Anvisningar för behandling av personuppgifter

Relevanta dokument
Riktlinjer för hantering av personuppgifter

Riktlinjer för hantering av personuppgifter

Riktlinjer för personuppgiftshantering

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Riktlinjer för dataskydd

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Handlingsplan för persondataskydd

Handläggning av personuppgiftsincidenter

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Information till personuppgiftsansvarig om dataskyddsombud

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Instruktion för personuppgiftsbiträdesavtal

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Personuppgiftsbehandling Dataskydd

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Policy för behandling av personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Så behandlar vi dina personuppgifter

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

EU:s allmänna dataskyddsförordning:

Riktlinjer för hantering av personuppgifter

Policy för hantering av personuppgifter

Personuppgiftsinformation för Svedala kommun

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Utseende av dataskyddsombud

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Information om dataskyddsförordningen

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

Policy för integritet vid hantering av personuppgifter

Remiss av förslag till Riktlinjer för hantering av personuppgifter

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Riktlinje för behandling av personuppgifter

Denna dag, har följande policy upprättats för Uppsala Parkerings AB

Ett eller flera dataskyddsombud?

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

inte längre lagras så raderas eller anonymiseras den och kan inte längre användas eller begäras ut.

Regler för behandling av personuppgifter vid Högskolan Dalarna

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PERSONUPPGIFTSPOLICY FÖR MOBILL SCANDINAVIA AB:S TJÄNSTER Version:

GDPR och hantering av personuppgifter

Dataskyddsförordningen (DSF/GDPR)

Bilaga 1a Personuppgiftsbiträdesavtal

Skydd och behandling av personuppgifter, Förvaltnings AB Framtiden

Integritetspolicy, Valvet Förvaltning AB

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

GDPR. Dataskyddsförordningen

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Policy för behandling av personuppgifter

PERSONUPPGIFTSPOLICY

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Lindesbergs kommuns arbete med dataskyddsförordningen

PERSONUPPGIFTSPOLICY. Vi behandlar personuppgifter om följande kategorier av personer: Besökare, dvs. den privatperson som besöker vår webbplats.

PERSONUPPGIFTSBITRÄDESAVTAL

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

Instruktion till mall för registerförteckning

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR NYA DATASKYDDSFÖRORDNINGEN

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Datainspektionen informerar

Kanslichef - Tillsvidare

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

SL:s behandling av personuppgifter

Wingårdhs Personuppgiftspolicy

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Mattias Thorängen. Peter Söderström

Dataskyddsförordningen

Dataskyddsförordningen

Integritetsskyddsinformation företagskund

Svenska Röda Korsets riktlinjer för skydd av personuppgifter. Fastställda av generalsekreteraren

Integritetsskyddsinformation leverantör

Personuppgiftspolicy

ASBRA - Dataskyddspolicy

Personuppgiftsbiträdesavtal

En personuppgift kan enklast beskrivas som en uppgift (information, data) som kan härledas till en enskild person. Syftet med hanteringen av personupp

Svenska Spels information om behandling av personuppgifter avseende Samarbetspartner (se efterföljande rubriceringar)

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Information om behandling av personuppgifter

Transkript:

Anvisningar för behandling av personuppgifter Anvisning Diarienummer: KS2018/0322 Dokumentansvarig: Kommunarkivarie Beslutad av: Förvaltningsledningen Datum för beslut: 2018-03-26 Handläggare: Carl Andersson 1

2

Anvisningar för hantering av personuppgifter Innehåll Inledning och syfte... 4 Nämndernas ansvar... 4 Förvaltningens organisation... 4 Dataskyddsombudets uppgifter... 4 Incidentrapportering... 5 Tjänster, produkter och applikationer som medför behandling av personuppgifter... 5 Särskilt vid inköp och upphandling... 5 Säkerhet i samband med behandlingen... 6 Kontroll över personuppgiftsbehandlingar... 6 Förteckning... 6 Personuppgiftsbiträdesavtal och gemensamt personuppgiftsansvar... 6 Personuppgiftsbiträdesavtal... 6 Avtal vid gemensamt personuppgiftsansvar... 6 Registrerades rättigheter... 7 3

Inledning och syfte Kungälvs kommuns anvisningar för hantering av personuppgifter gäller för kommunens samtliga sektorer och för kommunledningens stab. Anvisningarnas syfte är dels att säkerställa att kommunen hanterar personuppgifter på ett lagenligt sätt men också att visa för allmänhet och anställda att de kan känna sig trygga med att deras personuppgifter hanteras på respektfullt sätt och att inga personuppgifter hanteras i onödan eller riskerar att hamna i orätta händer. Anvisningarna ska tydliggöra vem i organisationen som ansvarar för åtgärder. Anvisningarna är en del av kommunens interna regelverk och utgör inte en utfästelse som riktar sig externt. Förvaltningens ansvar Förvaltningsledningen ska säkerställa att det finns såväl organisatoriska som tekniska förutsättningar inom den egna verksamheten för att uppfylla de krav som ställs på personuppgiftsansvariga i dataskyddsförordningen och säkerställa att verksamheten innehar rätt resurser och relevant kompetens inom området för att kunna följa dataskyddsförordningen, de nationella dataskyddsbestämmelserna samt dessa anvisningar. Förvaltningen ska hålla kontaktuppgifter till dataskyddsombuden uppdaterade på kommunens hemsida. Förvaltningen ska säkerställa att dataskyddsombuden involveras och rådfrågas på ett så tidigt stadium som möjligt när behandling av personuppgifter kan komma ifråga. Förvaltningens organisation av personuppgiftsarbetet Kommunstyrelsens dataskyddsombud bistår och utövar tillsyn på förvaltningens personuppgiftsbehandlingar men ansvarar dock inte för att det vardagliga personuppgiftsarbetet bedrivs. Dataskyddsombudens ansvar är endast rådgivande och tillsynsutövande. Kungälvs kommuns dataskyddsombud utses av nämnderna. Dataskyddsombudets uppgifter Dataskyddsombuden ska redovisa för nämnderna det arbete som förvaltningen genomfört gällande uppfyllanden av reglerna i dessa anvisningar, dataskyddsförordningen och annan lagstiftning på området. Meddela dataskyddsombudens kontaktuppgifter till tillsynsmyndigheten Sammanställa nämndernas årliga rapportering Identifiera förekomsten av generella svårigheter och problem i förvaltningen och presentera förslag till åtgärd för förvaltningsledningen 4

Ge råd i frågor som rör behandling av personuppgifter Vara delaktiga i upphandling av verksamhetssystem vilka skall hantera personuppgifter Årligen redovisa för nämnderna om förvaltningens personuppgiftsarbete Dataskyddsombuden ska regelbundet sammanträda Dataskyddsombudens kontaktpersoner i förvaltningen Systemförvaltare i förvaltningen ska vara dataskyddsombudets kontaktpersoner förvaltningens olika verksamheter. I de verksamheter där det inte finns någon systemförvaltare får enhetschefer och systemadministratörer vara dataskyddsombudens kontaktpersoner. Enheten för Digital Utveckling skall informeras om vilka personer som utsetts till systemadministratörer/systemförvaltare för respektive system/register. Incidentrapportering Det är upp till den person som får kännedom om en incident som ska rapportera incidenten till dataskyddsombudet, som i sin tur rapporterar till personuppgiftsansvarig och vid allvarliga incidenter, till Dataskyddsinspektionen. Då dataskyddsombudet får kännedom om en incident upprättas en incidentrapport. Incidentrapporter lämnas till datainspektionen och personuppgiftsansvarig informeras. Tjänster, produkter och applikationer som medför behandling av personuppgifter För varje tjänst, produkt och applikation som används eller som det finns planer på att använda ska särskilt beaktas om avtalsförhållandet eller användandet av produkten eller applikationen kan komma att medföra behandling av personuppgifter. För det fall personuppgifter kommer att behandlas ska, med hänsyn till den tekniska utvecklingen, säkerställas att det finns tekniska förutsättningar för såväl nämnden som för dess personuppgiftsbiträde att kunna fullgöra sina skyldigheter avseende dataskydd. Särskilt vid inköp och upphandling Vid inköp och upphandlingar (av produkter och tjänster) ska det särskilt utredas om användandet av det som inköpet avser, eller annars som en följd av avtalsrelationen, kan komma att leda till behandling av personuppgifter. Förvaltningen ska ha en rutin för under vilka förutsättningar personuppgiftsombudet ska engageras vid inköp och upphandlingar och när under inköpsprocessen denne bör kontaktas. Enheten för digital utveckling ska vara behjälpliga i upphandlingar av nya IT-system för att säkerställa att det nya systemen uppfyller fullgod teknisk säkerhet. Vid inköp och upphandlingar av produkter och tjänster som kan komma att leda till behandling av personuppgifter ska krav ställas på att all utrustning och mjukvara lever upp till kraven i Dataskyddsförordningen och annan nationell lagstiftning inom dataskyddsområdet. 5

Säkerhet i samband med behandlingen Förvaltningen ska se till att en fullgod säkerhetsnivå upprätthålls vid behandling av personuppgifter. Förvaltningen ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå utifrån de kriterier som anges i dataskyddsförordningen. Vid planeringen av verksamheten ska särskild hänsyn tas till att personuppgifter inte behandlas i högre utsträckning eller under längre tid än vad som är nödvändigt. Anställda som på något sätt kan komma att behandla personuppgifter i sitt arbete ska genomgå utbildning för att säkra att personuppgifter hanteras på ett lagligt och respektfullt sätt. Vid en konsekvensbedömning som ska företas om en behandling kan leda till en hög risk för fysiska personers rättigheter och friheter ska Dataskyddsombuden rådfrågas. Kontroll över personuppgiftsbehandlingar Den personuppgiftsansvarige ansvarar för att pröva lagligheten av de personuppgifter som kan komma att behandlas inom ramen för dess verksamhet. Registerförteckningen Den personuppgiftsansvarige ska löpande föra en förteckning över vilka personuppgifter som behandlas i den egna verksamheteten och rapportera till dataskyddsombuden. Mall för registerförteckning tillhandahålls av dataskyddsombuden. Personuppgiftsbiträdesavtal och gemensamt personuppgiftsansvar Personuppgiftsbiträdesavtal Förvaltningen ska teckna personuppgiftsbiträdesavtal när denne uppdrar åt ett personuppgiftsbiträde att behandla uppgifter. Det är verksamhetschef som ska se till att avtalet tecknas. Personuppgiftbiträdesavtal tecknas av kommundirektören. Förvaltningen ska föra en förteckning över aktuella personuppgiftsbiträdesavtal och därtill hörande underbiträdesavtal. I första hand utgår förvaltningen från den personuppgiftsbiträdesavtalsmall som tagits fram av kommunkansliet. Avtal vid gemensamt personuppgiftsansvar För de fall där det föreligger ett gemensamt personuppgiftsansvar ska förvaltningen tillse att det tecknas ett avtal där de personuppgiftsansvarigas respektive ansvar för att fullgöra 6

skyldigheterna enligt dataskyddsförordningen och andra nationella dataskyddsbestämmelser fastställs. Den personuppgiftsansvarige ska föra en förteckning över aktuella avtal som styr upp gemensamma personuppgiftsansvar. E-posthantering Varje enskild tjänsteman är själv ansvarig för att gallra sin e-post. Varje enskild e-postanvändare riskerar annars att lagra personuppgifter på ett felaktigt sätt. Handlingar skall registreras i enlighet med gällande dokumenthanteringsplan. Övriga handlingar skall gallras. E-post är ingen lagringsyta utan ett sätt att ta emot och skicka handlingar. Registrerades rättigheter Information till de registrerade Förvaltningen ska ha rutiner för hur information ska tillhandahållas till de registrerade. Det är viktigt att kontaktuppgifter till dataskyddsombuden framgår tydligt så att de kan tillgodose den registrerades rättigheter. Tillgång, rättelse, radering och begränsning Förvaltningen ska ha rutiner för hantering av begäranden från registrerade om att utöva sina rättigheter att Få tillgång till information om dennes personuppgifter. Rätta eller komplettera sina uppgifter. Rader sina uppgifter Begränsa sina uppgifter 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss