Anvisningar för behandling av personuppgifter Anvisning Diarienummer: KS2018/0322 Dokumentansvarig: Kommunarkivarie Beslutad av: Förvaltningsledningen Datum för beslut: 2018-03-26 Handläggare: Carl Andersson 1
2
Anvisningar för hantering av personuppgifter Innehåll Inledning och syfte... 4 Nämndernas ansvar... 4 Förvaltningens organisation... 4 Dataskyddsombudets uppgifter... 4 Incidentrapportering... 5 Tjänster, produkter och applikationer som medför behandling av personuppgifter... 5 Särskilt vid inköp och upphandling... 5 Säkerhet i samband med behandlingen... 6 Kontroll över personuppgiftsbehandlingar... 6 Förteckning... 6 Personuppgiftsbiträdesavtal och gemensamt personuppgiftsansvar... 6 Personuppgiftsbiträdesavtal... 6 Avtal vid gemensamt personuppgiftsansvar... 6 Registrerades rättigheter... 7 3
Inledning och syfte Kungälvs kommuns anvisningar för hantering av personuppgifter gäller för kommunens samtliga sektorer och för kommunledningens stab. Anvisningarnas syfte är dels att säkerställa att kommunen hanterar personuppgifter på ett lagenligt sätt men också att visa för allmänhet och anställda att de kan känna sig trygga med att deras personuppgifter hanteras på respektfullt sätt och att inga personuppgifter hanteras i onödan eller riskerar att hamna i orätta händer. Anvisningarna ska tydliggöra vem i organisationen som ansvarar för åtgärder. Anvisningarna är en del av kommunens interna regelverk och utgör inte en utfästelse som riktar sig externt. Förvaltningens ansvar Förvaltningsledningen ska säkerställa att det finns såväl organisatoriska som tekniska förutsättningar inom den egna verksamheten för att uppfylla de krav som ställs på personuppgiftsansvariga i dataskyddsförordningen och säkerställa att verksamheten innehar rätt resurser och relevant kompetens inom området för att kunna följa dataskyddsförordningen, de nationella dataskyddsbestämmelserna samt dessa anvisningar. Förvaltningen ska hålla kontaktuppgifter till dataskyddsombuden uppdaterade på kommunens hemsida. Förvaltningen ska säkerställa att dataskyddsombuden involveras och rådfrågas på ett så tidigt stadium som möjligt när behandling av personuppgifter kan komma ifråga. Förvaltningens organisation av personuppgiftsarbetet Kommunstyrelsens dataskyddsombud bistår och utövar tillsyn på förvaltningens personuppgiftsbehandlingar men ansvarar dock inte för att det vardagliga personuppgiftsarbetet bedrivs. Dataskyddsombudens ansvar är endast rådgivande och tillsynsutövande. Kungälvs kommuns dataskyddsombud utses av nämnderna. Dataskyddsombudets uppgifter Dataskyddsombuden ska redovisa för nämnderna det arbete som förvaltningen genomfört gällande uppfyllanden av reglerna i dessa anvisningar, dataskyddsförordningen och annan lagstiftning på området. Meddela dataskyddsombudens kontaktuppgifter till tillsynsmyndigheten Sammanställa nämndernas årliga rapportering Identifiera förekomsten av generella svårigheter och problem i förvaltningen och presentera förslag till åtgärd för förvaltningsledningen 4
Ge råd i frågor som rör behandling av personuppgifter Vara delaktiga i upphandling av verksamhetssystem vilka skall hantera personuppgifter Årligen redovisa för nämnderna om förvaltningens personuppgiftsarbete Dataskyddsombuden ska regelbundet sammanträda Dataskyddsombudens kontaktpersoner i förvaltningen Systemförvaltare i förvaltningen ska vara dataskyddsombudets kontaktpersoner förvaltningens olika verksamheter. I de verksamheter där det inte finns någon systemförvaltare får enhetschefer och systemadministratörer vara dataskyddsombudens kontaktpersoner. Enheten för Digital Utveckling skall informeras om vilka personer som utsetts till systemadministratörer/systemförvaltare för respektive system/register. Incidentrapportering Det är upp till den person som får kännedom om en incident som ska rapportera incidenten till dataskyddsombudet, som i sin tur rapporterar till personuppgiftsansvarig och vid allvarliga incidenter, till Dataskyddsinspektionen. Då dataskyddsombudet får kännedom om en incident upprättas en incidentrapport. Incidentrapporter lämnas till datainspektionen och personuppgiftsansvarig informeras. Tjänster, produkter och applikationer som medför behandling av personuppgifter För varje tjänst, produkt och applikation som används eller som det finns planer på att använda ska särskilt beaktas om avtalsförhållandet eller användandet av produkten eller applikationen kan komma att medföra behandling av personuppgifter. För det fall personuppgifter kommer att behandlas ska, med hänsyn till den tekniska utvecklingen, säkerställas att det finns tekniska förutsättningar för såväl nämnden som för dess personuppgiftsbiträde att kunna fullgöra sina skyldigheter avseende dataskydd. Särskilt vid inköp och upphandling Vid inköp och upphandlingar (av produkter och tjänster) ska det särskilt utredas om användandet av det som inköpet avser, eller annars som en följd av avtalsrelationen, kan komma att leda till behandling av personuppgifter. Förvaltningen ska ha en rutin för under vilka förutsättningar personuppgiftsombudet ska engageras vid inköp och upphandlingar och när under inköpsprocessen denne bör kontaktas. Enheten för digital utveckling ska vara behjälpliga i upphandlingar av nya IT-system för att säkerställa att det nya systemen uppfyller fullgod teknisk säkerhet. Vid inköp och upphandlingar av produkter och tjänster som kan komma att leda till behandling av personuppgifter ska krav ställas på att all utrustning och mjukvara lever upp till kraven i Dataskyddsförordningen och annan nationell lagstiftning inom dataskyddsområdet. 5
Säkerhet i samband med behandlingen Förvaltningen ska se till att en fullgod säkerhetsnivå upprätthålls vid behandling av personuppgifter. Förvaltningen ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå utifrån de kriterier som anges i dataskyddsförordningen. Vid planeringen av verksamheten ska särskild hänsyn tas till att personuppgifter inte behandlas i högre utsträckning eller under längre tid än vad som är nödvändigt. Anställda som på något sätt kan komma att behandla personuppgifter i sitt arbete ska genomgå utbildning för att säkra att personuppgifter hanteras på ett lagligt och respektfullt sätt. Vid en konsekvensbedömning som ska företas om en behandling kan leda till en hög risk för fysiska personers rättigheter och friheter ska Dataskyddsombuden rådfrågas. Kontroll över personuppgiftsbehandlingar Den personuppgiftsansvarige ansvarar för att pröva lagligheten av de personuppgifter som kan komma att behandlas inom ramen för dess verksamhet. Registerförteckningen Den personuppgiftsansvarige ska löpande föra en förteckning över vilka personuppgifter som behandlas i den egna verksamheteten och rapportera till dataskyddsombuden. Mall för registerförteckning tillhandahålls av dataskyddsombuden. Personuppgiftsbiträdesavtal och gemensamt personuppgiftsansvar Personuppgiftsbiträdesavtal Förvaltningen ska teckna personuppgiftsbiträdesavtal när denne uppdrar åt ett personuppgiftsbiträde att behandla uppgifter. Det är verksamhetschef som ska se till att avtalet tecknas. Personuppgiftbiträdesavtal tecknas av kommundirektören. Förvaltningen ska föra en förteckning över aktuella personuppgiftsbiträdesavtal och därtill hörande underbiträdesavtal. I första hand utgår förvaltningen från den personuppgiftsbiträdesavtalsmall som tagits fram av kommunkansliet. Avtal vid gemensamt personuppgiftsansvar För de fall där det föreligger ett gemensamt personuppgiftsansvar ska förvaltningen tillse att det tecknas ett avtal där de personuppgiftsansvarigas respektive ansvar för att fullgöra 6
skyldigheterna enligt dataskyddsförordningen och andra nationella dataskyddsbestämmelser fastställs. Den personuppgiftsansvarige ska föra en förteckning över aktuella avtal som styr upp gemensamma personuppgiftsansvar. E-posthantering Varje enskild tjänsteman är själv ansvarig för att gallra sin e-post. Varje enskild e-postanvändare riskerar annars att lagra personuppgifter på ett felaktigt sätt. Handlingar skall registreras i enlighet med gällande dokumenthanteringsplan. Övriga handlingar skall gallras. E-post är ingen lagringsyta utan ett sätt att ta emot och skicka handlingar. Registrerades rättigheter Information till de registrerade Förvaltningen ska ha rutiner för hur information ska tillhandahållas till de registrerade. Det är viktigt att kontaktuppgifter till dataskyddsombuden framgår tydligt så att de kan tillgodose den registrerades rättigheter. Tillgång, rättelse, radering och begränsning Förvaltningen ska ha rutiner för hantering av begäranden från registrerade om att utöva sina rättigheter att Få tillgång till information om dennes personuppgifter. Rätta eller komplettera sina uppgifter. Rader sina uppgifter Begränsa sina uppgifter 7