Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Relevanta dokument
Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Handlingsplan för persondataskydd

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

EU:s dataskyddsförordning

Riktlinjer för personuppgiftshantering

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Riktlinjer för dataskydd

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Regler för behandling av personuppgifter vid Högskolan Dalarna

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR. Dataskyddsförordningen

Personuppgiftsbehandling Dataskydd

GDPR- Seminarium 2017

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Dataskyddsförordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Information om dataskyddsförordningen

GDPR POLICY Behandling av personuppgifter

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Policy för behandling av personuppgifter

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Personuppgiftsinformation för Svedala kommun

Axholmen:s Integritetspolicy

GDPR och hantering av personuppgifter

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

EU:s dataskyddsförordning

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Integritetsskyddsinformation leverantör

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen GDPR

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

EU:s allmänna dataskyddsförordning:

SL:s behandling av personuppgifter

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Dataskyddsförordningen för prefekter och administrativa chefer

Dataskyddsförordningen

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

PuL och GDPR en översiktlig genomgång

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Policy för behandling av personuppgifter

Skolan och Dataskyddsförordningen

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Integritetsskyddsinformation företagskund

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Allmänna råd. Datainspektionen informerar. Nr 2/2016

FÖRBEREDELSER INFÖR GDPR

Översikt av GDPR och förberedelser inför 25/5-2018

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

GDPR. General Data Protection Regulation. dataskyddsförordningen

Integritetspolicy Upplev Norrköping

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

WHITE PAPER. Dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Dataskyddsförordningen

Så behandlar vi dina personuppgifter

Lathund Dataskydd för krögare

Denna policy skapades av och för organisationens behandling av personuppgifter.

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Integritetsskyddsinformation konsumentkund pellets

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

INTEGRITETSPOLICY Behandling av personuppgifter

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

GDPR Presentation Agenda

Riktlinjer för hantering av personuppgifter

UMEÅREGIONEN PROTOKOLL 1 (31) Plats och tid Överförmyndarenheten, Götgatan 3, , kl

Information om behandling av personuppgifter

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Att vara förberedd inför dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

Transkript:

1(9) Antagen Dnr 2017/1035 av styrgruppen: 2017-10-19 Reviderad: 2017-12-14 Susanne Svanholm Jurist Juridikavdelningen susanne.svanholm@uadm.uu.se Styrgruppen vid Uppsala universitet för anpassning inför EU:s dataskyddsförordning Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning Inventera, uppdatera och beskriva policyer, processer och annan dokumentation som är av intresse i behandlingen av personuppgifter Utsedd tillsynsmyndighet (Datainspektionen) kan när som helst begära ut policyer, styrdokument och processer gällande personlig information. Universitetet måste säkerställa att effektiva processer, tydlig dokumentation och interna riktlinjer för olika användare av information inom universitetet t.ex. avdelningsvis finns och är aktuella. Universitetet måste kunna visa och bevisa att dataskyddsförordningens krav om behandling av personuppgifter efterlevs. Tillsätta den framtida förvaltningsorganisationen. Tydliggöra roller, ansvar och ägandeskap för det löpande dataskyddsarbetet. Uppdrag från styrelse och ledning säkerställer regelefterlevnaden för registrerade, anställda och myndigheten. 30 april 2018 Organisationsnr:

2(9) Uppdatera avtal Allt arbete utanför egna organisationen tar längre tid. Det är viktigt att tidigt inleda kravställande gentemot underleverantörer. Uppdatera personuppgiftsbiträdesavtal och övriga avtal med leverantörer och andra intressenter för att säkerställa att alla krav i dataskyddsförordningen uppfylls. 31 december 2017 Fortsätta arbetet med att medvetandegöra efterlevnaden av dataskyddsförordningen Det finns en framtagen kommunikationsplan som följs och uppdateras vid behov. Det har upprättats en sida på medarbetarportalen med frågor och svar om dataskyddsförordningen som behöver spridas i organisationen. Det behövs olika kanaler och kontinuerliga kommunikationskanaler. Ett långsiktigt och tydligt informations- och utbildningsprogram behöver tas fram. Kommunikationsavdelningen 30 april 2018 Ta fram rutin för hantering av personuppgiftsincident och tydliggöra ansvar och roller I och med att kraven är strängare och sanktionerna hårdare är det viktigt att vara bra förberedd, att ha processerna på plats ifall en personuppgiftsincident sker. Det är med andra ord viktigt att uppdatera universitetets incidenthanteringsplan och säkerställa att man kan agera snabbt och på rätt sätt i enlighet med dataskyddsförordningen.

3(9) En incident ska enligt huvudregeln anmälas till Datainspektionen inom 72 timmar efter det att man fått vetskap om incidenten. Den personuppgiftsansvarige, dvs Uppsala universitet, ska genom utsedd ansvarig dokumentera alla personuppgiftsincidenter vilket innebär omständigheterna kring händelsen, dess effekter och vilka åtgärder som vidtas för att undvika incidenter i framtiden. Vid behov ska även den registrerade informeras. Om en personuppgiftsincident inträffar ska det finnas process/rutiner för att hantera incidenten. En incident kan leda till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas samt obehörig åtkomst till personuppgifter. IT-avdelningen 28 februari 2018 Den registrerades rättigheter att få tillgång till sina personuppgifter samt information till de registrerade Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas både när uppgifterna samlas in och när den registrerade annars begär det. Den enskilde har rätt till gratis elektronisk kopia av den information som finns lagrad i en lättillgänglig skriftlig form, på ett tydligt och enkelt språk. Informationen ska bland annat innehålla ändamålet med behandlingen, den rättsliga grunden för behandlingen samt kontaktuppgifter till den av personuppgiftsansvarige inom universitetet. Även information om den registrerades rättigheter och möjligheten att lämna klagomål till Datainspektionen om han eller hon anser att personuppgifterna har hanterats på ett felaktigt sätt. Skapa process/rutin för att möjliggöra att enskild person får ta del av de personuppgifter som finns lagrade på Uppsala

4(9) universitet, säkerställ att uppgifterna lämnas till behörig person och att informationsplikten uppfylls. 31 mars 2018 Hantering av samtycke Inventera om det finns en tydlig, klar och lättillgänglig information kring samtycke för de behandlingar som grundas på detta. Uppdatera eller skriva nya samtyckestexter. Upprätta systematiskt insamlande och bevarande av samtycken för de behandlingar som grundas på samtycke. Upprätta rutin för radering av information till följd av återkallat samtycke 28 februari 2018 Rätt att bli bortglömd Process/rutin för att hantera rätt till att information raderas om en registrerad person vid begäran samt begränsning av spridning av data och behandling av data hos tredje part. med hjälp av IT-avdelningen 28 februari 2018

5(9) Dataöverföring (portabilitet) Process/rutin för att få tillgång till personlig data i maskinläsbart format så att det går att vidarebefordra till annan aktör. IT-avdelningen 30 april 2018 Inbyggd integritet (privacy by design) Skapa processer/rutiner rörande data som är absolut nödvändig för arbetsuppgiften ska lagras och att tillgång till personuppgifter endast ges till den som behöver dessa för bearbetning. Ett övergripande regelverk för att inte samla in, lagra och hantera/behandla fler/mer personuppgifter än nödvändigt. IT-avdelningen med hjälp av Säkerhetsavdelningen 31 mars 2018 Upprätta registerförteckning avseende Uppsala universitets system och register som innehåller personuppgifter Universitetet måste kunna visa och bevisa att dataskyddsförordningens krav efterlevs enligt ovan. Kartläggning av personuppgifter avseende vilka personuppgifter som samlas in, varför och hur de behandlas i organisationen behöver göras. En registerförteckning utgör första steget mot att uppfylla denna skyldighet och bevisar efterlevnad av dataskyddsförordningen. Registerförteckningen är ett viktigt arbetsverktyg och kan även samordnas med ledningssystem för informationssäkerhet vid behov.

6(9) Ta fram process/rutin för och förvaltning av registerförteckning. Ta fram en teknisk lösning för registret. Utse ansvar och roller. Rutin för årlig uppföljning. 31 december 2017, delprojekt Utreda rättsligt stöd Dataskyddsförordningen innebär flera stora skillnader jämfört med dagens regelverk. Till skillnad från personuppgiftslagens regler omfattar dataskyddförordningen även s.k. ostrukturerade personuppgifter och den s.k. missbruksregeln 1 som används på många avdelningar försvinner. Alla behandlingar av personuppgifter måste ha lagligt stöd. Om och vilket stöd som föreligger enligt dataskyddsförordningen måste utredas. 31 januari 2018 Tillsätta Dataskyddsombud ett krav för myndighet Alla myndigheter måste utse ett dataskyddsombud som ansvarar för frågorna som rör dataskydd. Dataskyddsombudet är även kontaktpunkten för Datainspektionen (tillsynsmyndigheten) och kontaktuppgifter ska anmälas till inspektionen. Dataskyddsombudet har det övergripande ansvaret för att leda, planera, säkerställa och utveckla Uppsala universitets rutiner och efterlevnad av dataskyddsförordningen. 1 5a personuppgiftslagen.

7(9) I enlighet med dataskyddsförordningen ska Dataskyddsombudet bland annat: Informera och ge råd till myndigheten och dess anställda, som behandlar personuppgifter, om skyldigheter enligt dataskyddsförordningen och annan tillämplig dataskyddslagstiftning. Övervaka den interna efterlevnaden av dataskyddsförordningen och annan tillämplig dataskyddslagstiftning. Övervaka efterlevnaden av myndighetens strategi för skydd av personuppgifter vilket inbegriper ansvarstilldelning, information och utbildning av personal som deltar i behandling och tillhörande granskning. På myndighetens begäran ge råd i konsekvensbedömning av dataskydd och övervaka genomförandet av den. Samarbeta med Datainspektionen. Fungera som kontaktpunkt för Datainspektionen i frågor som rör behandling, inklusive förhandssamråd och vid behov samråda i alla andra frågor. 24 maj 2018 Identifiera system och andra ytor där personuppgifter behandlas För att Universitetet ska veta var personuppgifter hanteras i verksamheten, genomförs en inventering av alla institutioner för att dokumentera vilka personuppgifter de behandlar och i vilka system dessa hanteras. Inventeringen sker genom att en informationsklassning genomförs. I den klassningen identifieras vilka personuppgifter som hittas samt var, i vilka system, dessa personuppgifter hanteras. Inventeringen sker i två steg. I steg ett inventeras ett tiotal institutioner med diversifierad verksamhet. Detta för att fånga upp så många olika institutionstyper som möjligt. I steg två identifieras vilka andra institutioner som liknar någon av de först inventerade institutionerna. Dessa får, under en gemensam

8(9) genomgång, ta del av den tidigare gjorda informationsklassningen och därefter ta bort eller komplettera med de personuppgifter som tidigare klassning inte har med. De behöver inte börja från noll, utan förhoppningsvis är 50-75% desamma som den tidigare gjorde klassningen. Resultatet av dessa klassningar är en lista med system som innehåller personuppgifter. Identifiera system som hanterar personuppgifter Genomförs informationsklassningar på alla institutionerna. Identifiera samtliga system med personuppgifter. Säkerhetsavdelningen 1 november 2017, delprojekt Definiera best practise -skyddsåtgärder för system som behandlar personuppgifter Det finns inga färdiga listor med krav på tillräckligt starka säkerhetsåtgärder utan projektet utnyttjar att Universitetet genomfört ett flertal säkerhetsanalyser och genom nulägesanalyser skapat sina best practise -listor innehållande krav som är tillräckligt starka för att hantera information som är lika känslig som personuppgifter. Dessa krav-listor analyseras, justeras och kompletteras med nya krav som definieras för att uppfylla de nya lagkraven. Definiera tillräckligt starka säkerhetskrav för system som hanterar personuppgifter Analys av tidigare best practise -krav. Skapande av nya best practise -krav. Säkerhetsavdelningen 1 november 2017, delprojekt

9(9) Inventera och åtgärda brister i säkerhetsskyddet i de system som behandlar personuppgifter De system som behandlar personuppgifter inventeras för att analysera vilka av de ställda säkerhetskraven de inte lever upp till. Dessa brister (gap) i säkerhetsskyddet riskanalyseras för att skapa en åtgärdslista på saker som ska åtgärdas innan nya lagen träder i kraft 25 maj 2018. Till att börja med analyseras de 15 E-förvaltningarnas system. Parallellt med detta arbete genomförs insatser att analysera övriga system som de olika informationsklassningarna identifierat. Inventera brister i säkerhetsskyddet i system som hanterar personuppgifter. Skapa åtgärdslista och åtgärda brister. Säkerhetsavdelningen 25 maj 2018 Utvärdera och följa upp I skapad förvaltningsorganisation för efterlevnad av dataskyddsförordningen görs löpande uppföljning och dokumentation hur arbetet med hantering av personuppgifter genomförs på Uppsala universitet. Det krävs åtgärder såsom upprättande av tillsynsplan, löpande kvalitetsgranskning av det genomförda arbetet, stickprovskontroller och upprätthållande av uppdaterad registerförteckning. Ej fastställd 1 maj 2018

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss