Handlingsplan för persondataskydd

Relevanta dokument
Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Policy för behandling av personuppgifter

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Riktlinjer för personuppgiftshantering

Lindesbergs kommuns arbete med dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Information om dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

DATASKYDD (GDPR) Del 2: Förvaltningsledning

INFORMATIONSSÄKERHET OCH DATASKYDD

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

EU:s dataskyddsförordning

Riktlinjer för intern kontroll

Riktlinjer för dataskydd

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

EU:s allmänna dataskyddsförordning:

Anvisningar för behandling av personuppgifter

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

GDPR. Dataskyddsförordningen

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

Riktlinjer för hantering av personuppgifter

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Information till personuppgiftsansvarig om dataskyddsombud

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

GDPR NYA DATASKYDDSFÖRORDNINGEN

Regler för behandling av personuppgifter vid Högskolan Dalarna

GDPR och hantering av personuppgifter

Information om behandling av personuppgifter

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Policy för behandling av personuppgifter

Dataskyddsförordningen

Dataskyddsförordningen

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Denna policy skapades av och för organisationens behandling av personuppgifter.

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

En guide om GDPR och vad du behöver tänka på

Riktlinjer för hantering av personuppgifter

GDPR Presentation Agenda

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Översikt av GDPR och förberedelser inför 25/5-2018

Ett eller flera dataskyddsombud?

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Södertörns brandförsvarsförbund

Kerstin Wardman, 25 april 2018

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Anmälan av personuppgiftsincident

GDPR- Seminarium 2017

GDPR UTBILDNINGSDAG SKKF

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Anmälan av personuppgiftsincident

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

GDPR. General Data Protection Regulation. dataskyddsförordningen

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Personuppgiftsbehandling Dataskydd

Informationssäkerhetspolicy för Ånge kommun

PERSONUPPGIFTS- BITRÄDESAVTAL

Lathund Dataskydd för krögare

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Riktlinjer för hantering av personuppgifter

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR viktiga nyheter jämfört med PuL

Dataskyddsförordningen (DSF/GDPR)

Öfn 127 Redovisning av statistik från kansliet

WHITE PAPER. Dataskyddsförordningen

PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR

Riktlinje för behandling av personuppgifter

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Skolan och Dataskyddsförordningen

Behandling av personuppgifter GDPR. Ny dataskyddsförordning

Transkript:

Kommunledningskontoret Handlingsplan för persondataskydd Dokumentansvarig: Anders Lindqvist, Verksamhetsutvecklare Fastställd av: Kommunstyrelsen, Dnr KS 18/226 Omfattar: Koncernen Ånge kommun Fastställd när: 2018-09-04, 159 Revideras: Löpande efter beslut av kommunchef Postadress Besöksadress Webb Telefon Bankgiro Organisationsnummer 841 81 Ånge Torggatan 10 www.ange.se 0690-250 100 5274-3994 212000-2387

2 (11) Ånge kommuns dokumentstruktur: Politiska styrdokument: Reglemente Styrdokument tjänstemannanivå: Strategi Mål och prioriteringar, ekonomisk plan (Budgetdokumentet) Policy Plan, handlingsplan, åtgärdsplan Politiska riktlinjer Plan, handlingsplan, åtgärdsplan Riktlinjer Rutiner Regler Instruktioner

3 (11) Innehåll fortsatt arbete och uppföljning... 1 Behandling av personuppgifter... 4 Uppföljning och rapportering... 4 Bilagor... 4 1 Information och utbildning... 5 2 Behandlingar av personuppgifter... 5 3 Organisation och roller... 7 4 De registrerades rättigheter... 8 5 Personuppgiftsincidenter... 9 6 Särskilda integritetsrisker... 9 7 Skydd för personuppgifter i IT-system... 10 8 Avtal med personuppgiftsbiträden... 11 BILAGA 1... 11

4 (11) Behandling av personuppgifter Sedan den 25 maj 2018 gäller Dataskyddsförordningen, GDPR, (General Data Protection Regulation) i hela EU. Genom dataskyddsförordningen utökas och förtydligas den personuppgiftsansvariges ansvar och skyldigheter och de registrerades rättigheter stärks. Ånge kommun behandlar personuppgifter för att kunna fullgöra sina skyldigheter och åtaganden mot medborgare, fastighetsägare, näringsidkare och myndigheter. Varje nämnd och styrelse i kommunen är personuppgiftsansvarig och därmed ansvarig för behandlingen av personuppgifter inom sitt verksamhetsområde. Under 2017 och 2018 har kommunens förvaltningar genomfört ett arbete med förberedelser inför den nya dataskyddslagstiftningen. Detta arbete behöver slutföras och övergå i att säkerställa verksamheternas efterlevnad av gällande lagstiftning genom internkontroll och granskning. Uppföljning och rapportering Handlingsplanen är uppbyggd med information kring åtta insatsområden med aktiviteter som behöver genomföras. Flera av aktiviteterna i planen är redan helt eller delvis slutförda men finns med för att tydliggöra kraven på anpassningar. Respektive förvaltningschef och VD i bolagen ansvarar, med stöd av verksamhetschefer och enhetschefer, för att aktiviteterna i handlingsplanen följs upp och rapporteras till personuppgiftsansvariga och till dataskyddsombudet. Till handlingsplanen finns en checklista som underlättar för förvaltningarna att dokumentera och rapportera status för de aktiviteter som genomförs. Bilagor Bilaga 1 Checklista dataskydd - för uppföljning och rapportering

5 (11) 1 Information och utbildning Beslutsfattare och nyckelpersoner inom organisationen ska vara medvetna om de krav som dataskyddslagstiftningen ställer på behandlingen av personuppgifter. De ska även vara medvetna om hur kommunens verksamhet påverkas och inom vilka områden det behöver genomföras åtgärder och anpassningar. Information ska lämnas till alla anställda och utbildning ska genomföras för utifrån roll och behov i verksamheten, exempelvis ledare, handläggare, systemägare och kontaktpersoner för persondataskydd. Gemensamma dokument med riktlinjer, rutiner och vägledningar finns samlade på intranätet Insidan under Ledning & Styrning/ Behandling av personuppgifter. En bred extern information om kommunens behandling av personuppgifter finns på webbplatsen www.ange.se/personuppgifter INFORMATION OM PERSONDATA- SKYDD PÅ INTRANÄTET svarar för gemensam information, respektive förvaltning svarar för information som riktar sig enbart till den egna verksamheten. FINNS DET BEHOV AV KOMMUNIKATIONSPLAN INOM FÖRVALTNINGEN? Ansvarig: Förvaltningschef, VD INFORMERA OCH UTBILDA INTERNT OM PERSONDATASKYDD OCH DATASKYDDSFÖRORDNINGEN Ansvarig: Förvaltningschef och VD i samråd med Dataskyddsombudet. UTBILDA KONTAKTPERSONER FÖR DATASKYDD Ansvarig: Förvaltningschef och VD ansvarar för att de personer som behöver specialkunskap inom dataskydd får den utbildning som behövs. 2 Behandlingar av personuppgifter Alla förvaltningar har under 2017 och 2018 inventerat de personuppgifter som hanteras och sedan registrerat dessa i systemet Draftit Förteckning. Därefter ska en s k GAP-analys genomföras med förslag till åtgärder.

6 (11) Personuppgiftsansvariga ska löpande se över samtliga behandlingar av personuppgifter så att de är förenliga med dataskyddsförordningen. Information ska lämnas till de registrerade och stöd och vägledning till anställda i olika verksamheter måste tas fram. Rutiner för hur personuppgifter får hanteras ska uppdateras och inkludera hur de samlas in samt till vem de lämnas ut. I detta ingår även hanteringen av förändringar av personuppgifter i nya och befintliga system. Förteckningen ska på begäran visas dels för dataskyddsombudet, dels för tillsynsmyndigheten Datainspektionen. I tidigare lagstiftning fanns den s.k. missbruksregeln som upphörde i och med den nya Dataskyddsförordningen. Regeln omfattade ostrukturerat material som exempelvis personuppgifter i löpande text i e-post och i dokument samt på kommunens hemsida, intranät eller i annan löpande text. Det är viktigt att se över behandlingarna av personuppgifter i ostrukturerat material för att se om de är förenliga med dataskyddsförordningen. SYSTEMSTÖD FÖR FÖRTECKNING AV BEHANDLINGAR KARTLÄGG ANVÄNDNING AV TIDIGARE MISSBRUKSREGELN Ansvarig: Verksamhetschef, enhetschef UPPDATERA RUTINER FÖR BEHANDLINGAR AV PERSONUPPGIFTER för gemensamma rutiner samt respektive förvaltning för de rutiner som rör den egna verksamheten. KARTLÄGG OCH REGISTRERA ALLA BEHANDLINGAR Ansvarig: Verksamhetschef, enhetschef GENOMFÖR GAP-ANALYS MED FÖRSLAG TILL ÅTGÄRDER Ansvarig: Verksamhetschef, enhetschef BEHOV AV KRYPTERAD E-POST generellt och i övrigt på beställning av respektive förvaltning.

7 (11) BEHOV AV SÄKER KOMMUNIKATION MELLAN MYNDIGHETER generellt och i övrigt på beställning av respektive förvaltning. UPPDATERA RUTINER FÖR GALLRING OCH BEVARANDE Ansvarig: Varje förvaltning behöver uppdatera rutiner för gallring och bevarande som ska fastställas av personuppgiftsansvarig. LÖPANDE UPPDATERING AV REGISTERFÖRTECKNING Ansvarig: Sekreterarna för varje nämnd/styrelse i kommun och bolag förvaltar den registerförteckning som upprättats av förvaltningen. Men det är förvaltningarna som ska uppdatera förteckningen löpande. 3 Organisation och roller Varje nämnd och styrelse samt bolagsstyrelse är personuppgiftsansvarig för all behandling av personuppgifter inom sitt ansvarsområde, förvaltning och verksamheter. De är även ansvariga för konsekvenser vid incidenter eller brott mot lagen och detta ansvar går inte att delegera. Det praktiska ansvaret för att genomföra anpassningen till den nya lagstiftningen inom varje förvaltning följer linjen från förvaltningschef fram till varje anställd. På intranätet finns en vägledning Vem ansvarar för vad? som har tagits fram för att ytterligare förtydliga olika roller i organisationen. Dataskyddsförordningen ställer krav på att det ska finnas ett dataskyddsombud i offentliga myndigheter. Den person som utses ska ha tillräcklig kunskap om dataskydd och få det stöd och befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. Varje nämnd och styrelse i kommunen är personuppgiftsansvarig och behöver därför utse ett dataskyddsombud och rapportera in vem som valts till Datainspektionen. Dataskyddsombudets uppdrag är att informera och ge råd, se till efterlevnad av förordningen, ge råd vid konsekvensbedömningar avseende dataskydd och övervaka genomförandet. Personen ska samarbeta med och fungera som en kontaktpunkt med tillsynsmyndigheten. Det nätverk med kontaktpersoner för dataskydd som utsetts av förvaltningar och bolag under arbetet med att införa dataskyddsförordningen, ska fortsätta sitt arbete med persondataskydd och informationssäkerhet under ledning av kommunledningskontoret.

8 (11) Organisationen för arbetet med informationssäkerhet berörs inte i denna handlingsplan, men behöver samordnas i den del som avser nätverket med kontaktpersoner för dataskydd. Kommunchefen får i uppdrag att tydliggöra nätverkets uppdrag. UTSE DATASKYDDSOMBUD OCH ANMÄLA DET TILL DI Ansvarig: Personuppgiftsansvarig SÄKERSTÄLL ATT AKTIVA SYSTEMÄGARE ÄR UTSEDDA Ansvarig: Förvaltningschef, VD FÖRVALTNINGENS ORGANISATION FÖR DATASKYDD Ansvarig: Förvaltningschef, VD UTSE KONTAKTPERSON/ER FÖR DATASKYDD INOM FÖRVALTNINGEN Ansvarig: Förvaltningschef, VD 4 De registrerades rättigheter Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat ska information lämnas om den rättsliga grunden för behandling, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten. Det är viktigt att informationen är kortfattad, lättbegriplig och utformad på ett tydligt och enkelt språk. Vid registreringen av behandlingar av personuppgifter säkerställs även om rättigheterna kan uppfyllas. Olika rutiner för att hantera de registrerades rättigheter behöver tas fram och information om de registrerades rättigheter ska publiceras på webbsidan. INFORMATION PÅ KOMMUNENS WEBBPLATS (extern) (generell information), respektive förvaltning (övrig specifik information) RUTIN FÖR HANTERING AV BEGÄRAN OM REGISTERUTDRAG INNEHÅLL I INFORMATION I E- TJÄNSTER OCH BLANKETTER Ansvarig: Verksamhetschefer, Enhetschefer BLANKETTER OCH E-TJÄNST FÖR BEGÄRAN AV REGISTERUTDRAG MALL FÖR INFORMATION I E- TJÄNSTER OCH BLANKETTER ÖVRIGA RUTINER FÖR INFORMATION Ansvarig: Verksamhetschefer, Enhetschefer

9 (11) RUTINER FÖR ATT SÄKERSTÄLLA DE REGISTRERADES RÄTTIGHETER I ÖVRIGT Ansvarig: Förvaltningschef, VD, Verksamhetschefer, Enhetschefer 5 Personuppgiftsincidenter En personuppgiftsincident är en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas av en verksamhet. Det kan också vara fråga om en händelse som leder till obehörig åtkomst till de behandlade personuppgifterna, exempelvis att en obehörig part fått ta del av personuppgifter. Det kan exempelvis handla om identitetsstöld, brott mot sekretess, fysisk skada, finansiell förlust, skadlig ryktesspridning, diskriminering, brott mot sekretess eller tystnadsplikt. Alla personuppgiftsincidenter måste dokumenteras och om händelsen medför risker för enskildas fri- och rättigheter ska den anmälas till Datainspektionen inom 72 timmar efter att den personuppgiftsansvariga blivit varse incidenten. En rutin för att anmäla och utreda personuppgiftsincidenter har tagits fram, där det även framgår när och hur de registrerade behöver informeras. RUTIN FÖR ANMÄLAN AV PERSONUPPGIFTSINCIDENT 6 Särskilda integritetsrisker Dataskyddsförordningen ställer särskilda krav på behandlingen av personuppgifter som kan medföra stora integritetsrisker för enskilda. Riskfyllda behandlingar kan till exempel vara storskaliga register som innehåller känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats. Barn vars personuppgifter behandlas får ett starkare skydd och det är därför viktigt att verksamheterna vet vilka personuppgifter som behandlas, att de behandlas på ett korrekt sätt, med en genomtänkt och medveten laglig grund.

10 (11) Finns det särskilda risker behöver en konsekvensbedömning göras avseende dataskydd, för att veta hur behandlingarna ska hanteras och om eventuella åtgärder behöver göras eller om särskilt samråd med tillsynsmyndigheten krävs. KARTLÄGG OCH DOKUMENTERA INTEGRITETSRISKER Ansvarig: Verksamhetschef, enhetschef UPPDATERA RUTIN FÖR KONSEKVENSBEDÖMNING 7 Skydd för personuppgifter i IT-system Dataskyddsförordningen ställer krav på att dataskydd ska byggas in i ITsystemen genom lämpliga åtgärder, både organisatoriska och tekniska. Dessa krav ska finnas med i upphandling av både utveckling och inköp av nya IT-system och vid förändringar i befintliga system. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar information längre än nödvändigt, inte använda uppgifterna till något annat än vad som var syftet när de samlades in och att ha adekvata behörighetsstyrningar. Berörda nyckelpersoner inom ledning, upphandling och IT-service ska utifrån sina roller informeras om dataskyddsförordningens krav på ITsystemen, exempelvis vid användning, i samband med upphandling och vid teknisk drift. INFORMERA OCH UTBILDA ANVÄNDARE AV IT-SYSTEM Ansvarig: Systemägaren KLASSNING AV INFORMATION I IT-SYSTEM UTIFRÅN KRAV PÅ SÄKERHETSNIVÅ OCH SKYDD AV PERSONDATA Ansvarig: Informationsägaren (kan vara annan än systemägaren) KONTAKTA LEVERANTÖRER AV IT-SYSTEM FÖR KONTROLL AV SKYDD Ansvarig: Systemägaren SÄKERSTÄLL ATT BEFINTLIGA OCH NYA IT-SYSTEM ANPASSAS ENLIGT LAGSTIFTNINGEN FÖR DATASKYDD Ansvarig: Systemägaren

11 (11) 8 Avtal med personuppgiftsbiträden Personuppgiftsansvarig (nämnd/styrelse) ansvarar för att bestämma ändamålen och medlen för behandling av personuppgifter. Det innebär också ansvar för att det finns avtal med personuppgiftsbiträden som behandlar personuppgifter för den personuppgiftsansvariges räkning. Rent praktiskt ansvarar systemägaren för att avtalet upprättas. Ett avtal om personuppgiftsbiträde ska upprättas när verksamheten har lagt ut behandling av personuppgifter på en extern leverantör, exempelvis köper någon form av IT-stöd eller tjänst som molntjänst där personuppgifter behandlas. I avtalet ska det bland annat anges eventuella underbiträden och det ska finnas instruktioner om hur personuppgifterna får behandlas. Avtalet ska undertecknas av den personuppgiftsansvarige; av ordförande i nämnd/ styrelse och/eller av förvaltningschefen, beroende på hur reglemente och delegering är utformat. MALL FÖR BITRÄDESAVTAL (PUB) SÄKERSTÄLLA ATT BITRÄDESAVTAL TECKNAS MED ALLA PERSONUPPGIFTSBITRÄDEN Ansvarig: Systemägaren BILAGA 1 Checklista dataskydd Se separat dokument!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss