet i PROs policydokument och på www.datainspektionen.se. DSF kräver att alla personer har rätt att få information om de uppgifter som finns registrerade i våra register. Utdrag ur Hjördis och andra enheter med information måste lämnas till personen inom 30 dagar. Vid förfrågan från person tas uppgifterna fram manuellt. De uppgifter som finns i Hjördis är personnummer, namn, adress, medlemsnummer föreningstillhörighet, samorganisationstillhörighet, distrikttillhörighet, reskontra, uppdrag och ansvarsområde, kurs/konferensdeltagande. Varje fråga måste besvaras inom 30 dagar och det måste finnas rutiner upprättade för detta. Uppgifterna förs upp i ett dokument som sänds via post till personen i fråga. Alla bör spara sina dokument med personuppgifter i PROs gemensamma arbetsyta på internet, Microsoft E365 där ni kan upprätta sökningar som tar fram uppgifter som finns på enstaka personer, på så sätt får ni även godtagbar IT säkerhet för personuppgifter. DSF kräver att personer ska få veta vem och varför någon tittat på deras uppgifter om de begär det. Från och med den 24 maj är det endast personliga inloggningar som gör det möjligt att logga in i Hjördis, det gör att det finns en förteckning över vem som kan läsa våra personuppgifter. För att få en personlig inloggning krävs att man innehar ett uppdrag eller ansvarområde som är registrerat i Hjördis. Det är oerhört viktigt att uppdatera Hjördis med uppdrag och ansvarområden så att ingen obehörig kan logga in. DSF anger att man beskriver orsaken, syftet och till vad personuppgifterna används. Det innebär att varje insamling av nya personuppgifter måste dokumenteras med beskrivning av vilka uppgifter som samlas in, syftet med registreringen, hur uppgifterna används samt hur länge de sparas. De bör om inte det finns särskilda skäl raderas inom 6 månader efter att det inte finns något behov av dem. Sida 4 av 7

Om en person meddelar att den inte vill finnas i våra register är vi skyldiga att radera och glömma personuppgifterna. Konsekvensen blir då att medlemskapet upphör då vi inte kan hantera medlemskap manuellt. Man får inte samla mer uppgifter än nödvändigt. Ni måste dokumentera begränsning av insamling av uppgifter så ni inte samlar på er mer än nödvändigt för att fylla ändamålskraven. I den gamla personuppgiftslagen fanns en missbruksregel som innebar att personuppgifter som fanns i löpande text undantogs från PUL. Denna regel är borttagen i DSF vilket betyder att alla personuppgifter innefattas av DSF även i löpande text på till exempel webbsidor. DSF kräver att digital kommunikation som innehåller personuppgifter ska vara krypterad. I vår tjänst för e-post installeras MS ATP, Kryptering, som är en funktion som scannar utgående mail och varnar för att det kan innehålla personuppgifter. Om så är fallet föreslår systemet att mailet blir krypterat och kan inte öppnas av någon annan än den angivna mottagaren, det är heller inte möjligt att vidarebefordra mailet. Ni bör inte maila uppgifter om personer i något annat system än PROs egna. (denna funktion håller på att installeras, mer information kommer när detta är klart) All hantering bör ske i PROs datorer, all information bör sparas i PROs servermiljö, aldrig i egna datorn. Vid arbete ska uppmärksamhet finnas på om personer finns i närheten och kan läsa skärmen då tar vi bort uppgifterna på skärmen. Skärmen bör även ha sekretessfilter för att försvåra för utomstående att se innehållet på skärmen. Alla papper som innehåller personuppgifter får inte finnas framme i allmänna utrymmen mer än nödvändigt. I lunchrum, reception, brevfack eller andra offentliga lokaler som till exempel kurs/sammanträdeslokaler får sådana dokument inte ligga överhuvudtaget. De ska aldrig ligga i skrivaren, uppgifterna skrivs ut under uppsikt och tas genast därifrån. När de inte används ska de förvaras i låsta skåp alternativt makuleras. Om ni har anställda registreras deras personuppgifter i personaladministrativa system. Behandlingen av personuppgifterna är nödvändig för att kunna fullgöra avtalsenliga förpliktelser mot anställda samt för att PRO ska kunna fullgöra sina skyldigheter enligt Sida 5 av 7

arbetsrätten och skattelagstiftningen; detta utgör också PRO:s lagliga grunder för personuppgiftsbehandlingen. Detta ska personalen informeras om och helst skriva avtal. Vid händelse av en incident som intrång i era system av obehörig eller felaktiga utdrag eller hantering av uppgifter ska rapporteras till Datainspektionen senast 72 timmar efter upptäckt. Vi går igenom rättigheter och justerar rättigheter i systemen kontinuerligt så att ingen ska ha tillgång till mer uppgifter än nödvändigt. Detta bör även ske i de lokala program ni använder. Om ni har register som innehåller särskilda kategorier, ras eller etniskt ursprung politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person krävs en högre säker och kryptering, dessutom ska man ha ett ordentlig hållbart skäl för att lagra sådana uppgifter. Detta bör undvikas. DSF talar om att personuppgifter får ses eller delges endast de personer som har rätt till det, gäller även hantering av uppgifter på papper. Alla papper som innehåller personuppgifter får inte ligga framme i allmänna utrymmen I lunchrum, reception, brevfack eller andra offentliga lokaler som till exempel kurs/sammanträdeslokaler får sådana dokument inte ligga överhuvudtaget. De ska aldrig ligga i skrivaren, uppgifterna skrivs ut under uppsikt och tas genast därifrån. När de inte används ska de förvaras i låsta skåp alternativt makuleras. DSF talar om att personuppgifter får ses eller delges endast de personer som har rätt till det, gäller även hantering av uppgifter på skärm. All hantering ska ske i PROs datorer, all information ska sparas i PROs servermiljö, aldrig i egna datorn. Vid arbete ska uppmärksamhet finnas på om personer finns i närheten och kan läsa skärmen då tar vi bort uppgifterna på skärmen. Skärmen ska även ha sekretessfilter för att försvåra för utomstående kan se innehållet på skärmen. PRO är skyldiga att sända en persons uppgifter vidare till annan organisation om personen anger att medlemskapet ska upphöra i PRO och överföras till annan organisation. Vid förfrågan från person tas uppgifterna fram. Varje fråga måste besvaras inom 30 dagar. Sida 6 av 7

Om en medlem upptäcker att det är fel registrerade uppgifter ska det snarast rättas. Samtliga som loggar in i Hjördis ser inte bara sina egna medlemmar, till exempel en förening ser alla medlemmar inom PRO, men de kan endast administrera och ändra på sina egna. Vår bedömning är att föreningarna har en fördel och hjälp av att se alla medlemmar, det kan vara vid medlemsrekrytering (ny föreningsmedlem), sökfunktioner för att finna medlemmar i närområdet för att bjuda in till olika evenemang, söka förtroendevalda i närheten för samarbete etc. Enligt DSF får personuppgifter sparas så länge vi har behov av dem, de ska sedan gallras. Vissa uppgifter sparas i 7 år enligt bokföringslagen (reskontra), andra ska genast gallras när behov inte finns, enlig uppgiftsminimeringen. Era texter som informerar om DSF måste innehålla information om detta, rekommenderar att vi anger 7 år och orsaken annars får vi klagomål på att uppgifter finns kvar mer än två år. Alla era material där personuppgifter inhämtas måste ha en text som beskriver hur och varför vi hanteras personuppgifter. När t.ex. namninsamlingar ska genomföras måste en uppgiftsminimering upprättas samt en konsekvensanalys genomföras, observera om uppgifterna är av särskilda kategorier, t.ex. politiska åsikter. Text med samtycke måste finnas på webbformulär och pappersunderskrifter, efter genomförd kampanj måste uppgifterna gallras. Ostrukturerade uppgifter på webben, bilder, namn i löpande text, ljudupptagningar måste ha ett medgivande, muntliga medgivanden är acceptabla men måste dokumenteras. PROs personuppgifter får inte lämnas vidare till tredje part om inte detta är överenskommet med riksorganisationen. Alla redaktörer i Episerver har tillgång till formulärhantering för insamling av data. All information sparas i en databas som innehåller väldigt mycket data som inte kan kontrolleras. Under en period kommer denna funktion stängas så att data kan raderas och policy för hur detta ska hanteras är upprättad. Sida 7 av 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss