Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Relevanta dokument
Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Riktlinjer för dataskydd

Dataskyddsförordningen

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Riktlinjer för hantering av personuppgifter

Ett eller flera dataskyddsombud?

Policy för behandling av personuppgifter

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Personuppgiftsbehandling Dataskydd

GDPR Presentation Agenda

INFORMATIONSSÄKERHETSPOLICY

Policy för behandling av personuppgifter

EU:s allmänna dataskyddsförordning:

Skolan och Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

PERSONUPPGIFTSBITRÄDESAVTAL

Instruktion för personuppgiftsbiträdesavtal

Personuppgiftsinformation för Svedala kommun

PERSONUPPGIFTSBITRÄDESAVTAL

Välkomna till kurs i den nya dataskyddsförordningen

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsförordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Svensk författningssamling

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Personuppgiftsbiträdesavtal

Information till personuppgiftsansvarig om dataskyddsombud

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Riktlinjer för personuppgiftshantering

GDPR. Dataskyddsförordningen

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

EU:s dataskyddsförordning

Riktlinjer för hantering av personuppgifter

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen

GDPR- Seminarium 2017

Personuppgiftsbiträde

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

GDPR ur verksamhetsperspektiv

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Bilaga 1a Personuppgiftsbiträdesavtal

Dataskyddsförordningen GDPR - General Data Protection Regulation

Policy för integritet vid hantering av personuppgifter

Riktlinjer för hantering av personuppgifter

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Så behandlar vi dina personuppgifter

GDPR NYA DATASKYDDSFÖRORDNINGEN

Handlingsplan för persondataskydd

Dataskyddsförordningen

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

PuL och GDPR en översiktlig genomgång

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Koncernkontoret Enheten för juridik

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Södertörns brandförsvarsförbund

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Bilaga - Personuppgiftsbiträdesavtal

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen och kvalitetsregister

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

PERSONUPPGIFTSBITRÄDESAVTAL

Riktlinjer för behandling av personuppgifter

Anvisningar för behandling av personuppgifter

EU:s dataskyddsförordning

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen för prefekter och administrativa chefer

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Personuppgiftsbiträdesavtal

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan.

Remiss av förslag till Riktlinjer för hantering av personuppgifter

Information om behandling av personuppgifter

Transkript:

Syfte Riktlinjen har som syfte att göra policyn för behandling av personuppgifter konkret den ger vägledning i hur hantering av personuppgifter skall ske inom Sydnärkes kommunalförbund. Riktlinjen är antagen av Förbundsdirektionen och gäller från och med 2018-05-18. Riktlinjen följer gällande lagstiftning och kan komma att justeras om den gällande lagstiftningen förändringas. Omfattning Riktlinjen gäller för Sydnärkes kommunalförbund. Riktlinjen avser hantering av personuppgifter som helt eller delvis företas på automatisk väg samt på annan än automatisk behandling av personuppgifter som ingår eller kommer att ingå i ett register. Register definieras här som en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställda enligt särskilda kriterier. Bakgrund Från och med den 25 maj 2018 gäller EUs dataskyddsförordning (2016/679) för hantering av personuppgifter. Förordningen ersätter personuppgiftslagen, PuL (1998:204). Förordningen är direkt tillämplig, vilket innebär att den inte behöver implementeras i svensk rätt, med svensk lag. Från och med den 25 maj 2018 gäller Dataskyddslagen (SFS 2018/218). Dataskyddsförordningens tillämpningsområde Förordningen ska tillämpas på all hantering av personuppgifter som helt eller delvis utföres på automatisk väg samt på annan än automatisk behandling av personuppgifter som ingår eller kommer att ingå i ett register. Register definieras här som en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställda enligt särskilda kriterier. Dataskyddslagen och dataskyddsförordningen får inte tillämpas om de går emot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Personuppgiftsansvar Sydnärkes kommunalförbund är personuppgiftsansvariga. Ansvaret innebär en yttersta skyldighet att se till att gällande lagstiftning följes genom att bl.a. Fastställa ändamål och syfte med behandling av personuppgifter, innan behandling påbörjas

Utse Dataskyddsombud med rätt förutsättningar och nödvändiga kunskaper att kunna genomföra sitt uppdrag Säkerställa att det finns tekniska och organisatoriska förutsättningar att behandla personuppgifter med nödvändig säkerhet Kunna visa att kraven i lagstiftningen är uppfyllda genom noggrann dokumentation och verifierande tester Föra register över behandlingar av personuppgifter Laglig behandling av personuppgifter Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. Den lagliga grunden skall alltid fastställas innan behandling påbörjas. Fastställ laglig grund för behandling utifrån något av följande: Samtycke skall vara informerat, frivilligt och specifikt samt kunna visas Behandlingen är nödvändig för att fullgöra ett avtal Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som den personuppgiftsansvarige har Behandlingen är nödvändig för att skydda ett grundläggande intresse för den registrerade eller annan fysisk person Behandlingen är nödvändig för att utföra uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning Sydnärkes kommunalförbund har därför etablerat arbetsrutin för behandling av personuppgifter: Innan behandling av personuppgifter inom Sydnärkes kommunalförbund påbörjas krävs följande: 1. Identifiera ändamål och syfte med behandlingen varför skall personuppgifterna behandlas 2. Dokumentera ändamål och syfte samt under hur lång tid behandlingen beräknas pågå, det vill säga hur lång tidsfristen är till radering av personuppgifterna som skall behandlas 3. Fastställ rättslig grund 4. Inhämta samtycke vid behov 5. Säkerställ att behandlingen sker i enlighet med de grundläggande principerna i dataskyddslagstiftningen och i enlighet med Sydnärkes kommunlaförbunds policy och riktlinje för behandling av personuppgifter 6. Vid behov, rådgör med Dataskyddsombudet 7. Klassificera personuppgifterna utifrån informationssäkerhetsnivå och genomför riskanalys av den planerade behandlingen. Dataskyddsombudet ska involveras i riskanalysen.

8. Samråd med tillsynsmyndighet avseende fall där hög risk föreligger och som inte kan åtgärdas inför behandling av personuppgifter 9. Säkerställ att det finns implementerat tillräckliga tekniska och organisatoriska säkerhetsåtgärder baserat på genomförd informationssäkerhetsklassning och resultat från riskanalys. Med tillräckliga organisatoriska säkerhetsåtgärder avses här också att bemanna samtliga roller i organisationen som bidrar till en säker hantering av personuppgifter 11. Klargör om, och i så fall vilken, kommunikation med den registrerade som är nödvändig 12. Upprätta personuppgiftsbiträdesavtal vid behov 13. Verifiera att Dataskyddsombudet godkänner behandlingen 14. Anteckna ny behandling av personuppgifter i registerförteckningen Säkerhet Behandling av personuppgifter får ske om lämplig teknisk och organisatorisk säkerhet vidtagits för behandlingen. Säkerheten ska baseras på genomförda informationssäkerhetsklassningar och riskanalyser. Säkerhet baseras på följande grundläggande arbetssätt: att säkerställandet av personuppgiftshanteringen ska finnas med redan från den initiala planeringen för systeminförande och systemförvaltning samt övrig planering av behandling av personuppgifter och då täcka såväl tekniska som organisatoriska åtgärder använda åtgärder som uppgiftsminimering, lagringsminimering, fritextfältsminimering och åtkomstbegränsning säkerställa att Sydnärkes kommunalförbund har en grundsäkerhetsnivå för informationssäkerhet samt där så är möjligt använda åtgärder som pseudonymisering, anonymisering eller kryptering säkerställa att Sydnärkes kommunalförbund vidmakthåller en säkerhetsnivå för informationssäkerhet när det gäller särskilda personuppgifters konfidentialitet och riktighet För elektronisk hantering innebär det bland annat att använda kryptering samt stark autentisering. Införande och tillämpning av rutiner för att: Kontinuerligt testa, undersöka och visa på effektiviteten av införda säkerhetsåtgärder Anmäla en personuppgiftsincident till tillsynsmyndighet Om behov uppstår kunna informera berörda registrerade om incidenter Om behov uppstår kunna involvera och rådgöra med Dataskyddsombudet

Personuppgiftsbiträde Den som behandlar personuppgifter på uppdrag av annan personuppgiftsansvarig blir personuppgiftsbiträde i förhållande till den personuppgiftsansvarige. Vid anlitandet av ett personuppgiftsbiträde ska Sydnärkes kommunalförbund säkerställa att personuppgiftsbiträdet kan ge tillräckliga garantier om att upprätthålla lämplig teknisk och organisatorisk säkerhet i enlighet med gällande rätt. Samtliga val att anlita personuppgiftsbiträden och vilka personuppgiftsbiträden som anlitas för verksamhet inom Sydnärkes utbildning skall ske efter noggrannt arbete enligt kommunalförbundets processer för förstudie av systeminförande och systemförvaltning. Detta säkerställer att förbundsledningen som har personuppgiftsansvaret vid var tid har kontroll på organisationens behandling av personuppgifter. Personuppgiftsbiträdesavtal Personuppgiftsbiträdets behandling av personuppgifter ska regleras av personuppgiftsbiträdesavtal mellan biträdet och Sydnärkes kommunalförbund i förbundets roll som Personuppgiftsansvarig. I avtalet ska anges: Vem som är personuppgiftsansvarig respektive personuppgiftsbiträde Vad behandlingen avser, dess varaktighet, art, ändamål, typ av personuppgifter samt kategori av registrerade Den personuppgiftsansvariges skyldigheter och rättigheter Att biträdet endast får behandla personuppgifter i enlighet med den ansvariges instruktion Att biträdet iakttar nödvändig konfidentialitet och tystnadsplikt Att biträdet vidtar alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa adekvat skydd för personuppgifterna samt att detta kan visas genom att ge personuppgiftsansvarige tillgång till vederbörlig information Att biträdet ska bistå den ansvarige i att uppfylla sina förpliktelser enligt förordningen Att biträdet inte får anlita underleverantör för behandling av den ansvariges personuppgifter utan den ansvariges skriftliga medgivande till detta. Om biträdet anlitar underleverantör ska personuppgiftsbiträdesavtal upprättas även mellan dessa parter Att överföring till tredje land inte får ske utan att adekvata säkerhetsåtgärder är uppfyllda Reglering om inom vilken tid radering eller överflyttning av personuppgifter sker vid avtals upphörande Reglering om servicenivåer och tidsfrist för systemstöd och felavhjälpning Att biträdet inte får lämna ut personuppgifter på annan myndighets begäran utan att informera den personuppgiftsansvarige.

Register över behandling Sydnärkes kommunalförbund skall i sin roll som personuppgiftsansvarig föra ett register över behandling av personuppgifter som utförs under dess ansvar. Registret ska minst innehålla: Namn och kontaktuppgifter till den personuppgiftsansvarige samt Dataskyddsombudet Ändamålet med behandlingen Laglig grund Kategori av registrerade, personuppgifter samt behandlingar Mottagare av personuppgifter, i förekommande fall Eventuell överföring till tredje land med tillhörande säkerhetsåtgärder Tidsfrist för radering Beskrivning av tekniska och organisatoriska säkerhetsåtgärder för behandlingen Systemägare Systemförvaltare Dataskyddsombud Den personuppgiftsansvarige skall utse ett Dataskyddsombud att representera den personuppgiftsansvariges verksamhet. Det kan vara en anställd eller extern konsult. Dataskyddsombudet skall utses på grundval av sina yrkesmässiga kvalifikationer. Dataskyddsombudet skall anmälas till tillsynsmyndigheten. Dataskyddsombudet skall minst ha följande uppgifter: Informera och ge råd till den personuppgiftsansvarige och anställda om skyldigheterna enligt dataskyddsförordningen Övervaka efterlevnad av förordningen avseende fungerande rutiner och åtgärder, ansvarstilldelning, information, utbildning och granskning Ge råd vid riskanalysen Samarbeta med tillsynsmyndigheten Vara kontaktpunkt för tillsynsmyndigheten i alla frågor som rör behandling av personuppgifter Vara kontaktperson till den registrerade Delta i frågor som rör skyddet av personuppgifter Får även ha andra uppgifter om dessa inte leder till intressekonflikt

Den personuppgiftsansvarige ska säkerställa att dataskyddsombudet: På ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter Tillhandahålles de resurser och det stöd som krävs för att fullgöra sina uppgifter Ej blir föremål för sanktioner eller avsätts på grund av att ombudet utför sitt uppdrag Ej blir föremål för otillbörlig påverkan i utövande av sitt uppdrag Rapporterar direkt till den personuppgiftsansvarige eller dennes högsta förvaltningsnivå

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss