VERSION

Relevanta dokument
Barn- och ungdomsnämndens arbetsutskott

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Personuppgiftsinformation för Svedala kommun

Kerstin Wardman, 25 april 2018

Riktlinjer för behandling av personuppgifter

Personuppgiftsbehandling Dataskydd

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Policy för behandling av personuppgifter

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Personuppgiftslagen (PuL) - En kort introduktion

GDPR och hantering av personuppgifter

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Lathund Personuppgiftslagen (PuL)

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Riktlinjer för hantering av personuppgifter

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Södertörns brandförsvarsförbund

Personuppgifter m.m. i skolan

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

(5) Integritetspolicy - Kumla Bostäder AB

Behandling av personuppgifter vid Göteborgs universitet

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PUL OCH DATASKYDDSFÖRORDNINGEN

GDPR- Seminarium 2017

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR General data protection regulation Dataskyddsförordningen

En personuppgift kan enklast beskrivas som en uppgift (information, data) som kan härledas till en enskild person. Syftet med hanteringen av personupp

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Lindesbergs kommuns arbete med dataskyddsförordningen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Information om behandling av personuppgifter

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

GDPR definition och hur utbildningen berör(t)s av förordningen

Mertzig Asset Management AB

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

Så behandlar vi dina personuppgifter

Dataskyddsförordningen

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Riktlinjer för dataskydd

Personuppgiftspolicy

Personuppgiftsbiträdesavtal

Policy för personuppgiftsbehandling

Dataskyddsförordningen (GDPR)

PERSONUPPGIFTSLAGEN (PUL)

BlueStep Banks AB (publ) Integritetspolicy

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Dataskyddsförordningen för kommunikatörer

Dataskyddspolicy för Rotsunda Utbildning AB

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Dataskyddsförordningen, GDPR

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Kanslichef - Tillsvidare

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Personuppgiftspolicy

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

EU:s dataskyddsförordning

Dataskyddsförordningen

Vården och reglerna om dataskydd

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer för personuppgiftshantering

Information om dataskyddsförordningen

Dataskyddsförordningen

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Riktlinje för hantering av personuppgifter i e-post och kalender

Så behandlar vi dina personuppgifter

GDPR. Dataskyddsförordningen

Datainspektionen informerar

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Policy för hantering av personuppgifter

Vad är en personuppgift och vad är en behandling av personuppgifter

Dataskyddsförordningen - GDPR

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

Transkript:

VERSION 1.1 018-04-1 UTBILDNINGSNÄMNDENS Riktlinjer för behandling av personuppgifter Antagna av utbildningsnämnden den 31 maj 018

Innehåll 1. Personuppgiftslagen och dataskyddsförordningen...3. Personuppgiftsansvar...3.1 Dataskyddsombud...4. Rollfördelning...4..1 Rektorer och chefer...4.. Inköpsansvariga...4..3 Medarbetare...5 3. Behandling av personuppgifter...5 3.1 Ändamål och typ av uppgifter...5 3. Automatiserad och manuell behandling...5 3.3 Inhämtande av uppgifter...6 3.4 Tillåten behandling...6 3.5 Aktualitet, gallring och arkivering...6 3.6 E-post...6 3.7 Internet...7 3.8 Kameraövervakning...7 3.9 Information till registrerade...7 3.10 Säkerhet vid behandling av personuppgifter...7 3.10.1 Personalens behörighet...8 3.10. Fritextfält...8 3.11 Personer med skyddade personuppgifter...8

1. Personuppgiftslagen och dataskyddsförordningen Personuppgiftslagen (1998:04) har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Personuppgiftslagen innehåller bestämmelser om när personuppgifter får samlas in, hur de insamlade personuppgifterna får behandlas, hur de registrerade ska informeras, när uppgifter ska raderas m.m. Den 5 maj 018 ersattes personuppgiftslagen med EU:s nya dataskyddsförordning 1, med regler om hur man får behandla personuppgifter. Till personuppgifter räknas exempelvis namn, personnummer, adress, fotografier och användar-id. Till känsliga personuppgifter räknas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. Vallentunas utbildningsnämnds (nedan nämnden ) behandling av personuppgifter får endast ske i enlighet med dataskyddsförordningen, skolförfattningar och hälsooch sjukvårdsförfattningar, samt andra tillämpliga författningar. Syftet med riktlinjerna är att beskriva hur personuppgifter får behandlas inom nämndens verksamhet så att det sker i enlighet med gällande rätt.. Personuppgiftsansvar I skolverksamhet är det som regel skolans huvudman som är personuppgiftsansvarig för all behandling av personuppgifter som utförs, såväl på förvaltningen som i verksamheterna. Det innebär att det är nämnden som är personuppgiftsansvarig för den behandling av personuppgifter som görs. Nämnden ska fastställa ändamål och syfte med varje behandling av personuppgifter och se till att det finns administrativa, tekniska och organisatoriska rutiner för behandling av personuppgifter inom sitt verksamhetsområde. Nämnden kan överlåta hanteringen av den faktiska administrationen av behandlingen av personuppgifter till anställd men personuppgiftsansvaret kan aldrig överlåtas. Nämnden fastställer härigenom riktlinjer för personuppgiftsbehandling, vilka samtliga anställda är skyldiga att följa. 1 Europaparlamentets och rådets förordning (EU) 016/679 av den 7 april 016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Nämnden ska se till att det finns ett dataskyddsombud samt att det förs en förteckning över vilka behandlingar av personuppgifter som sker inom verksamhetsområdet. Den praktiska hanteringen av förteckningen görs av dataskyddsombudet..1 Dataskyddsombud Ett dataskyddsombud (tidigare benämnt personuppgiftsombud) ska utses av den personuppgiftsansvarige och anmälas till Datainspektionen. Dataskyddsombudets uppgift är att övervaka att nämnden följer dataskyddsförordningen. Det innebär bland annat att samla in information om hur personuppgifter behandlas, kontrollera att regler och styrdokument följs, informera och ge råd inom nämndens verksamheter, ge råd om konsekvensbedömningar, vara kontaktperson gentemot tillsynsmyndighet, registrerade och personal inom verksamheterna samt att samarbeta med tillsynsmyndigheten exempelvis vid inspektioner. Ombudets ska även hantera registrerades begäran om registerutdrag och begäran etc.. Rollfördelning..1 Rektorer och chefer Varje verksamhet eller enhet som använder system, molntjänster, applikationer ( appar ) eller utför andra automatiska personuppgiftsbehandlingar eller som utför personuppgiftsbehandlingar genom manuella register ska se till att sådana system etc. anmäls till kommunens personuppgiftsförteckning. Rektor eller chef har ansvaret för detta men kan också utse en anställd eller funktion som gör det. Rektor och chef har även ansvar för att se till att samtlig personal som hanterar personuppgifter har kännedom om reglerna i dataskyddsförordningen och om dessa riktlinjer... Inköpsansvariga De som är ansvariga för inköp eller tecknande av avtal om nya system, molntjänster etc. ska alltid göra en risk- och sårbarhetsbedömning innan inköp görs eller avtal ingås. Personuppgiftsbiträdesavtal ska alltid tecknas med biträdet, dvs. den som tillhandahåller systemet, molntjänsten etc. Mall på personuppgiftsbiträdesavtal finns på kommunens intranät.

..3 Medarbetare Varje medarbetare ansvarar för att ta till sig information om reglerna kring personuppgiftsbehandling och om dessa riktlinjer. Varje medarbetare ansvarar även för att kontakta dataskyddsombudet omgående vid upptäckt eller misstanke om att obehörig har fått tillgång till personuppgifter ( personuppgiftsincident ), exempelvis genom hackning, IT-incident eller förlust av portabel enhet såsom dator eller mobiltelefon. Rutin för rapportering av sådana personuppgiftsincidenter finns på kommunens intranät. 3. Behandling av personuppgifter 3.1 Ändamål och typ av uppgifter Inom nämndens verksamhet behandlas bland annat vårdnadshavares samt barns och elevers personuppgifter för administration inom nämndens verksamhetsområden. De personuppgifter som behandlas och i vissa fall registreras är namn, personnummer, adressuppgifter, telefonnummer, klass- och skoltillhörighet samt uppgifter som rör utbildning och pedagogisk verksamhet såsom omdömen, resultat och betyg. Även känsliga uppgifter såsom exempelvis uppgifter om hälsa inom elevhälsans arbete eller uppgifter om allergier inom kostenheten, uppgift om modersmålsundervisning eller behov av särskilt stöd behandlas. Vidare behandlas personuppgifter såsom fotografier och inspelningar i verksamheterna. Om stöd i lag eller författning finns kan nämndens personuppgifter kan i förekommande fall även behandlas av andra kommuner eller myndigheter samt de personuppgiftsbiträden som används för att kunna utföra nämndens tjänster och fullgöra nämndens skyldigheter gentemot de registrerade. 3. Automatiserad och manuell behandling Behandling och registrering av personuppgifter görs i olika IT-system och molntjänster. Informationsklassning av dessa ska göras genom Sveriges kommuners och landstings verktyg KLASSA och dokumenteras i kommunens personuppgiftsförteckning. Systemen har servrar i Sverige eller inom EU/ESS. I de fall personuppgifter behandlas av personuppgiftsbiträden utanför EU/ESS får det endast ske om lämpliga skyddsåtgärder har vidtagits, såsom exempelvis bindande företagsregler eller standardiserade dataskyddsbestämmelser. Utbildningsrelaterade register förs även manuellt inom verksamheterna i pärmar, listor i dator samt elev- och personalakter, exempelvis elevregister i syfte att hantera basuppgifter, kurser, bedömning stödåtgärder, frånvaro och disciplinära åtgärder.

3.3 Inhämtande av uppgifter Uppgifterna hämtas främst in från Skatteverket och därutöver från elever, vårdnadshavare och personal. För behandling av fotografier och inspelningar samt känsliga personuppgifter inhämtas skriftligt samtycke från de personer vars uppgifter behandlas. 3.4 Tillåten behandling Personuppgifter behandlas för fullgörande av nämndens arbetsuppgifter, bland annat för genomförande av pedagogiskt arbete, administration av skolval, kommunikation och lagring av pedagogiskt arbete. För de uppgifter som hämtas in av nämndens verksamheter inom utbildningsområdet är samtycke i de flesta fall inte nödvändig. Det beror på att uppgifterna används för att utföra en uppgift av allmänt intresse eller i samband med myndighetsutövning (artikel 6.1 e i dataskyddsförordningen) eller för att kunna fullgöra en rättslig förpliktelse som åligger nämnden (artikel 6.1 c i dataskyddsförordningen). Samtycke kan dock behövas i vissa fall, främst för fotografering och inspelning. I dessa fall inhämtas skriftligt samtycke läsårsvis på en framtagen blankett från vårdnadshavaren. Blanketten finns på kommunens intranät. Samtycket kan när som helst återkallas skriftligt. 3.5 Aktualitet, gallring och arkivering De personuppgifter som behandlas ska vara sakliga, riktiga och aktuella i förhållande till ändamålet med behandlingen. Felaktiga personuppgifter ska rättas, utplånas eller blockeras. När ändamålet med behandlingen av personuppgifter är uppnått ska alla personuppgifter gallras. Undantag finns, bland annat i särskilda arkivbestämmelser eller bokföringsregler. Huvudsystemet, vilket för över personuppgifter till andra system, ska gallras manuellt en gång per år. Övriga system och molntjänster gallras regelbundet per automatik. 3.6 E-post E-post som kommer in till en myndighet blir normalt en allmän handling som ska registreras eller hållas ordnad. Det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen om bevarande av allmänna handlingar. En stor del av den personuppgiftsbehandling som förekommer i en kommunal myndighets e-post kan också hänföras till de lagliga grunderna som beskrivs ovan såvida innehållet eller

ämnet berör de arbetsuppgifter myndigheten har att fullgöra inom ramen för den kommunala kompetensen, t.ex. för handläggning av barnomsorg. Känsliga personuppgifter ska inte skickas med oskyddad e-post. Övriga personuppgifter ska behandlas med varsamhet vad gäller e-post. Varje medarbetare ska minst en gång per år gallra sina e-postmeddelanden. Meddelanden som hör till ärenden diarieförs i respektive ärende och raderas, övriga meddelanden raderas eller avidentifieras när de inte längre behövs. 3.7 Internet För publicering av personuppgifter på Internet finns kommungemensamma riktlinjer, Riktlinjer för hantering av personuppgifter vid webbpublicering. 3.8 Kameraövervakning För kameraövervakning utomhus, exempelvis på skolgårdar, krävs tillstånd från tillsynsmyndigheten. För kameraövervakning inomhus, exempelvis inne i skolbyggnader i syfte att övervaka inlåst särskilt värdefull utrustning, ska en bedömning enligt den så kallade överviktsprincipen göras. Information och checklistor för hur en sådan görs finns på tillsynsmyndighetens hemsida. Rådgivning kan även ges av dataskyddsombudet. 3.9 Information till registrerade Information om nämndens personuppgiftsbehandling lämnas skriftligen på kommunens hemsida och intranätet. 3.10 Säkerhet vid behandling av personuppgifter Nämnden ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, såsom t.ex. brandväggar, kryptering, anti-virus och behörighetsbegränsningar. Känsliga personuppgifter ställer högre krav på säkerhetsåtgärder. För system eller register där känsliga uppgifter, t.ex. till elevhälsosystem eller system med skriftliga omdömen och utvecklingsplaner, behandlas bör säker inloggning, t.ex. e-legitimation, engångslösenord via mobil eller skraplott eller säkerhetsdosa, i möjligaste mån användas.

Inför varje ny behandling, t.ex. vid inköp av ett nytt system, ska en risk- och sårbarhetsbedömning göras och dokumenteras i personuppgiftsförteckningen samt i Platina. Personuppgiftsbiträdesavtal ska tecknas med den som tillhandahåller ett system, molntjänst eller liknande om personuppgifter ska behandlas där. Avtalet ska dokumenteras i personuppgiftsförteckningen och i Platina tillsammans med huvudavtalet. Vidare bör tillses att endast de personuppgifter som behövs behandlas och att dessa gallras regelbundet samt att uppgifterna inte används på sätt som är oförenligt med de ändamål för vilka de samlades in. 3.10.1 Personalens behörighet Det är viktigt att informationen i systemet skyddas mot obehörig åtkomst och att användare inte ges tillgång till mer information än vad som är nödvändigt. Tekniska behörigheter i systemet ska alltid stämma överens med den funktion eller roll som den anställda personen har. Behörigheterna för en individ ska beslutas av ledningsgruppen för verksamheten som bär ansvaret för medarbetarnas behörigheter. Beslut om behörighet ska dokumenteras så att det är tillgängligt för alla medarbetare. Medarbetare bör hantera sina inloggningsuppgifter med varsamhet och se till att enheter såsom datorer och mobiltelefoner låses när de förvaras utom uppsikt. 3.10. Fritextfält Vid inköp av nya system bör tillses att dessa inte har tillgång till fritextfält, annat än i undantagsfall om det finns ett specifikt behov. Medarbetare bör vara medvetna om när fritextfält finns och vilken målgrupp som har tillgång till detta. Verksamheten måste tydliggöra att vid användande av fritextfunktioner ska personal utrycka sig professionellt, sakligt, i relation till den specifika frågan, och i övrigt överensstämmande med likabehandlingsplanen, god etik, samt gällande lagar och förordningar. Integritetskänsliga uppgifter eller kränkande uttalanden får inte förekomma. Om andra än personalen har tillgång till fritextfält, såsom vårdnadshavare eller elever, ska de informeras vilka som har tillgång till fälten och vad som får skrivas där. 3.11 Personer med skyddade personuppgifter För hantering av personuppgifter avseende personer med skyddade personuppgifter finns en separat rutin på kommunens intranät.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss