Riktlinjer för hantering av personuppgifter

Relevanta dokument
RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Policy för integritet vid hantering av personuppgifter

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Riktlinjer för dataskydd

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Granskning av landstingets hantering av personuppgifter

PuL och GDPR en översiktlig genomgång

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Information om behandling av personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Dataskyddsförordningen

Personuppgiftsbehandling i forskning

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen GDPR

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Behandling av personuppgifter vid Göteborgs universitet

Kerstin Wardman, 25 april 2018

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Policy för behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen - GDPR

Policy för hantering av personuppgifter

Personuppgiftslagen konsekvenser för mitt företag

GDPR NYA DATASKYDDSFÖRORDNINGEN

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSLAGEN (PUL)

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen för prefekter och administrativa chefer

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Dataskyddsförordningen

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Dataskyddsförordningen

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Så behandlar vi dina personuppgifter

Dataskyddsförordningen

Regler för behandling av personuppgifter vid Högskolan Dalarna

Personuppgiftsbehandling Dataskydd

Lindesbergs kommuns arbete med dataskyddsförordningen

Personuppgiftsbiträdesavtal

Regler för behandling av personuppgifter vid Högskolan Dalarna

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen 2018

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Personuppgiftsbiträdesavtal

Den nya dataskyddsförordningen

Dataskyddsförordningen

Personuppgiftsansvar och ändamålsprövning enligt fastighetsregisterlagen

Strand Kapitalförvaltning AB:s integritetspolicy

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Instruktion till mall för registerförteckning

Riktlinjer för personuppgiftshantering

Remiss av förslag till Riktlinjer för hantering av personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen 2018

Personuppgiftsinformation för Svedala kommun

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Personuppgiftsbehandling för forskningsändamål

EU:s dataskyddsförordning

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Bilaga Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Personuppgiftsbiträde

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Policy för behandling av personuppgifter

WHITE PAPER. Dataskyddsförordningen

Dataskyddsförordningen, GDPR

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Lathund Personuppgiftslagen (PuL)

Södertörns brandförsvarsförbund

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Handlingsplan för persondataskydd

Personuppgifter. Behandling av personuppgifter

Transkript:

Riktlinjer för hantering av personuppgifter Mariestads kommun Antaget av Kommunstyrelsen Mariestad 2018-05-14

Datum: 2018-04-04 Dnr: Sida: 2 (6) Riktlinjer för hantering av personuppgifter Inledning EU:s dataskyddsförordning (679/2016) gäller som lag i Sverige från och med den 25 maj 2018 och ersätter personuppgiftslagen, PuL (1998:204). I Sverige kommer även en ny dataskyddslag träda i kraft från och med den 25 maj 2018. Den nya dataskyddslagen kompletterar EU:s dataskyddsförordning på övergripande nivå. Dataskyddsförordningen är underordnad i förhållande till vissa andra författningar, det vill säga om det i en annan lag eller förordning finns bestämmelser som avviker gäller de bestämmelserna istället, till exempel behandling av personuppgifter inom socialtjänsten. Dataskyddsförordningen gäller inte heller om det skulle strida mot tryck- eller yttrandefriheten. Dataskyddsförordningen lägger stor vikt vid den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs, vilket kan medföra krav på ökad dokumentation. Det kommer att införas möjligheter för tillsynsmyndigheten att i vissa fall döma ut en administrativ sanktionsavgift när en organisation missköter sin behandling av personavgifter. I kommunen hanteras en mängd personuppgifter och det behöver säkerställas att kommunens hantering är i enlighet med gällande lagstiftning. Syfte Syftet med dataskyddsförordningen är att skapa enhetliga dataskyddsregler inom hela EU. Dataskyddsförordningen har som syfte att skydda enskilda personer mot kränkning av den personliga integriteten vid behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med detta kommunövergripande styrdokument sätts de ramar verksamheterna behöver iaktta vid personuppgiftshantering. Detta styrdokument ska kompletteras av rutiner som på ett mer detaljerat sätt stödjer verksamheterna i de processer och hanteringsfrågor som uppkommer. Ansvar Respektive personuppgiftsansvarig (nämnd) ansvarar för att ha kännedom om var personuppgifter förekommer, hur de behandlas och även kunna informera berörda personer vid begäran. Personuppgiftsansvarig ansvarar även för att förteckning över personuppgiftsbehandlingar finns upprättad. Sektors/verksamhetschef är ansvarig för att ställa samman och revidera förteckningen.

Sida: 3 (6) Avgränsningar Riktlinjen ska tillämpas på all hantering av personuppgifter som helt eller delvis företas på automatisk väg samt på annan automatisk behandling av personuppgifter som ingår eller kommer att ingå i ett register. Tillåten behandling av personuppgifter Laglig behandling Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar information längre än nödvändigt och inte använda uppgifter till något annat än vad som var syftet när de samlades in. Riktlinje Barnperspektiv Barn förtjänar ett särskilt skydd enligt dataskyddsförordningen. Information som riktar sig till barn ska vara skriven på ett tydligt och enkelt sätt. Rutiner och mallar Kommunövergripande rutiner och mallar ska finnas som komplement till framtagen riktlinje. Avsikten är att skapa en enhetlig vägledning för kommunen. Det åvilar respektive verksamhet att ta fram verksamhetsspecifika rutiner och mallar som komplement till de kommunövergripande styrdokumenten. Personuppgiftsansvar I Mariestads kommun är samtliga nämnder personuppgiftsansvariga för sina respektive verksamhetsområden. Ansvaret innebär en yttersta skyldighet att tillse att gällande lagstiftning efterlevs bland annat genom att säkerställa: Ändamål och syfte med behandling av personuppgifter fastställs innan behandlingen påbörjas Kännedom finns om var personuppgifter förekommer, hur de används och rutiner finns på plats för att kunna informera berörda personer vid begäran Dataskyddsombud utsetts och att ombudet har förutsättningar samt besitter erforderlig kunskap för utförandet av uppdraget Det finns tekniska och organisatoriska förutsättningar att behandla personuppgifter med erforderlig säkerhet

Sida: 4 (6) Registerföring sker över personuppgiftsbehandlingar Personuppgiftsbiträdesavtal upprättas när biträden anlitas Genom dokumentation säkerställa att man kan styrka att lagstiftningens krav är uppfyllda Personuppgiftsbiträdesavtal När kommunen ingår nya avtal där personuppgifter behandlas av en annan myndighet eller annan organisation utanför kommunen ska personuppgiftsbiträdesavtal upprättas i enlighet med artikel 28 i dataskyddsförordningen. Personuppgiftsincident Personuppgiftsincidenter/dataintrång ska anmälas till Datainspektionen inom 72 timmar. Om intrånget har lett till allvarliga risker för den registrerade ska den registrerade kontaktas. Registerförteckning Samtliga nämnder har upprättad förteckning över personuppgiftsbehandling som hålls aktuell. Samtycke När personuppgiftsansvarig inte har tillåtelse att behandla personuppgifter med stöd av de rättsliga grunderna i dataskyddsförordningen, artikel 6:1 b-f, ska ett samtycke inhämtas. Har den registrerade lämnat sitt samtycke till behandling av personuppgifterna är behandling i regel tillåten. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Att ett samtycke ska vara frivilligt kan sägas innebära att den enskilde i praktiken måste ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas. Den registrerade kan när som helst återkalla sitt samtycke vartefter behandling inte vidare kan ske. Dataskyddsombud Dataskyddsombud ska finnas utsett för kommunens samtliga verksamhetsområden.

Sida: 5 (6) Begreppsförklaringar Behandling av personuppgift Behandling av personuppgift omfattar varje åtgärd som vidtas i fråga om personuppgifter. Begreppet är teknikneutralt vilket innebär att det kan handla om manuell eller automatiserad/datoriserad behandling. Det kan enligt lagen vara fråga om insamling, registrering, organisering, lagring, bearbetning eller ändring, utlämnande, utplåning eller förstöring, sammanställning eller samkörning etc. Dataskyddsombud Dataskyddsombud ska informera, ge råd och övervaka efterlevnaden av denna förordning samt samarbeta med tillsynsmyndigheten. Rollen är specificerad i dataskyddsförordningen, artikel 39. Den registrerade Den registrerade är den person som en personuppgift avser. Känsliga personuppgifter Känsliga personuppgifter är uppgifter som behöver särskilt skydd vilka betecknas som särskilda kategorier av personuppgifter i lagtexten. Personuppgift Personuppgift är all slags information som direkt eller indirekt kan hänföras till fysisk person som är i livet. Det kan även uttryckas som att en person är identifierbar eller sökbar utifrån de uppgifter som förs. Personuppgiftsansvarig Personuppgiftsansvarig är den som bestämmer ändamålen med och/eller medlen för behandling av personuppgifter, dvs. kommunstyrelsen och ansvariga nämnder i egenskap av självständiga förvaltningsmyndigheter. Personuppgiftsansvaret kan aldrig överlåtas. Personuppgiftsbiträde Personuppgiftsbiträde avses såväl en fysisk som juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. De biträden som anlitas ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

Sida: 6 (6) Personuppgiftsbiträdesavtal När personuppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett personuppgiftsbiträdesavtal. Samtycke Samtycke måste vara en fråga om frivillig, specifik och otvetydig viljeyttring genom den registrerade, efter att ha fått information, godtar behandling av den registrerades personuppgifter. Den registrerade kan när som helst återkalla sitt samtycke vartefter behandling inte vidare kan ske.