ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)



Relevanta dokument
Granskning av landstingets hantering av personuppgifter

PERSONUPPGIFTSLAGEN (PUL)

Policy för hantering av personuppgifter

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Personuppgiftsbehandling i forskning

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsombudet

Kanslichef - Tillsvidare

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Granskningar avseende Upphandling och Personuppgiftslagen

Riktlinjer för hantering av personuppgifter

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Regler för behandling av personuppgifter vid Högskolan Dalarna

Personuppgiftsbehandling för forskningsändamål

Dataskyddsförordningen

Personuppgiftslagen konsekvenser för mitt företag

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Riktlinjer för webbpublicering enligt PuL

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för behandling av personuppgifter

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Lathund Personuppgiftslagen (PuL)

Personuppgiftslagen (PuL) - En kort introduktion

Personuppgifter. Behandling av personuppgifter

Information om personuppgiftslagens tillämpning i Riksbanken

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Svensk författningssamling

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Svensk författningssamling

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Dataskyddsförordningen

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Integritet och behandling av personuppgifter

Riktlinjer för att tillvarata enskildas rättigheter

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Så behandlar vi dina personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Riktlinjer för personuppgiftshantering

Personuppgiftslagen PUL

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Instruktion till mall för registerförteckning

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

PuL och GDPR en översiktlig genomgång

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Tegehalls revisionsbyrå och dataskyddsförordningen

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Integritet och behandling av personuppgifter

Dataskyddsförordningen

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Riktlinjer för dataskydd

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

GDPR NYA DATASKYDDSFÖRORDNINGEN

Behandling av personuppgifter - Maskinentreprenörerna

Vi vill därför genom denna integritetspolicy informera dig om hur Svenska Detra hanterar dina personuppgifter och vilka rättigheter du har.

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Dataskyddsförordningen, GDPR

PERSONUPPGIFTSBITRÄDESAVTAL

SKARPNÄCKS STADSDELSFÖRVALTNING

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

För att tillvarata medlemmarnas enskildas rättigheter

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

LRF Konsult AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Instruktion för att tillvarata enskildas rättigheter

Transkript:

För kännedom Landstingsstyrelsen Landstingsjurist Per Blomberg Landstingsdirektör tf, Helena Söderquist ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL) Enligt revisionsplanen genomförs, på uppdrag av de förtroendevalda revisorerna, en granskning av hur landstinget har organiserat ansvar och roller i sin hantering av personuppgifter enligt PuL, vilka rutiner som finns samt hur landstinget säkerställer att rutinerna följs. SAMMANFATTNING PuL innehåller regler för hur personuppgifter ska behandlas och gäller all behandling av personuppgifter. I Landstinget Sörmland är varje nämnd personuppgiftsansvarig inom sitt verksamhetsområde och ansvarig för att PuLs bestämmelser efterlevs. De flesta personuppgiftsansvariga har utsett ett personuppgiftsombud, som ska se till att den personuppgiftsansvarig behandlar personuppgifter på ett lagligt och korrekt sätt. Vår bedömning efter genomförd granskning är att i allt väsentligt har landstinget organiserat ansvar och roller i sin hantering av personuppgifter på ett tillfredställande sätt. Däremot säkerställs det inte att alla rutiner följs. Vissa rutiner behöver ses över samt kompletteras och dokumenteras för att säkerställa att PuL efterlevs. Vi vill efter genomförd granskning peka på nedanstående punkter för att stärka hanteringen och den interna kontrollen i processerna. o I landstingets ledningssystem bör finnas specificerade riktlinjer och detaljerade regler för personuppgiftshanteringen samt definierade roller, funktioner och deras ansvar. Riktlinjerna bör beslutas av landstingsstyrelsen. o Rutiner för bedömning av de grundläggande kraven på behandling av personuppgifter behöver säkerställas för alla behandlingar och bedömningen bör göras innan behandlingen av personuppgifter sker. o Landstinget behöver reda ut ansvarsfördelningen för landstingsägda bolags register och vilka eventuella praktiska förändringar som behöver göras. o Rutiner för att säkerställa avtalsskrivning med personuppgiftsbiträde bör ses över. Landstinget Sörmland Repslagaregatan 19 611 88 Nyköping Fax 0155-28 91 15 Tfn 0155-24 50 00 E-post landstinget.sormland@dll.se SID 1(11)

o Personuppgiftsombudet bör initiera interna kontroller över de behandlingar som görs i landstinget för att kunna bedöma om behandlingen är korrekt samt för att kunna förbättra hantering av personuppgifter. o Det är viktigt att säkerställa rutiner för att all behandling ska förtecknas utifrån personuppgiftsombudets skyldighet att föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför. o Landstinget bör se över rutinerna för att lämna information självmant till den registrerade. Revisionen ser positivt på det arbete som inletts för att uppdatera landstingets förteckning över register/system som innehåller personuppgifter. Uppdaterat register, där de grundläggande kraven har bedömts, är en av grundförutsättningarna för att säkerställa korrekt hantering av personuppgifter. Vi rekommenderar att skriftliga rutiner för att hålla registret uppdaterat tas fram. SYFTE, METOD OCH AVGRÄNSNING Att landstinget behandlar personuppgifter korrekt är viktigt ur olika aspekter, inte minst ur den registrerades perspektiv. Därför har revisorerna beslutat om att genomföra en övergripande granskning av förutsättningar för en korrekt hantering. Granskningen har genomförts genom dokumentstudier samt intervjuer med den av landstingets jurister som utsetts till personuppgiftsombud och PuL samordnare. De intervjuade personerna har getts möjlighet att faktagranska rapporten. Synpunkterna har beaktats i denna rapport. Granskningen har skett under perioden mars maj 2012. Granskningen avser inte hantering av patientjournaler där Patientdatalagen gäller. Granskningen avser inte heller hantering av personuppgifter när det gäller forskning och statistik där behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. SID 2(11)

BAKGRUND Personuppgiftslagen 1 syftar till att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Med personuppgifter avses all sorts information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn och personnummer. Varje åtgärd som vidtas med personuppgifter t.ex. insamling, registrering, lagring, bearbetning och spridning innebär en behandling av personuppgifter. Lagen grundas på gemensamma regler som har beslutats inom EU och övriga EU-länder har liknande skyddslagar. PuL innehåller krav som ställs på all behandling av personuppgifter, om säkerhet och rättelse av felaktiga uppgifter. Lagen innehåller också regler om i vilka situationer behandlingen är tillåten. Reglering grundas i hög grad på samtycke och information till de registrerade. Särregler i annan lagstiftning tar över bestämmelserna i PuL exempelvis lagar om hur personuppgifter ska behandlas inom hälso- och sjukvården. PuL gäller inte för privat behandling av personuppgifter. Personuppgiftsansvaret är straff- och skadeståndssanktionerat. Generellt gäller lagen för behandling av personuppgifter i hela samhället, dvs. för verksamhet som bedrivs av både myndigheter som enskilda. Datainspektionen (DI) 2 är tillsynsmyndighet och i PuL finns bestämmelser om vilka befogenheter DI har för sin tillsyn. ROLLER OCH ANSVAR Personuppgiftsansvarig Enligt PuL är personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. Detta innebär att personuppgiftsansvarig oftast är den juridiska person (exempelvis aktiebolag) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas samt vad de ska användas till. Vem som är personuppgiftsansvarig kan också regleras i lag eller förordning. I landstinget är personuppgiftsansvarig respektive nämnd, dvs. den myndighet som behandlar personuppgifter i sin verksamhet. Detta framgår 1 SFS 1998:204, www.riksdagen.se 2 mer information om PuL, se www.datainspektionen.se SID 3(11)

tydligt av de flesta nämnders delegationsordningar. Förvaltningen fullgör personuppgiftsansvariges uppgifter. Ofta är det verksamheterna som bestämmer ändamålen med och medlen för behandling. Vi har inte kunnat finna fastställda riktlinjer avseende tillämpning av PuL där principer för hanteringen, roller och ansvar och funktioner fastställs. Vi anser att landstinget behöver definiera roller och ansvar för PuL i ledningssystemet. PuL innehåller regler för hur personuppgifter ska behandlas i olika sammanhang och gäller all behandling av personuppgifter. Det är viktigt att landstinget har landstingsövergripande rutiner för att säkerställa att PuL efterlevs. Dessutom bör övrig anknytande lagstiftning som reglerar behandling av personuppgifter, exempelvis Patientdatalagen, tas hänsyn till och kopplas ihop. Utöver det regelverk som finns i lagstiftningen behövs mer specificerade riktlinjer inom landstinget vilka bör fastställas av landstingsstyrelsen. Enligt PuL ska den personuppgiftsansvarige se till att behandling av personuppgifter uppfyller grundläggande krav på behandling. De grundläggande kraven på behandling 3 är bland annat att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen och att personuppgifter behandlas bara om det är lagligt. I landstinget gör personuppgiftsombudet bedömningen mot de grundläggande kraven på behandlingen för landstingets verksamheter. Prövningen avser bland annat lagligheten i behandlingen, ändamålet och om det finns liknande register redan. Personuppgiftsombudet gör prövningen i flesta fall i samband när anmälan om en ny personuppgiftsbehandling kommer från verksamheten. Skriftliga rutiner finns för att anmäla, avanmäla eller ändra ett register i epub, som innehåller landstingets förteckning över behandling av personuppgifter vilka genomförs med IT-stöd. Ändringar i epub registreras av administratören och dessa bedöms inte alltid efter de grundläggande kraven på behandlingen. Enligt rutinen ska förvaltningen meddela till PU-samordnaren eller PU-administratören om ett nytt system igångsätts. Behandlingar som t.ex. samkörning, sammanställning och manuella anmälningar finns inte registrerat i epub. 3 PuL (1998:204) 9 Grundläggande krav på behandlingen av personuppgifter SID 4(11)

Prövningen över de grundläggande kraven på behandling görs inte för alla behandlingar. Därför behöver rutiner för bedömningen av de grundläggande kraven säkerställas för alla behandlingarna. Bedömningen bör också komma till stånd innan behandlingen sker. Vi anser att det är bättre om flera personer är inblandade i att fullgöra personuppgiftsansvariges uppgifter. Idag har personuppgiftsombudet två olika roller som personuppgiftsansvarig och personuppgiftsombud. Personuppgiftsansvarige och personuppgiftsombudet har olika karaktär och uppgifter i sina roller. Även om ansvarsfrågan är klar blir rollerna otydliga. Personuppgiftsombudets uppgifter beskrivs i denna rapport i sidan 7. PuL har också krav på att den personuppgiftsansvarige ska informera de registrerade om behandlingen av deras uppgifter och är skyldig att ge besked om personens uppgifter behandlas eller inte. Den lämnade informationen ska tillgodose personens möjligheter att kontrollera om de registrerade uppgifterna är riktiga. Den personuppgiftsansvarige är också skyldig att på begäran av den registrerade snarast rätta till sådana personuppgifter som inte har behandlats i enlighet med PuL. Om den personuppgiftsansvarige har utsett ett personuppgiftsombud ska ombudet hjälpa till med sådan rättelse. Landstinget har fungerande skriftliga rutiner för att ge besked om personens uppgifter behandlas eller inte. Landstingets personuppgiftsansvariga har utsett personuppgiftsombudet vilket innebär att det är personuppgiftsombudets uppgift att hjälpa till med rättelser. Enligt PuL ska den personuppgiftsansvarige göra en skriftlig anmälan till tillsynsmyndigheten innan behandlingen sker om den personuppgiftsansvarige inte har utsett ett personuppgiftsombud. Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige ska också lämna upplysningar om behandlingar som inte anmälts till tillsynsmyndigheten. SID 5(11)

I landstinget har en av landstingets jurister (landstingsjuristen) utsetts till personuppgiftsombud för samtliga nämnder 4. Detta innebär att förvaltningen inte behöver göra anmälan till tillsynsmyndigheten eftersom det finns utsett personuppgiftsombud. Verksamheterna ska göra en anmälan till personuppgiftsombudet istället. Anmälningarna hanteras i epub. Landstingets helägda bolag hanteras på samma sätt som andra förvaltningar inom landstinget i epub. Nuvarande bolag har varit verksamheter inom landstinget tidigare men numera är de egna juridiska personer. Vita Huset i Nyköping AB saknas i förteckningen. Landstinget behöver reda ut ansvarsfördelningen för bolagens register och vilka eventuella praktiska förändringar som behöver göras. Det är de faktiska omständigheterna som avgör vem som är den personuppgiftsansvarige. Bolagens register har förtecknats i epub och nuvarande registrering sker som om de skulle vara enheter inom landstinget. Enligt PuL ska den personuppgiftsansvarige också vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas med en lämplig säkerhetsnivå. I landstinget behandlas personuppgifter oftast med hjälp av IT-stöd inom förvaltningen. Landstingets IT-enhet är involverad vid hanteringen av ITsystem, dvs. bland annat drift och systemförvaltningsorganisation kring detta. Systemorganisation fastställs och systemförvaltningens styrande dokument upprättas där ansvarsförhållanden och processer kring systemet klargörs. Enligt uppgift bedöms respektive systems tekniska säkerhet i detta arbete. Oftast är det s.k. systemägare som är ansvarig beslutar om systemets säkerhetsnivå samt fattar beslut om principiella frågor. Personuppgiftsbiträde Av PuL framgår att ett personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning och enligt dennes instruktioner. Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets 4 Landstingsstyrelsen 133/2010 Riktlinjer för publicering av personuppgifter på Internet i diarier och protokoll SID 6(11)

behandling av personuppgifter för den personuppgiftsansvariges räkning. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska den personuppgiftsansvarige se till att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas samt se till att dessa verkligen används. PuLs bestämmelser innebär att ett personuppgiftsbiträde alltid finns utanför den egna organisationen. Den som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte personuppgiftsbiträde. Personuppgiftsbiträdet kan vara en fysisk eller en juridisk person och ett skriftligt avtal måste upprättas. Vi har inte fått svar på vilket sätt landstinget säkerställer att avtal skrivs med personuppgiftsbiträde. Vi rekommenderar att rutiner för att säkerställa avtalsskrivning med personuppgiftsbiträdet ses över, även vad det gäller s.k. molntjänster 5. Personuppgiftsombud Enligt PuL har personuppgiftsombudet till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt samt i enlighet med god sed. Personuppgiftsombudets ansvar är också att påpeka eventuella brister för den personuppgiftsansvarige. Om personuppgiftsombudet har anledning att misstänka att den personuppgiftsansvarige bryter mot bestämmelserna och inte vidtar rättelse så snart det kan ske efter påpekande, ska personuppgiftsombud anmäla förhållandet till DI. Personuppgiftsombudet ska samråda med tillsynsmyndigheten vid tveksamma situationer om hur bestämmelserna ska tillämpas. Ett personuppgiftsombud är en fysisk person och ofta en anställd och kan representera flera personuppgiftsansvariga. Som tidigare sagt är en av landstingets jurister personligen utsedd till personuppgiftsombud för samtliga nämnder i Landstinget Sörmland. Enligt uppgift gör personuppgiftsombudet inga strukturerade kontroller för att säkerställa att personuppgifter behandlas på ett korrekt sätt. 5 Molntjänster innebär bland annat att processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över Internet, DI 2012-05-16 SID 7(11)

Enligt lagen är personuppgiftsombudets uppgifter att se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt. För att uppfylla lagens krav bör strukturerade kontroller genomföras. Personuppgiftsombudet bör initiera interna kontroller över de behandlingar som görs i landstinget för att kunna bedöma om behandlingen är korrekt samt för att kunna förbättra hantering av personuppgifter. Vissa personuppgiftsansvariges uppgifter görs centralt, vilket underlättar verksamheternas hantering av uppgifter enligt PuL. Personuppgiftsombudet ingår i den centrala organisation runt PuL. Personuppgiftsombudet utför delvis både personuppgiftsansvariges och personuppgiftsombudets uppgifter. Vi anser att detta innebär både för- och nackdelar dvs. bland annat förenklas och centraliseras hanteringen men försvåras granskningen av egna insatser. I landstinget är, med nuvarande konstruktion, personuppgiftsombudets roll främst stödjande och inte den som ska säkerställa att behandlingen blir korrekt. Personuppgiftsombudet ska föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och ska hjälpa de registrerade att få felaktiga uppgifter rättade. Förteckningen över landstingets behandlingar/register finns i epub som innehåller information om landstingets IT-system som hanterar personuppgifter. Under vår granskning har D-data 6 påbörjat ett arbete med att uppdatera förteckningen över landstingets register och kontaktpersoner i epub. Vår uppfattning är att de registrerade har fått hjälp direkt från verksamheter eller personuppgiftsombudet. Personuppgiftsombudet ska föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför. Det är viktigt att säkerställa rutiner för att all behandling förtecknas därför att epub endast omfattar förteckning över IT-systemen. 6 Enhet under landstingsstyrelsen och landstingets ledningsstab (LLS) SID 8(11)

Revisionen ser positivt på initiativet att uppdatera register och kontaktpersoner i epub och rekommenderar att skriftliga rutiner för att hålla registret uppdaterat tas fram. Landstingets personuppgiftsansvariga har utsett personuppgiftsombudet vilket innebär att ombudet hjälper till med rättelser. På Landstingets externa webbsidor återfinns information om att personuppgiftsombudets uppgift är att se till att personuppgifter behandlas på ett lagligt och korrekt sätt samt hänvisning till personuppgiftsombudet med kontaktuppgifter vid frågor. INFORMATION TILL DEN REGISTRERADE Information som ska lämnas självmant Enligt PuL om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. PuL ställer krav på den information som ska lämnas självmant och informationen ska omfatta; uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen, och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifter, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Enligt uppgift kan informationen lämnas i ett dokument i väntrummet eller på landstingets externa webbsida. Enligt intervjuer har det framkommit att det saknas rutiner för att lämna information självmant till den registrerade. Revisionen har frågat efter det dokument som enligt uppgift ska finnas i väntrummen men vi har inte mottagit detta. På landstingets externa webbsida finns viss information om behandlingar bland annat om register i vården, personuppgifter på webbplatsen och om Patientdatalagen. På hemsidorna förekommer förutvarande information t.ex. hänvisning till en upphävd lag. SID 9(11)

; Revisionen rekommenderar att landstinget ser över rutinerna för att lämna information självmant till den registrerade och säkerställer att informationen som finns på hemsidan är uppdaterad. Information som ska lämnas efter ansökan Enligt PuL är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter ska skriftlig information lämnas om o vilka uppgifter om den sökande som behandlas, o varifrån dessa uppgifter har hämtats, o ändamålen med behandlingen, och o till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Av PuL framgår att en ansökan avseende ovan nämnda uppgifter ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Informationen ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information lämnas senast fyra månader efter det att ansökan gjordes. Hantering av begäran om utdrag ur landstingets förda dataregister hanteras centralt av IT-enhet med hjälp av epub för alla förvaltningar och bolag. Det finns skriftliga rutiner för ärendehanteringen. Utskrift av fastställd information från systemet/systemen och behandlingsinformation sänds till den sökande med rekommenderat brev av verksamheten. Den fastställda informationen från systemen bestämmer systemförvaltaren. ; Landstinget har många register och den fastställda informationen kan se olika ut. Eftersom det är systemförvaltaren som bestämmer den fastställda informationen från systemen bör landstinget säkerställa, att den informationen som ska lämnas efter ansökan, uppfyller lagens krav. SID 10(11)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss