RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Relevanta dokument
Riktlinjer för hantering av personuppgifter

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Policy för integritet vid hantering av personuppgifter

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Riktlinjer för dataskydd

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Information om behandling av personuppgifter

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

PuL och GDPR en översiktlig genomgång

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Policy för behandling av personuppgifter

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR NYA DATASKYDDSFÖRORDNINGEN

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Handlingsplan för persondataskydd

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Personuppgiftsbehandling i forskning

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen GDPR

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Granskning av landstingets hantering av personuppgifter

Kerstin Wardman, 25 april 2018

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen för prefekter och administrativa chefer

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen 2018

Personuppgiftsinformation för Svedala kommun

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR och hantering av personuppgifter

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Så behandlar vi dina personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Strand Kapitalförvaltning AB:s integritetspolicy

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen 2018

Lindesbergs kommuns arbete med dataskyddsförordningen

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Dataskyddsförordningen - GDPR

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbehandling Dataskydd

Remiss av förslag till Riktlinjer för hantering av personuppgifter

Riktlinjer för personuppgiftshantering

Policy för hantering av personuppgifter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

WHITE PAPER. Dataskyddsförordningen

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen

Den nya dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Regler för behandling av personuppgifter vid Högskolan Dalarna

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

GDPR General data protection regulation Dataskyddsförordningen

Instruktion till mall för registerförteckning

Personuppgiftslagen konsekvenser för mitt företag

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

PERSONUPPGIFTSLAGEN (PUL)

GDPR. General Data Protection Regulation. dataskyddsförordningen

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsförordningen

Personuppgiftsbiträdesavtal

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

STOCKHOLMS FOTBOLLFÖRBUND

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Dataskyddsförordningen (GDPR)

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

Dataskyddsförordningen

Samspelets behandling av personuppgifter

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Personuppgiftsbiträdesavtal

Dataskyddsförordningen, GDPR

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Personuppgiftsbehandling för forskningsändamål

Transkript:

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER GULLSPÅNG KOMMUN Antagen av kommunfullmäktige 2018-05-30, 69 Dnr: KS 2018/275 Kommunledningskontoret Torggatan 19, Box 80 548 22 HOVA Tel: 0506-360 00 www.gullspang.se

Innehåll 1. Inledning... 3 1.1. Syfte... 3 1.2. Ansvar... 3 1.3. Avgränsningar... 4 2. Tillåten behandling av personuppgifter... 4 2.1. Laglig behandling... 4 3. Riktlinje... 4 3.1. Barnperspektiv... 4 3.2. Rutiner och mallar... 4 3.3. Personuppgiftsansvar... 4 3.4. Personuppgiftsbiträdesavtal... 5 3.5. Personuppgiftsincident... 5 3.6. Registerförteckning... 5 3.7. Samtycke... 5 3.8. Dataskyddsombud... 6 4. Referens... 6 5. Bilagor... 6 5.1. Bilaga 1 Några begrepp... 6 Behandling av personuppgift... 6 Dataskyddsombud... 6 Den registrerade... 6 Känsliga personuppgifter... 6 Personuppgift... 6 Personuppgiftsansvarig... 7 Personuppgiftsbiträde... 7 Personuppgiftsbiträdesavtal... 7 Samtycke... 7 2

1. Inledning EU:s dataskyddsförordning (679/2016) även kallad GDPR (General Data Protection Regulation) gäller som lag i Sverige från och med den 25 maj 2018 och ersätter personuppgiftslagen, PuL (1998:204). I Sverige kommer även en ny dataskyddslag träda i kraft från och med den 25 maj 2018. Den nya dataskyddslagen kompletterar EU:s dataskyddsförordning på övergripande nivå. Dataskyddsförordningen är underordnad i förhållande till vissa andra författningar, det vill säga om det i en annan lag eller förordning finns bestämmelser som avviker gäller de bestämmelserna istället, till exempel behandling av personuppgifter enligt socialtjänsten. Dataskyddsförordningen gäller inte heller om det skulle strida mot tryck- eller yttrandefriheten. Dataskyddsförordningen lägger stor vikt vid den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs, vilket kan medföra krav på ökad dokumentation. Det kommer att införas möjligheter för tillsynsmyndigheten att i vissa fall döma ut en administrativ sanktionsavgift när en organisation missköter sin behandling av personavgifter. I kommunen hanteras en mängd personuppgifter och det behöver säkerställas att kommunens hantering är i enlighet med gällande lagstiftning. 1.1. Syfte Syftet med dataskyddsförordningen är att skapa enhetliga dataskyddsregler inom hela EU. Dataskyddsförordningen har som syfte att skydda enskilda personer mot kränkning av den personliga integriteten vid behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med detta kommunövergripande styrdokument sätts de ramar verksamheterna behöver iaktta vid personuppgiftshantering. Detta styrdokument ska sedan kompletteras av rutiner som på ett mer detaljerat sätt stödjer verksamheterna i de processer och hanteringsfrågor som uppkommer. 1.2. Ansvar Respektive personuppgiftsansvarig (nämnd) ansvarar för att ha kännedom om var personuppgifter förekommer, hur de behandlas och även kunna informera berörda personer vid begäran. Personuppgiftsansvarig ansvarar även för att förteckning över personuppgiftsbehandlingar finns upprättad. Verksamhetschefer är ansvariga för att ställa samman och revidera förteckningen. Dataskyddsombudet ansvarar för att riktlinjen revideras. 3

1.3. Avgränsningar Riktlinjen ska tillämpas på all hantering av personuppgifter som helt eller delvis företas på automatisk väg samt på annan automatisk behandling av personuppgifter som ingår eller kommer att ingå i ett register. 2. Tillåten behandling av personuppgifter 2.1. Laglig behandling Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar information längre än nödvändigt och inte använda uppgifter till något annat än vad som var syftet när de samlades in. 3. Riktlinje 3.1. Barnperspektiv Barn förtjänar ett särskilt skydd enligt dataskyddsförordningen. Information som riktar sig till barn ska vara skriven på ett tydligt och enkelt sätt. 3.2. Rutiner och mallar Kommunövergripande rutiner och mallar ska finnas som komplement till framtagen riktlinje. Avsikten är att skapa en enhetlig vägledning för kommunen. Det åvilar respektive verksamhet att ta fram verksamhetsspecifika rutiner och mallar som komplement till de kommunövergripande styrdokumenten. 3.3. Personuppgiftsansvar I Gullspångs kommun är samtliga nämnder personuppgiftsansvariga för sina respektive verksamhetsområden. Ansvaret innebär en yttersta skyldighet att tillse att gällande lagstiftning efterlevs bland annat genom att säkerställa: Ändamål och syfte med behandling av personuppgifter fastställs innan behandlingen påbörjas Kännedom finns om var personuppgifter förekommer, hur de används och rutiner finns på plats för att kunna informera berörda personer vid begäran 4

Dataskyddsombud utsetts och att ombudet har förutsättningar samt besitter erforderlig kunskap för utförandet av uppdraget Det finns tekniska och organisatoriska förutsättningar att behandla personuppgifter med erforderlig säkerhet Registerföring sker över personuppgiftsbehandlingar Personuppgiftsbiträdesavtal upprättas när biträden anlitas Genom dokumentation säkerställa att man kan styrka att lagstiftningens krav är uppfyllda 3.4. Personuppgiftsbiträdesavtal När kommunen ingår nya avtal där personuppgifter behandlas av en annan myndighet eller annan organisation utanför kommunen ska personuppgiftsbiträdesavtal upprättas i enlighet med artikel 28 i dataskyddsförordningen. 3.5. Personuppgiftsincident Personuppgiftsincidenter/dataintrång ska anmälas till Datainspektionen inom 72 timmar. Om intrånget har lett till allvarliga risker för den registrerade ska den registrerade kontaktas. 3.6. Registerförteckning Samtliga nämnder har upprättad förteckning över personuppgiftsbehandling som hålls aktuell. 3.7. Samtycke När personuppgiftsansvarig inte har tillåtelse att behandla använda personuppgifter med stöd av de rättsliga grunderna i dataskyddsförordningen artikel 6:1 b-f ska ett samtycke inhämtas. Har den registrerade lämnat sitt samtycke till behandling av personuppgifterna är behandling i regel tillåten. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Att ett samtycke ska vara frivilligt kan sägas innebära att den enskilde i praktiken måste ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas. Den registrerade kan när som helst återkalla sitt samtycke vartefter behandling inte längre får ske. 5

3.8. Dataskyddsombud Dataskyddsombud ska finnas utsett för kommunens samtliga verksamhetsområden 4. Referens Dataskyddsförordningen (679/2016) Dataskyddslag 5. Bilagor 5.1. Bilaga 1 Några begrepp Behandling av personuppgift Behandling av personuppgift omfattar varje åtgärd som vidtas i fråga om personuppgifter. Begreppet är teknikneutralt vilket innebär att det kan handla om manuell eller automatiserad/datoriserad behandling. Det kan enligt lagen vara fråga om insamling, registrering, organisering, lagring, bearbetning eller ändring, utlämnande, utplåning eller förstöring, sammanställning eller samkörning etc. Dataskyddsombud Dataskyddsombud ska informera, ge råd och övervaka efterlevnaden av denna förordning samt samarbeta med tillsynsmyndigheten. Rollen är specificerad i dataskyddsförordningen, artikel 39. Den registrerade Den registrerade är den person som en personuppgift avser. Känsliga personuppgifter Känsliga personuppgifter är uppgifter som behöver särskilt skydd vilka betecknas som särskilda kategorier av personuppgifter i lagtexten. Personuppgift Personuppgift är all slags information som direkt eller indirekt kan hänföras till fysisk person som är i livet. Det kan även uttryckas som att en person är identifierbar eller sökbar utifrån de uppgifter som förs. 6

Personuppgiftsansvarig Personuppgiftsansvarig är den som bestämmer ändamålen med och/eller medlen för behandling av personuppgifter, dvs. kommunstyrelsen och ansvariga nämnder. Personuppgiftsansvaret kan aldrig överlåtas. Personuppgiftsbiträde Personuppgiftsbiträde avses såväl en fysisk som juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. De biträden som anlitas ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Personuppgiftsbiträdesavtal När personuppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett personuppgiftsbiträdesavtal. Samtycke Samtycke måste vara en fråga om frivillig, specifik och otvetydig viljeyttring genom den registrerade, efter att ha fått information, godtar behandling av den registrerades personuppgifter. Den registrerade kan när som helst återkalla sitt samtycke vartefter behandling inte vidare kan ske. 7