Datainspektionen informerar

Relevanta dokument
Allmänna Råd. Datainspektionen informerar Nr 3/2017

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Personuppgiftsbiträdesavtal

Allmänna råd. Datainspektionen informerar. Nr 3/2016

Bilaga 1a Personuppgiftsbiträdesavtal

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Instruktion till mall för registerförteckning

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Policy för behandling av personuppgifter

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddsförordningen

Svensk författningssamling

Datainspektionen informerar

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

Information om behandling av personuppgifter

Riktlinjer för dataskydd

Dataskyddsförordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga till Avtal om Swelön

GDPR NYA DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Riktlinjer för hantering av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR Presentation Agenda

Dataskyddsförordningen GDPR

Integritetspolicy. Vårt dataskyddsarbete

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Personuppgiftsbiträdesavtal

Victoria Behandlingscenter AB Integritetspolicy

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Dataskyddspolicy. Tillämplig lagstiftning. Dataförvaltare

Personuppgiftsbiträdesavtal

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Dataskyddsförordningen

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Dataskyddsförordningen

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen GDPR - General Data Protection Regulation

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Personuppgiftsbiträdesavtal

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Med "Personuppgifter" avses varje upplysning som är hänförlig till en identifierbar eller identifierad fysisk person.

Personuppgiftsbiträdesavtal

Personuppgiftspolicy för Hallmans Skomakeri & Skor AB. Vilken information samlar vi in?

Dataskyddsförordningen i utbildningsverksamhet

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Mertzig Asset Management AB

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Vi vill därför genom denna integritetspolicy informera dig om hur Svenska Detra hanterar dina personuppgifter och vilka rättigheter du har.

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

PERSONUPPGIFTSBITRÄDESAVTAL

Integritetspolicy. Anställda Q-linea har utarbetat en särskild integritetspolicy som tillämpas på bolagets anställda, konsulter och förtroendevalda.

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

PERSONUPPGIFTSBITRÄDESAVTAL

Integritetsmeddelande

Datainspektionen informerar

Personuppgiftsinformation för Svedala kommun

Integritetspolicy. Vad är personuppgifter och vad är en behandling av personuppgifter? Hur använder vi personuppgifter?

Riktlinjer för personuppgiftshantering

Integritetsmeddelande

INTEGRITETSPOLICY Målet med denna policy är att säkerställa att personuppgifter hanteras i enlighet med gällande lagstiftning.

Så behandlar vi dina personuppgifter

Svensk författningssamling

INTEGRITETSPOLICY för Webcap i Sverige AB

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Personuppgiftsbiträdesavtal

Integritetspolicy kunder

Allmänna villkor för medgivande till direktåtkomst eller direktanmälan

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Personuppgiftspolicy

Transkript:

Datainspektionen informerar Nr 2/2018 Allmänna råd Datainspektionen ger ut allmänna råd i syfte: att öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt EU:s dataskydds- förordning samt att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling av personuppgifter. De allmänna råden är inte bindande, utan innehåller riktlinjer om hur de bindande kraven i dataskyddsförordningens kan uppnås. Detta dokument behandlar personuppgiftsansvar. Datainspektionen den 9 april 2018 Datainspektionen Elverksgatan 10, AX-22100 Mariehamn, Åland Besöksadress: Kvarteret itiden +358 (0)18 25 550 +358 (0)457 34 320 81 inspektion@di.ax www.di.ax

Innehåll 1 Personuppgiftsansvar... 4 2 Krav på register över behandling av personuppgifter... 5

Dnr 14-20 18 4 ( 6 ) 1 Personuppgiftsansvar En myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter är personuppgiftsansvarig i enlighet med artikel 4.7 i EU:s dataskyddsförordning 1, som träder i kraft den 25 maj 2018. Personuppgiftsansvarig är således den juridiska person (en myndighet) som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså inte chefen på en arbetsplats eller en anställd som formellt är personuppgiftsansvarig, även om myndighetens tjänstemän naturligtvis har ett tjänsteansvar beträffande sina handlingar och underlåtelser. Det är de faktiska omständigheterna i det enskilda fallet som avgör vilken myndighet som är personuppgiftsansvarig. Om två eller flera myndigheter gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans. Ansvarig myndighet kan också anges i lagstiftning, till exempel i särskilda registerlagar. En användare som enbart har rätt att komma åt personuppgifter genom att läsa dem och söka bland dem men som inte självständigt får ändra, komplettera eller radera uppgifterna är inte personuppgiftsansvarig. En myndighet är personuppgiftsansvarig även om verksamheten bedrivs i andra organisatoriska enheter inom myndigheten. Om flera myndigheter/juridiska personer inom en och samma organisation (en kommun eller Ålands landskapsregering) behöver behandla samma personuppgifter kan ansvarsfördelningen se ut på olika sätt: - Om kommunen eller Ålands landskapsregering på egen hand bestämmer över behandlingen blir kommunen eller Ålands landskapsregering personuppgiftsansvarig. - Om alla myndigheter inom kommunen eller Ålands landskapsregering gemensamt bestämmer över behandlingen blir de tillsammans ansvariga för det aktuella registret. Över andra register som de självständigt bestämmer över är de självständigt personuppgiftsansvariga för. Det avgörande vid bestämmande av personuppgiftsansvarig är myndigheten som sådan oberoende av om den är uppdelad i avdelningar, enheter eller byråer. Huvudregeln är att myndigheten anses personuppgiftsansvarig för de behandlingar den beordrar. Undantag kan möjliggöras genom att en annan ordning skapas i en särskild lagstiftning. Om myndigheten erbjuder registeruppgifter via t.ex. en databas med personuppgifter med hjälp av en teknisk 1 Avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. Personuppgiftsansvar

Dnr 14-20 18 5 ( 6 ) förbindelse är det myndigheten som är ansvarig för utomståendes behandling och sökning i systemen. Om däremot den utomstående vidtar vidare bearbetning i insamlade material överförs ansvaret över på den som bearbetat materialet 1. I kommunerna är i regel både kommunstyrelsen och de kommunala nämnderna om de är så självständiga att de är förvaltningsmyndigheter - personuppgiftsansvariga, var och en i sin verksamhet. Vilket organ i kommunen som är ansvarigt för personuppgifter kan variera; de faktiska omständigheterna måste prövas i varje enskilt fall, till exempel om nämnden självständigt förfogar över de personuppgifter som behandlas. Om myndigheten anlitar en utomstående systemleverantör som även sköter driften och lagrar myndigheternas personuppgifter i sina datorer, krävs att myndigheten ingår avtal med leverantören. I avtalet ska regleras hur personuppgifterna får hanteras och hur ansvaret och förpliktelserna i samband med registreringen hanteras. T.ex. får leverantören behandla personuppgifterna bara i enlighet med instruktioner från myndigheten och leverantören är skyldig att vidta åtgärder för att upprätthålla god IT-säkerhet. I avtal om köptjänster definieras vilka rättigheter och skyldigheter myndigheten och den privata serviceproducenten har. När avtal om köptjänster ingås är det skäl att i avtalen ta in bestämmelser om hur handlingarna ska förvaltas, hur de ska göras upp, bevaras, utplånas eller arkiveras. Det är dessutom skäl att i avtalet reglera hur upplysningar om handlingarna ska ges till den registrerade eller till en person i partsställning eller någon annan utomstående. Vid publicering på Internet har myndigheter ett ansvar för vad de publicerar. Om en myndighet har möjlighet att bestämma över ändamål och medel för en publicering gjord av andra besökare än organisationen är den ansvarig även för denna publicering. Myndighetens ansvar utesluter inte att även besökarna är ansvariga för det de publicerar. 2 Krav på register över behandling av personuppgifter Enligt artikel 30.1 i dataskyddsförordningen är personuppgiftsansvarig myndighet skyldig att föra ett register över behandling av personuppgifter som har utförts under dess ansvar. Registret ska innehålla: a) namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet, b) ändamålen med behandlingen av personuppgifterna, 1 Ålands landskapsregerings framställning FR 8/2003-2004 Personuppgiftsansvar

Dnr 14-20 18 6 ( 6 ) c) en beskrivning av kategorierna av registrerade personer och av kategorierna av personuppgifter, d) kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer, e) i tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, f) de förutsedda tidsfristerna (om möjligt) för radering av de olika kategorierna av uppgifter, g) en allmän beskrivning (om möjligt) av tekniska och organisatoriska säkerhetsåtgärder som vidtagits för att säkerställa en lämplig säkerhetsnivå med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Exempel på nättjänster, som kan behöva beskrivas i ett register, är diskussionsfora som förutsätter registrering eller insamling av information genom internet (kundförfrågningar, anmälningsblanketter och insamling av besökarrespons m.m.). I artikel 30.5 finns ett undantag från skyldigheten att upprätta registerbeskrivningar för företag eller organisationer som sysselsätter färre än 250 personer. Dock gäller detta undantag inte all behandling av personuppgifter. Även om antalet anställda är mindre än 250 personer måste register över behandling ändå föras ifall något av följande gäller: - Behandlingen kommer sannolikt att medföra en risk för registrerades rättigheter och friheter (exempel: lokalisering av anställda genom GPS), - Behandlingen är inte tillfällig (exempel: behandling av anställdas personuppgifter för att kunna betala ut löner, eller - Behandlingen omfattar särskilda kategorier av personuppgifter enligt artikel 9 eller personuppgifter som rör fällande domar i brottmål samt överträdelser enligt artikel 10 (exempel: behandling av uppgifter om anställdas hälsa). Eftersom de allra flesta företag eller organisationer betalar lön regelbundet till sina anställda omfattas de också av skyldigheten att upprätta register över åtminstone denna behandling. Däremot behöver andra sorters behandling inte tas med i registret ifall företaget eller organisationen har färre än 250 anställda. Detta dokument ersätter Datainspektionen informerar Nr 5/2011, Registeransvar. Personuppgiftsansvar

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss