Informationsklassificering i e-arkiv Stockholm utifrån dataskyddsförordningen. och Offentlighets- och sekretesslagen

Relevanta dokument
Informationsklassificering i e-arkiv Stockholm utifrån Personuppgiftslagen och Offentlighets- och sekretesslagen

POLICY FÖR E-ARKIV STOCKHOLM

Workshopmallar The e C ap a it i al a l o f S c S a c n a din i av a ia

POLICY FÖR E-ARKIV STOCKHOLM

Policy för personuppgiftsbehandling

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun

GDPR. Anders Ahlström

Riktlinje för hantering av personuppgifter i e-post och kalender

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR. Ulrika Harnesk 17 oktober 2018

Checklista för anslutningsarbete till e-arkiv Stockholm

E-arkiv Stockholm - leveranser och tillgängliggörande. Matilda Ekström, Stockholms stadsarkiv

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Anmälan av personuppgiftsincident

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Rutin för webbpublicering av personuppgifter

Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

Checklista för anslutningsarbete till e-arkiv Stockholm

Dataskyddsförordningen - GDPR

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Punkt 21 Riktlinje för fritextfält

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Försvarets radioanstalts (FRA) behandling av personuppgifter

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

GDPR- Seminarium 2017

Anmälan av personuppgiftsincident

E-arkiv Stockholm - anslutningar och tillgänglighet. Matilda Ekström, Stockholms stadsarkiv

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Policy för sociala medier i Stockholms stad

Riktlinjer för diariet på Internet

Den nya dataskyddsförordningen

Svensk författningssamling

Dataskydd och forskning i Europa och Sverige

Information om dataskyddsförordningen

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Användande av Google Apps For Education

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Instruktion till mall för registerförteckning

Södertörns brandförsvarsförbund

Samtycke och dataskyddsförordningen (GDPR)

Dataskyddsförordningen

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

VÄGLEDNING INFORMATIONSKLASSNING

Dataskyddsförordningen i utbildningsverksamhet

Riktlinjer för webbpublicering enligt PuL

PUL OCH DATASKYDDSFÖRORDNINGEN

Den nya Dataskyddsförordningen

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Peronuppgifterna rör barn i förskoleverksamhet

Integritet, personuppgifter

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Koncernkontoret Enheten för juridik

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Personuppgiftspolicy Signera Rekrytering AB

Dataskyddsförordningen 2018

Behandling av personuppgifter vid Göteborgs universitet

Riktlinjer för elektroniska utlämnanden

Offentlighet och sekretess. Rebecka Isaksson, kommunjurist

Om du inte har möjlighet att använda DO:s anmälningsblanketter kan du göra en anmälan per brev, e-post, muntligen eller på annat sätt.

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Mertzig Asset Management AB

Svensk författningssamling

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Så behandlar vi dina personuppgifter

Utökad bibliotekssekretess

Dataskyddsförordningen 2018

regel plan policy program regel riktlinje rutin strategi taxa regler för hantering av socialförvaltningens allmänna handlingar ...

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Personuppgiftsbiträdesavtal

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

BlueStep Banks AB (publ) Integritetspolicy

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Svensk författningssamling

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Bilaga - Personuppgiftsbiträdesavtal

Lathund Personuppgiftslagen (PuL)

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Personuppgiftslagen (PuL) - En kort introduktion

Information till nyanställda inom barn- och utbildningsförvaltningen

Förteckning över personuppgifter som behandlas i C3 Connect

Bilaga Personuppgiftsbiträdesavtal

Dataskyddsförordningen

GDPR definition och hur utbildningen berör(t)s av förordningen

Transkript:

Stockholms stadsarkiv Dnr 9.0 7389/08 Vers. 3.0 Sida 1 (9) 2018-05-24 Informationsklassificering i e-arkiv Stockholm utifrån dataskyddsförordningen (GDPR), dataskyddslagen och Offentlighets- och sekretesslagen 1. Inledning 2 2. Hur redovisas informationen i e-arkivet? 2 2.1 På vilka nivåer sker klassificeringen? 3 3. Informationsklassificering i e-arkivet 3 3.1 Klassificering med hänsyn till personuppgifter 3 3.2 Klassificering med hänsyn till sekretess 3 3.3 Klassificering med hänsyn till övrigt skydd 4 4. Så klassar du informationen 4 4.1 Inga personuppgifter 4 4.2 Harmlösa publicerbara personuppgifter 4 4.3 Känsliga ej publicerbara personuppgifter 5 4.4 Ingen sekretess 6 4.5 Svag sekretess rakt skaderekvisit 6 4.6 Stark sekretess omvänt skaderekvisit 6 4.7 Inget övrigt skydd 7 4.8 Övrigt skydd visa endast förekomst 7 4.9 Övrigt skydd visa ej förekomst 7 5. Hur påverkar klassningen publicering? 8 5.1 Publicering med hänsyn till personuppgifter 8 5.2 Publicering med hänsyn till sekretess och övrigt skydd 9 Stockholms stadsarkiv 6. Versionshantering 9 Kungsklippan 6 Box 22063 104 22 Stockholm Växel 08-508 28 300 stadsarkivet@stockholm.se www.stockholm.se/stadsarkivet

Sida 2 (9) 1. Inledning Detta dokument beskriver hur information som ska levereras till e-arkiv Stockholm ska klassificeras för att möjliggöra behandling, publicering och utlämnande i enlighet med EU:s nya dataskyddsförordning (GDPR) och den svenska kompletterande dataskyddslagen (SFS 2018:218) samt Offentlighets- och sekretesslagen OSL (SFS 2009:400). Informationen i e- arkivet kan även klassificeras med övrigt skydd, t.ex. vid upphovsrätt. Klassificeringen styr om informationen är tillgänglig och kan lämnas ut automatiskt via e- eller om en manuell prövning av handläggare måste ske. Det är levererande förvaltning/bolag/stiftelse som ansvarar för att en informationsklassificering enligt denna anvisning görs och det är Stadsarkivets ansvar att beskriva hur informationsklassningen går till i e- arkiv Stockholm. Detta regleras och genomförs inom anslutningsprojekten och dokumenteras i leveransöverenskommelse respektive leveransavtal. 2. Hur redovisas informationen i e-arkivet? Informationen i e-arkivet ska kunna återsökas och förstås över tid. Leveransens innehåll beskrivs med obligatoriska och valbara metadata för både redovisningsstrukturen och arkivobjektsstrukturen. Informationen kan vara redovisad enligt processredovisning, allmänna arkivschemat eller ett bestånd. på bestånd är en fotosamling som löper över flera klassificeringsstrukturer. Informationsredovisning sker på flera nivåer: - Nivå Redovisningsstruktur o beskriver leveransen o beskriver arkivbildaren och dess verksamhet - Nivå Arkivobjektsstruktur o beskriver informationen o beskriver hur informationen ska struktureras och sammanställas o påverkas av klassificeringen samt sökbehov Arkivobjekt kan bestå av huvudobjekt (HO), underobjekt (UO) och fil, som struktureras på två sätt: 1) En nivå, en huvudnivå (HO) 2) Två nivåer, med ett underliggande objekt (HO, UO)

Sida 3 (9) Huvudobjekt (HO) och Underobjekt (UO) är egentligen nivåer av metadata. Den egentliga handlingen (dokument/foto/film etc.) utgörs av filen. Filen kan kopplas antingen till ett huvud- eller underobjekt. 2.1 På vilka nivåer sker klassificeringen? Klassificering för personuppgifter, sekretess och övrigt skydd ska göras på någon, alternativt samtliga nivåer: - Huvudobjekt - Underobjekt - Fil Underobjekt får inte ges en lägre klassning än sitt huvudobjekt. Filen får inte ges en lägre klassning än sitt huvudobjekt och underobjekt. Det är alltså det övre objektet som styr klassningen nedåt (underobjekt, fil). Klassificeringen ska beskrivas och vid sekretessreglerad information ska lagrum anges per processnivå. Det skrivs in under attribut Åtkomstregler med lagrum enligt (OSL kap. ). Lagrum ska också anges på arkivobjektsnivå under Skäl sekretess / paragraf. 3. Informationsklassificering i e-arkivet 3.1 Klassificering med hänsyn till personuppgifter Information som överlämnas till e-arkiv Stockholm klassificeras i någon av följande klasser med hänsyn till dataskyddsförordningen (GDPR) och den svenska kompletterande dataskyddslagen: 0 Inga personuppgifter 10 Harmlösa publicerbara personuppgifter 20 Känsliga ej publicerbara personuppgifter 99 Betyder att informationen är oklassad och inte ännu getts en klassificering i någon av klasserna 0, 10 eller 20. Klass 99 används i undantagsfall. 3.2 Klassificering med hänsyn till sekretess Information som överlämnas till e-arkiv Stockholm klassificeras i någon av följande klasser med hänsyn till sekretess. Kapitel och paragraf/er i Offentlighets- och sekretesslagen OSL ska anges via fördefinierade val eller via fritext. 0 Ingen sekretess 10 Svag sekretess (rakt skaderekvisit) 20 Stark sekretess (omvänt skaderekvisit)

Sida 4 (9) 3.3 Klassificering med hänsyn till övrigt skydd Information som överlämnas till e-arkiv Stockholm klassificeras i någon av följande klasser med hänsyn till övrigt skydd. Med klassificeringen övrigt skydd kan Stadsarkivet undanta information från publicering på grund av upphovsrätt, etiska avvägningar och tekniska begränsningar. Orsak till övrigt skydd ska anges via fördefinierade val eller via fritext. 0 Inget skydd 10 Visa endas förekomst 20 Visa ej förekomst 4. Så klassar du informationen 4.1 Inga personuppgifter Denna klassificering sätts på information som inte innehåller personuppgifter. Med personuppgift menas information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte sekretess eller övrigt skydd föreligger. - Ritningar och annan teknisk dokumentation utan noteringar om personnamn såsom arkitekt eller handläggare - Ritningar och annan teknisk dokumentation som är minst 80 år gammal - Foton som inte avbildar personer - Foton som är över 100 år gamla - Budget och Årsredovisning för Stockholms stad - Fartygsanlöp - Rapporter och statistik över förmedlade lägenheter 4.2 Harmlösa publicerbara personuppgifter Denna klassificering sätts på information som bedöms harmlös och som kan publiceras, sökas och spridas via internet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte sekretess eller övrigt skydd föreligger, på samma sätt som den information som klassificerats med inga personuppgifter. - Namn, arbetstelefon till tjänsteman/handläggare - Namn, arbetstelefon till förtroendevald - Namn på tjänsteman på annan myndighet - Namn på person i egenskap av representant för organisation eller företag

Sida 5 (9) - Förfrågningar/ärenden rörande privatperson som bara innehåller harmlösa uppgifter om egna personliga förhållanden t ex: o Förfrågan om öppettider o Fråga om skolupptagningsområde utifrån hemadress 4.3 Känsliga ej publicerbara personuppgifter Denna klassificering sätts på information som bedöms innehålla integritetskänsliga personuppgifter och där publicering på internet är oskälig i förhållande till den registrerades rätt till skydd av sina personuppgifter. De handlingar som klassas som ej publicerbara på internet är handlingar som innehåller: Personnummer, till exempel: - Skolbetyg - Klasslistor - Anställningsavtal Känsliga uppgifter enligt GDPR artikel 9. Känsliga uppgifter är uppgifter om: - Ras eller etniskt ursprung - Politiska åsikter - Religiös eller filosofisk övertygelse - Medlemskap i fackförening - Genetiska och biometriska uppgifter för identifiering - Uppgifter om hälsa och sexualitet (sexualliv, sexuell läggning) Vissa uppgifter om hälsa kan t ex finnas i - Sjukintyg - Rehabiliteringsärenden Andra uppgifter som innebär kränkning av den personliga integriteten: Denna punkt omfattar uppgifter där det bedöms att risken för en kränkning av personlig integritet väger tyngre än intresset av att informationen publiceras och görs tillgänglig via internet. Bedömning och gränsdragning måste göras från fall till fall. Nedanstående exempel ska tjäna som vägledning vid bedömningar. - Skadeståndsanspråk från privatpersoner - Avtal med privatpersoner som part - Klagomål från privatpersoner - Klagomål/synpunkter på stadens verksamhet från privatperson där icke harmlösa personliga förhållanden framgår, t ex särskilda behov hos förskolebarn - Uppgifter som pekar ut en person med negativa upplysningar eller värderande omdömen - Tjänsteansökningar

Sida 6 (9) Bra att ha i åtanke är att information i e-arkiv Stockholm kommer att kunna sökas tillsammans med information som levererats från andra förvaltningar och bolag. Har denna klass markerats på ett arkivobjekt kommer endast en begränsad mängd information, så kallad metadata, visas i träfflistan, såvida inte stark sekretess eller övrigt skydd visa ej förekomst föreligger. 4.4 Ingen sekretess Denna klassificering sätts på information som inte begränsas av sekretess och som kan sökas från e-arkiv Stockholm via internet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte känsliga personuppgifter eller övrigt skydd föreligger. 4.5 Svag sekretess rakt skaderekvisit Denna klassificering sätts på information som begränsas av svag sekretess. Har denna klass markerats på ett arkivobjekt kommer endast en begränsad mängd information, så kallad metadata, visas i träfflistan, såvida inte övrigt skydd visa ej förekomst föreligger. Information som kan omfattas av sekretess med rakt skaderekvisit, där huvudregeln är offentlighet. - Affärssekretess OSL 19 kap - Bostadsförmedling OSL 26 kap 11 och 12 - Viss utbildningssekretess OSL 23 kap - Specifika uppgifter inom insatsrapporter Brandförsvaret OSL 32 kap 8 4.6 Stark sekretess omvänt skaderekvisit Denna klassificering sätts på information som begränsas av stark sekretess. Har denna klassificering markerats på ett arkivobjekt ges inget resultat i träfflistan vid sökningar. Begäran om utlämning av information med stark sekretess kan inte göras via e- utan förfrågan ställs till Stadsarkivet via e-post, brev eller telefon. Däremot ges generell information om allt material som förvaras i e-arkivet med upplysning om att enskilda sökningar inte ger träff. Information som kan omfattas av sekretess med omvänt skaderekvisit, där sekretess är huvudregeln. - Socialtjänstakter OSL 26 kap - Elevhälsovårdsjournaler OSL 25 kap - LSS-akter OSL 26 kap - Viss utbildningssekretess OSL 23 kap

Sida 7 (9) 4.7 Inget övrigt skydd Denna klassificering sätts på information som kan publiceras, sökas och spridas via internet. Har denna klassificering markerats på ett arkivobjekt kommer det att visas i sin helhet via publikt sökgränssnitt, såvida inte känsliga personuppgifter eller sekretess föreligger. 4.8 Övrigt skydd visa endast förekomst Denna klassificering sätts på information som inte är lämplig att publiceras, exempelvis på grund av upphovsrätt, etiska skäl eller tekniska hinder (orsak ska anges). Har denna klass markerats på ett arkivobjekt kommer endast en begränsad mängd information, så kallad metadata, visas i träfflistan, såvida inte stark sekretess föreligger. 4.9 Övrigt skydd visa ej förekomst Denna klassificering sätts på information som begränsas av övrigt skydd. Har denna klassificering markerats på ett arkivobjekt ges inget resultat i träfflistan vid sökningar. Begäran om utlämning av information med övrigt skydd visa ej förekomst kan inte göras via e- utan förfrågan ställs till Stadsarkivet via e-post, brev eller telefon. Däremot ges generell information om allt material som förvaras i e-arkivet med upplysning om att enskilda sökningar inte ger träff.

Sida 8 (9) 5. Hur påverkar klassningen publicering? Det är den sammanvägda klassificeringen som styr den slutgiltiga åtkomsten av informationen. 5.1 Publicering med hänsyn till personuppgifter Klass Förklaring Publicering Internet Publicering Stadsarkivet läsesal 0 Inga personuppgifter 10 Harmlösa publicerbara personuppgifter 20 Känsliga ej publicerbara personuppgifter Information om förekomst publiceras. Utlämning kan begäras. Information om förekomst publiceras betyder att bara en begränsad mängd information, så kallad metadata, visas i träfflistan. - Arkivbildare (Engelska skolan, Katarina-Sofia stadsdelsförvaltning) - Original ID (Namn, födelsedatum, diarienummer) - Beskrivning av informationen (Betyg, ansökan, diarieplan) - Datum (Start- och/eller slutdatum för ärende) Träffen/svaret ska ta hänsyn till: - Information om ärendetyp

Sida 9 (9) 5.2 Publicering med hänsyn till sekretess och övrigt skydd Klass Förklaring Publicering Internet Publicering Stadsarkivets läsesal 0 Ingen sekretess Publiceras i sin helhet via e- Publiceras i sin helhet via e- Inget övrigt skydd 10 Svag sekretess rakt skaderekvisit Övrigt skydd visa endast förekomst 20 Stark sekretess omvänt skaderekvisit Uppgiften har prövats Övrigt skydd visa ej förekomst Information om förekomst publiceras. Utlämning kan begäras. Publiceras inte Information om förekomst publiceras. Utlämning kan begäras. Publiceras inte Information om förekomst publiceras betyder att bara en begränsad mängd information, så kallad metadata, visas i träfflistan. Publiceras inte betyder att inget resultat ges i träfflistan, även om information som matchar sökningen finns i e-arkivet. - Arkivbildare (Engelska skolan, Katarina-Sofia stadsdelsförvaltning) - Original ID (Namn, födelsedatum, diarienummer) - Beskrivning av informationen (Betyg, ansökan, diarieplan) - Datum (Start- och/eller slutdatum för ärende) Träffen/svaret ska ta hänsyn till: - Information om ärendetyp 6. Versionshantering Version Kommentar Ansvarig Datum 1.0 Slutversion CJ/JE 2010-02-19 2.0 Reviderad och fastställd i styrgrupp CJ 2016-03-17 3.0 Reviderad i samband med EU:s nya dataskyddsförordning (GDPR) och dataskyddslagen (SFS 2018:218) CJ 2018-05-24