LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Relevanta dokument
Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Policy för behandling av personuppgifter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Behandling av personuppgifter vid Göteborgs universitet

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen för prefekter och administrativa chefer

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Policy för personuppgiftsbehandling

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen 2018

Information om behandling av personuppgifter

Dataskyddsförordningen 2018

Dataskyddsförordningen i utbildningsverksamhet

Personuppgiftsinformation för Svedala kommun

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Information om dataskyddsförordningen

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Mertzig Asset Management AB

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Dataskyddsförordningen

GDPR- Seminarium 2017

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen - GDPR

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen GDPR

Riktlinjer för behandling av personuppgifter

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Dataskyddsförordningen

(5) Integritetspolicy - Kumla Bostäder AB

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Den nya Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Personuppgiftsbehandling för forskningsändamål

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

GDPR UTBILDNINGSDAG SKKF

Personuppgiftsbiträdesavtal

Personuppgiftsbehandling i forskning

PUL OCH DATASKYDDSFÖRORDNINGEN

GDPR - Riktlinjer för hantering av personuppgifter

GDPR definition och hur utbildningen berör(t)s av förordningen

POLICYDOKUMENT GDPR. Fortinova AB Fortinova Fastigheter AB (publ) Policydokumentet inbegriper ovanstående bolags dotterbolag

Handlingsplan för persondataskydd

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Vården och reglerna om dataskydd

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen

Dataskyddsförordningen, GDPR

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Södertörns brandförsvarsförbund

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

GDPR. General Data Protection Regulation. dataskyddsförordningen

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Saknar du svar på någon fråga får du gärna hör av dig till oss. Information om hur du kontaktar oss finns under avsnitt 16 Kontaktuppgifter.

Lindesbergs kommuns arbete med dataskyddsförordningen

Den nya dataskyddsförordningen

GDPR och hantering av personuppgifter

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Policy för behandling av personuppgifter

Policy för behandling av personuppgifter

GDPR. Ulrika Harnesk 17 oktober 2018

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Personuppgiftspolicy

Regler för behandling av personuppgifter vid Högskolan Dalarna

PERSONUPPGIFTSLAGEN (PUL)

Integritetspolicy för Judiska församlingen (JF) i Stockholm

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

Vad står förkortningen GDPR för? GDPR är en förkortning för General Data Protection Regulation.

Personuppgiftslagen (PuL) - En kort introduktion

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Lathund Dataskydd för krögare

GDPR General data protection regulation Dataskyddsförordningen

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

DIK, Bondegatan 21, Stockholm dik.se Sid 1 (10)

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Koncernkontoret Enheten för juridik

Transkript:

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR) 1

Innehåll 1. Inledning... 3 2. Behandling... 3 3. Personuppgift... 3 4. Principer för behandling av personuppgifter... 3 5. Laglig grund... 4 6. Personuppgiftsansvarig (PuA)... 4 7. Personuppgiftsbiträde (PuB)... 4 8. Strukturerat och ostrukturerat material... 5 9. Den enskildes rättigheter... 5 10. Register... 5 11. Arkivering... 5 12. Personuppgiftsincidenter... 5 13. Dataskyddsombud... 6 14. Ansvariga... 6 2

1. Inledning EU:s dataskyddsförordning, General Data Protection Regulation (GDPR) gäller från och med 25 maj 2018 och ersätter personuppgiftslagen (PUL). Den personuppgiftsansvarige (PuA), den juridiska personen, Landsorganisationen i Sverige (LO), LO-distrikten samt fyra bolag, ser till att lagar och regler följs i samband med att man behandlar personuppgifter. Distrikten omfattas av policyn och benämns som LO i policyn. LO kan visa vad vi behandlar för typ av personuppgifter, varför vi behandlar personuppgifter, hur vi behandlar personuppgifter, vem som behandlar personuppgifter samt var vi behandlar personuppgifter. 2. Behandling Begreppet "behandling" är brett och omfattar i princip allt man gör med personuppgifter, som insamling, registrering, lagring, bearbetning och spridning. Gäller även arkivering och förstörelse av uppgifter. Riktlinjer och rutiner kring detta upprättas. 3. Personuppgift Denna förordning ska tillämpas på utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt GDPR som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Personuppgifter ska endast samlas i den omfattning som anges, samt att uppgifterna hanteras eller raderas enligt riktlinjer och rutiner fastställda inom LO. Riktlinjer och rutiner för behandling av personuppgifter upprättas. 4. Principer för behandling av personuppgifter LO ser till att uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Används inte för att senare behandlas på ett sätt som är oförenligt med dessa ändamål. Personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Personuppgifter ska vara korrekta och om nödvändigt uppdaterade. 3

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse samt användning av lämpliga tekniska eller organisatoriska åtgärder. Den personuppgiftsansvarige ska ansvara för och kunna visa att allt ovan efterlevs. 5. Laglig grund Med laglig grund menas vilket rättsligt stöd LO har för att behandla personuppgifter i förhållande till de ändamål som personuppgifterna i varje enskilt fall behandlas för. Rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighetsutövning samt efter en intresseavvägning. LO har en laglig grund att använda personuppgifter för att uppfylla sina förpliktelser för de anställda genom anställningsavtal och kollektivavtal. LO och förbunden använder ytterst sällan samtycke med medlemmar, då till exempel förbunden har en laglig grund i avtalsrättslig förpliktelse, som täcker allt från rättslig hjälp till försäkringar, som oftast är reglerade i stadgar, kollektivavtal och andra rättsliga handlingar. Det kan inte separeras eller fråntas i medlemskapet. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, är förbjuden. Undantag ges till t ex LO och distrikten och fackliga organisationer gällande medlemskap i fackförening eller där vissa uppgifter behövs för att kunna bedriva verksamheten. 6. Personuppgiftsansvarig (PuA) Personuppgiftsansvarig, den juridiska personen, är den som ensam eller tillsammans med andra, bestämmer ändamålen med och medlen för behandlingen av personuppgifter. I detta fall Landsorganisationen i Sverige (LO) samt LO - distrikten. När en enskild medarbetare behandlar personuppgifter inom ramen för sin roll som medarbetare, är det som utgångspunkt den egna organisationen som är personuppgiftsansvarig. LO och distrikten är PuA för den egna personalen och till exempel personuppgiftsbiträde till förbunden och deras medlemmars personuppgifter. 7. Personuppgiftsbiträde (PuB) Ett personuppgiftsbiträde, exempelvis en (extern) tjänsteleverantör, är den som inom ramen för utförandet av sitt uppdrag behandlar personuppgifter för LOs, den personuppgiftsansvariges, räkning. Ett avtal ska tecknas med personuppgiftsbiträdet. 4

På samma sätt ska LO i samband med att LO är PuB, följa de angivna instruktioner som PuA ger vid varje enskilt tillfälle. Om flera biträden finns ska avtal tecknas med samtliga. Om det är en underentreprenörskedja ska den personuppgiftsansvarige ha kännedom om och godkänna avtalen i hela kedjan. All upphandling av leverantörer ska följa LOs policy och riktlinjer gällande GDPR. 8. Strukturerat och ostrukturerat material GDPR gäller både strukturerat och ostrukturerat material. Strukturerat material är sådana personuppgifter som behandlas i dataregister, databaser samt ärende- och dokumenthanteringssystem. Medan ostrukturerat material återfinns i löpande text, exempelvis korrespondens i e-post, ljud och bild. En annan skillnad är att det strukturerade materialet är byggt för att vara sökbart, medan det ostrukturerade materialet i stort saknar uppenbar sökfunktion. LOs hanteringsregler ska alltid tillämpas oavsett om det rör sig om ostrukturerat eller strukturerat material. 9. Den enskildes rättigheter De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. De registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller rätt att få ut eller flytta sina uppgifter. Undantag gäller anställningen, och till den, tillhörande villkor. Den enskilde har alltid rätt att få ut sina personuppgifter ett rimligt antal gånger per år. Om begäran från en registrerad är uppenbart ogrundad eller orimlig, särskilt på grund av deras repetitiva art, medför det en kostnad för den enskilde eller så kan LO vägra tillmötesgå begäran. 10. Register LO för register över behandling av personuppgifter. Registret visar vilka uppgifter som behandlas vid olika tillfällen. Riktlinjer och rutiner för detta upprättas. 11. Arkivering LO har rätt att arkivera handlingar för forskning och statistik. Delar av personuppgifter som inte behövs ska anonymiseras och minimeras, eller ibland raderas. Arkivering sker på LO inom varje lag föreskriven tid. Därefter skickas materialet till Arbetarrörelsens Arkiv och bibliotek (ARAB). 12. Personuppgiftsincidenter Om det inträffar en större säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter, måste LO dokumentera incidenten och anmäla den till Datainspektionen inom 72 timmar och utan dröjsmål som 5

personuppgiftsbiträde. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen. Man kan också behöva informera de registrerade, till exempel om det finns risk för id-stöld eller bedrägeri. LO har rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. 13. Dataskyddsombud LO utser ett dataskyddsombud för LO kansliet, distrikten och av styrelsen angivna bolag. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen, genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet ska även vara en kontaktpunkt för tillsynsmyndigheten och de registrerade. Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och ha en självständig roll i förhållande till ledningen. 14. Ansvariga Denna policy ska uppdateras och fastslås av styrelsen varje år. Ansvarig för detta är kanslichefen. Kanslichefen delegerar ansvar för riktlinjer och rutiner till enhetschefer utifrån ansvarsområde. Gäller även för VD i bolagen som omfattas av gemensam behandling av personuppgifter. Chefer på LO - distrikten delegerar ansvar utifrån den egna organisationen. 6