Behandling av personuppgifter enligt dataskyddslagstiftningen Riktlinjer Dokumenttyp Riktlinjer Giltighetstid fr. o. m. t. o. m. 2018-11-28- Gäller tills vidare Gäller för målgruppen Antagen av Kommunstyrelsen Dokumentansvarig Administrativ chef Antagande dnr, beslutsparagraf (första beslutsdatum) KS/2018:1399 265 2018-11-28 Senast reviderad dnr, beslutsparagraf (beslutsdatum) Kontakt om styrdokumentet Kommunstyrelseförvaltningens stab, telefon 0304-33 40 00 e-post: kommun@orust.se
Innehåll Inledning... 3 Riktlinjernas syfte och målgrupp... 3 Detta regleras inte av riktlinjerna... 3 Stödjande och styrande dokument.... 4 Ny eller förändrad behandling av personuppgifter rutin... 4 Personuppgiftsbiträdesavtal rutin... 4 Registerutdrag rutin... 4 Begäran om rättelse rutin... 4 Begäran om radering rutin... 4 Begäran om dataportabilitet rutin... 4 Incidentrapportering rutin... 4 Kvalitetssäkring av personuppgiftsbehandlingar rutin... 5 Behandling av personuppgifter vid publicering av bilder, filmer och ljud på internet stödjande dokument.... 5 Behandling av personuppgifter vid publicering av kommunala handlingar - stödjande dokument... 5 Behandling av känsliga personuppgifter stödjande dokument Stöd för verksamheternas vid bedömning och behandling av personuppgifter... 5 Organisation, roller och ansvar... 6 Personuppgiftsansvarig... 6 Dataskyddsombud... 7 Personuppgiftsbiträde... 8 Personuppgiftssamordnare... 8 Verksamhetsansvarig chef... 9 Utförandeansvarig behandling av personuppgifter... 9 Förvalta riktlinjerna... 9 2
Inledning Dataskyddsförordningen (DSF) gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Dataskyddsförordningen har ersatt tidigare Personuppgiftslagen (PuL) och ska skydda enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter inom EU och EES. Dataskyddslagen, innehåller nationella regler som kompletterar dataskyddsförordningen. Vid sidan om dataskyddslagen finns även registerförfattningar som reglerar hur personuppgifter ska behandlas i vissa offentliga verksamheter. Dataskyddslagen och dataskyddsförordningen får inte tillämpas om de går emot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Riktlinjernas syfte och målgrupp Syftet med dessa riktlinjer är att säkerställa att all behandling av personuppgifter i Orust kommun sker enligt dataskyddsförordningen med kompletterade dataskyddslag. Riktlinjerna gäller samtliga verksamheter i Orust kommun för all form av personuppgiftsbehandling som omfattas av dataskyddsslagstiftningen. Målgrupp är medarbetare och förtroendevalda i Orust kommun. Detta regleras inte av riktlinjerna Övriga lagar och författningar som påverkar vår behandling av personuppgifter regleras inte i dessa riktlinjer. 3
Stödjande och styrande dokument. Alla styrdokument, instruktioner och rutiner som omfattar behandling av personuppgifter ska vara kompatibla med gällande dataskyddslagstiftning. Respektive dokumentansvarig säkerställer innehållet ur ett personuppgiftsperspektiv. För att tillse att personuppgiftsbehandlingen sker enligt gällande dataskyddslagstiftning ska följande rutiner och stöd dessutom finnas tillgängliga och hållas uppdaterade som stöd för medarbetare och förtroendevalda. Ny eller förändrad behandling av personuppgifter rutin Checklista för alla som ska införa eller ändra system för behandling av personuppgifter.. Personuppgiftsbiträdesavtal rutin Registrering av personuppgiftsbiträdesavtal Registerutdrag rutin Arbetsgång och ansvarsfördelning vid begäran om registerutdrag Begäran om rättelse rutin Arbetsgång och ansvarsfördelning vid hantering av felaktigt registrerade uppgifter eller vid avsaknad av uppgifter Begäran om radering rutin Arbetsgång och ansvarsfördelning vid begäran om radering av uppgifter. T ex vid återkallande av samtycke. Begäran om dataportabilitet rutin Arbetsgång och ansvarsfördelning vid dataportabilitet som i vissa fall kan begäras om behandlingen grundas på samtycke eller ingånget avtal. Incidentrapportering rutin Rapportering av personuppgiftsincident som ska anmälas inom 72 timmar och/eller dokumenteras. Dokumentansvarig: Informationssäkerhetssamordnare 4
Kvalitetssäkring av personuppgiftsbehandlingar rutin Checklista för kontroll av behandlingar i centralt register. Dokumentansvarig: Dataskyddsombud Behandling av personuppgifter vid publicering av bilder, filmer och ljud på internet stödjande dokument. Stöd till beslut om användande av bilder, filmer och ljud som innehåller personuppgifter. Informationsansvarig: Kommunikatör Behandling av personuppgifter vid publicering av kommunala handlingar - stödjande dokument Stöd till beslut om behandling av personuppgifter i kommunala handlingar. Informationsansvarig: Administrativ chef Behandling av känsliga personuppgifter stödjande dokument Stöd för verksamheternas vid bedömning och behandling av personuppgifter. Informationsansvarig: Administrativ chef 5
Organisation, roller och ansvar Personuppgiftsansvarig Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Respektive nämnd är personuppgiftsansvarig för sina behandlingar av personuppgifter. Den personuppgiftsansvarige ansvarar för att: all behandling av personuppgifter följer de grundläggande principerna och att all behandling har stöd i en rättslig grund. det finns erforderliga rutiner och stöd för att säkerställa och kunna visa att behandling av personuppgifter sker enligt dataskyddslagstiftningen. medarbetare och förtroendevalda har adekvat och tillräcklig kunskap för att kunna tillämpa rutinerna. det finns tekniska och organisatoriska förutsättningar att behandla personuppgifter med erforderlig säkerhet. utse dataskyddsombud. det finns riktlinjer för dataskyddsombudets ansvar och uppgifter. föra ett register över alla behandlingar av personuppgifter som utförs under dess ansvar. Innehållet i registret skall minst innehålla det som beskrivs i Artikel 30 i dataskyddsförordningen. Den personuppgiftsansvarige ska vidare se till att dataskyddsombudet: 6
får aktivt stöd från högsta ledningen och aktivt stöd och information från andra avdelningar inom organisationen. ges tillräckligt med tid och får tillgång till de organisatoriska resurser som behövs för att kunna fullgöra sitt uppdrag. rådfrågas i samband med behov av konsekvensbedömning. inte blir föremål för otillbörlig påverkan i utövande av sitt uppdrag. ges möjlighet till fortbildning inom området för att löpande kunna hålla sig uppdaterad med utvecklingen. Dataskyddsombud Varje enskild nämnd utser ett personligt dataskyddsombud samt ansvarar för att det alltid finns. Dataskyddsombudets arbetsuppgifter omfattar rådgivning och information, granskning, medborgarkontakt och kontaktpunkt mot tillsynsmyndigheten. Åtagandet omfattar all personuppgiftsbehandling som utförs av den personuppgiftsansvarige, och regleras i dataskyddslagstiftningen. Dataskyddsombudet ska minst ha följande uppgifter: samla in information om hur organisationen behandlar personuppgifter. informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträden samt medarbetare och förtroendevalda om skyldigheterna enligt dataskyddslagstiftningen. övervaka efterlevnaden av dataskyddslagstiftningen. kontrollera att organisationen följer bestämmelser och interna styrdokument. årligen rapportera till personuppgiftsansvarig nämnd. föreslå utbildningsinsatser åt medarbetare och förtroendevalda. finnas tillgänglig under normal kontorstid. delta i alla frågor som rör skydd av personuppgifter och i beslut när följder för dataskydd fattas. rådfrågas omedelbart när en personuppgiftsincident inträffar. vara kontaktperson för o datainspektionen o de registrerade o medarbetare och förtroendevalda. samarbeta med datainspektionen, till exempel vid inspektioner. ge råd om konsekvensbedömningar. 7
Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställa att den registrerades rättigheter skyddas. Personuppgiftsbiträdets ansvar och åtaganden regleras i ett skriftligt personuppgiftsbiträdesavtal som måste upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige bestämmer. Orust kommun har en mall för personuppgiftsbiträdesavtal som ska tillämpas vid tecknande av personuppgiftsbiträdesavtal. Personuppgiftssamordnare Inom respektive sektor ska det finnas en samordnare som ska ha goda kunskaper om dataskyddslagstiftningen och andra, inom respektive sektor, relevanta regelverk och lagar som berör personuppgiftsbehandling. Samordnaren är en länk mellan verksamheten och dataskyddsombudet i frågor som berör behandling av personuppgifter. Personuppgiftssamordnaren utses av sektorchefen. är kontaktperson för dataskyddsombudet. administrerar registrerade personuppgiftsbehandlingar inom den egna sektorn. deltar i kvalitetssäkring av personuppgiftsbehandlingar. fungerar som första rådgivande instans inom sin sektor. kan vara behjälplig i samband med registerutdrag. ska ges utrymme och möjligheter till kompetensutveckling för utförande av uppdraget. ska ges tillgång till adekvat juridiskt stöd. vid behov kunna svara för dataskyddsombudets kontakter. ska samordna ledighet med dataskyddsombud så att tillgängligheten för dataskyddsombud upprätthålls enligt krav i dataskyddsförordning. 8
Verksamhetsansvarig chef Den som har personalansvar i den dagliga verksamheten ansvarar för behandlingen av personuppgifter i IT-systemen i enlighet med dessa riktlinjer samt att dessa behandlas i enlighet med styrdokument för informationssäkerhet. Verksamhetsansvarig chef ansvarar för att lokala rutiner hålls uppdaterade med information om hur personuppgifter ska behandlas. att personuppgiftsbehandlingar inom sin verksamhet rapporteras till personuppgiftssamordnaren. att personuppgiftsbiträdesavtal finns då det behövs. Utförandeansvarig behandling av personuppgifter Då dataskyddsombud ej ingår i verkställighet behövs en verksamhetsanknuten roll med ansvar för implementering och förvaltning av rutiner och stödfunktioner enligt dessa riktlinjer. Utförandeansvarig handläggare utses av kommunchef. är kontaktperson för icke sektorsspecifika frågor som rör implementering av dataskyddsförordningen, t ex system för register som ska föras enligt Artikel 30. Stöd till DSO i dennes arbete vad gäller kvalitetsuppföljning och aktiviteter som ska samordnas, t ex utbildningsinsatser. samordnar vid behov arbetet om stödjande och styrande dokument. koordinerar arbetet med implementering av dataskyddsförordningen. ansvara för att information och råd om dataskyddslagstiftningen finns på intranätet. ska ges utrymme och möjligheter till kompetensutveckling för utförande av uppdraget ska ges tillgång till adekvat juridiskt stöd. Förvalta riktlinjerna Dokumentansvarig chef är Administrativa chefen. Dokumentansvarig chef har ansvar för att medarbetarna är informerade om styrdokumenten. 9