DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Relevanta dokument
DATASKYDD (GDPR) Del 2: Förvaltningsledning

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Handlingsplan för persondataskydd

Riktlinjer för hantering av personuppgifter

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Riktlinjer för hantering av personuppgifter

Riktlinjer för dataskydd

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Information om dataskyddsförordningen

Regler för behandling av personuppgifter vid Högskolan Dalarna

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Riktlinjer för personuppgiftshantering

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR och hantering av personuppgifter

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Policy för behandling av personuppgifter

Anvisningar för behandling av personuppgifter

Lindesbergs kommuns arbete med dataskyddsförordningen

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

STOCKHOLMS FOTBOLLFÖRBUND

Ett eller flera dataskyddsombud?

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

Information till personuppgiftsansvarig om dataskyddsombud

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Södertörns brandförsvarsförbund

GDPR UTBILDNINGSDAG SKKF

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Den nya dataskyddsförordningen - GDPR

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

INFORMATIONSSÄKERHET OCH DATASKYDD

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Policy för informations- säkerhet och personuppgiftshantering

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Ingegerd Lenander (KD), Markaryd

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR. Dataskyddsförordningen

EU:s allmänna dataskyddsförordning:

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Dataskyddsombud, organisation och finansiering

GDPR definition och hur utbildningen berör(t)s av förordningen

EU:s dataskyddsförordning

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Dataskyddsförordningen (DSF/GDPR)

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

WHITE PAPER. Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Instruktion till mall för registerförteckning

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Dataskyddsförordningen

GDPR. General Data Protection Regulation

GDPR NYA DATASKYDDSFÖRORDNINGEN

Personuppgiftsbehandling Dataskydd

Öfn 127 Redovisning av statistik från kansliet

Integritetspolicy. Proinova AB/Proinova Agency AB. Org.nr: / Båda bolagen benämns gemensamt som Proinova i denna policy.

Personuppgiftsinformation för Svedala kommun

Svenska Vorstehklubben

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR General data protection regulation Dataskyddsförordningen

Granskning av landstingets hantering av personuppgifter

Mattias Thorängen. Peter Söderström

GDPR ur verksamhetsperspektiv

Policy för behandling av personuppgifter

Utseende av dataskyddsombud

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen (GDPR)

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Dataskyddsförordningen

GDPR POLICY Behandling av personuppgifter

GDPR Presentation Agenda

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Transkript:

DATASKYDD (GDPR) Del 1: Kommun- /regionledning Del 1 Kommunledning Organisationens högsta ledning Del 2 Förvaltningsledning Verksamhetsledning Del 3 Dataskyddssamordnare Dataskyddsredogörare Del 4 Kärnverksamhet Om dokumentet I det här dokumentet finns en sammanfattning av det som ledningen centralt behöver göra för att uppfylla dataskyddsförordningen som trädde ikraft 2018. Målgruppen är både den politiska ledningen och ledningsgrupp på central förvaltning. Informationen riktar sig till organisationer som avtalat med Sydarkivera om gemensamt dataskyddsombud som anslutande tjänst. Texten baseras framför allt på: Vägledningar från Sveriges kommuner och landsting (SKL) Vägledningar från Datainspektionen SIDAN 1 (7)

Dataskyddsförordningen GDPR förstå och tillämpa i praktiken, Monika Wendleby och Dag Wetterberg (2019). Bakgrund Dataskyddsförordningen, eller GDPR (General Data Protection Regulation) som den också kallas, innehåller regler om hur man får behandla personuppgifter. Syftet är att skapa ett enhetligt regelverk inom EU för behandling av personuppgifter. Förordningen började gälla den 25 maj 2018 och ersätter helt personuppgiftslagen (PuL). Sverige har också tagit fram kompletterande lagstiftning i dataskyddslagen som började gälla 25 maj 2018. Den 1 maj 2018 startade Kommunalförbundet Sydarkivera en verksamhet som gemensamt dataskyddsombud för de förbundsmedlemmar som tecknat avtal om anslutande tjänst. Bestämmelser om samverkan inom ramen för Sydarkivera finns i förbundsordningen som antagits av samtliga fullmäktige inom medlemskretsen. Förbered verksamheten och organisera GDPR-arbetet 1. Informera internt Dataskyddsförordningen kommer att ersätta personuppgiftslagen. Detta medför att det blir ändringar och kompletteringar i många svenska lagar. Försäkra er om att beslutsfattare, medarbetare och nyckelpersoner inom er organisation får information om förändringen och vad det innebär. Tips! Informera via ledningsgrupper, intranät eller nyhetsbrev. 2. Informera externt om rättigheter Det behöver finnas information på webbplatsen eller andra kontaktytor så att allmänheten kan få information om de behandlingar som utförs, om de registrerades rättigheter och hur de kan utöva dem. Tips! SKL har tagit fram vägledning och mallar för kommunikatörer för att underlätta detta arbete. SIDAN 2 (7)

3. Intern organisation och samordnare Varje myndighet, nämnd eller styrelse, är personuppgiftsansvarig för sin verksamhetsinformation. Se till att det finns en organisation med utpekat ansvar och roller som kontinuerligt arbetar med dataskydd. Denna organisation kan se ut på många sätt beroende på de arbetssätt och förutsättningar som finns. Beslut om intern/lokal organisation för dataskydd ska beslutas av kommunstyrelse eller motsvarande. Tips! En enkel organisation att starta med finns nedan. Det finns ett särskilt dokument som riktar sig till dem som ska arbeta praktiskt med dataskydd. Dataskyddssamordnare: Leder det övergripande arbetet inom kommunen och samordnar dataskyddsredogörarna. Denna person rapporterar till ledningen. Dataskyddsredogörare: Varje förvaltning utser en eller flera personer som arbetar med dataskydd på verksamhetsnivå. 4. Gemensam organisation för dataskyddsombud Hos Sydarkivera finns ett team med olika kompetenser som är gemensamma resurser när det gäller frågor om dataskydd. Teamet kommer att arbeta nära tillsammans med samordnaren i den organisation som har Sydarkivera som dataskyddsombud. Träffar för erfarenhetsutbyte och gemensam arbetsplats på webben finns för att dela information och ställa frågor. I uppdraget ingår: Information, mallar, rådgivning och utbildning. Kontroll av att bestämmelserna om dataskydd efterlevs. Kontaktperson mot tillsynsmyndighet (datainspektionen) Följa rättsutvecklingen inom området. Tips! Om man har frågor kring dataskydd ställs dessa till Sydarkivera på dataskydd@sydarkivera.se. SIDAN 3 (7)

5. Utse dataskyddsombud Varje myndighet ska utse dataskyddsombud inom en kommun eller region, Kommunalförbund och bolag utser dataskyddsombud i styrelsen. Det är Sydarkiveras förbundsjurist Therese Jigsved som är dataskyddsombud. Tips! Utgå från mall för tjänsteskrivelse som tagits fram i samarbete samt den förifyllda blankett som ska skickas in till Datainspektionen. 6. Dataskyddspolicy Anta dataskyddspolicy samt riktlinjer för dataskydd. I dataskyddspolicyn anges vision och de övergripande mål som kommunen/regionen/myndigheten har med sitt dataskyddsarbete.. I policyn ska det framgå vilken strategi man har för skydd av personuppgifter. Syftet med en dataskyddspolicy är att alla ska förstå vad kommunen/regionen/myndigheten gör, varför och hur. Enligt lagen ska man ge informationen i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk Tips! Utgå från mallarna för dataskyddspolicy och riktlinjer som Sydarkivera tagit fram. 7. Översyn styrande dokument Gå igenom organisationens styrande dokument och uppdatera dem om det behövs. Översynen gäller inte enbart dokument relaterade till it och säkerhet utan även andra styrdokument. Börja med de styrande dokumenten som direkt berörs av dataskyddsförordningen: Dataskyddspolicy och riktlinjer för dataskydd Integritetspolicy/Sekretesspolicy för utläggning på webb Säkerhetspolicy och riktlinjer för säkerhet Informationssäkerhetspolicy och riktlinjer för informationssäkerhet Riktlinjer för incidentrapportering SIDAN 4 (7)

Riktlinjer för anställda/förtroendevalda hur personuppgifter ska/inte får behandlas i epost, SMS, chatt och på internet eller annat ostrukturerat material Riktlinjer för rättelse, radering, begränsning av behandling och vid invändning av användande av personuppgifter Upphandlingspolicy och riktlinjer för upphandling ex. kring säkerhet och molntjänster Övriga styrdokument som finns ska ses över som t.ex. personalpolicy, finanspolicy och näringslivspolicy. Det är inte säkert alla styrdokument berörs och behöver uppdateras men det är viktigt att alla policys och riktlinjer gås igenom. Kontrollera om det på något sett berörs av den nya lagstiftningen och om så är fallet så uppdatera dem. Tips! Utgå från mallarna för olika policys och riktlinjer som Sydarkivera har. Texter att använda i olika styrdokument finns också. 8. Incidenter För att kunna leva upp till de nya skyldigheterna enligt dataskyddsförordningen är det viktigt att organisationer som behandlar personuppgifter har rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Det är viktigt att arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter. Se till att skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter, upprätta en handlingsplan för de fall en personuppgiftsincident inträffar och dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen. Tips! Utgå från mall för Riktlinjer för personuppgiftincidenter samt den vägledning som finns hos Datainspektionen. Datainspektionen har också blankett och instruktioner hur anmälan till dem ska gå till. 9. Registerförteckning Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av SIDAN 5 (7)

personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Det är viktigt att den övergripande ledningen för kommun/region i form av datasamordnare ser till att samtliga myndigheter som tillhör deras organisation har en registerförteckning över alla personuppgiftsbehandlingar. Om det finns en registerförteckning enligt personuppgiftslagen behöver den kompletteras och uppdateras. Om det inte finns ett gemensamt system i organisationen kan den mall som tagits fram av SKL användas för att påbörja en enkel registerförteckning. Tips! Utgå från den instruktion och mall som SKL tagit fram för registerförteckning om organisationen inte har ett eget verktyg. 10. Dokumentation Samla systematiskt och fortlöpande dokumentation som visar hur ni följer dataskyddsförordningen, utöver registerförteckningen. Se till att dokumentation om dataskydd hålls på ett ordnat och systematiskt sätt och att rutiner finns för att hålla det uppdaterat. Se också till att dokumentation som visar hur organisationen uppfyller kraven i dataskyddsförordningen som helhet eller per myndighet finns samlad tillsammans med registerförteckningar. Dokumentation som visar detta kan t.ex. vara policys, riktlinjer, checklistor, konsekvensbedömningar, riskanalyser, blanketter. Tips! Diarieför de styrdokument, rutiner och instruktioner som gäller för organisationen så de är lättåtkomliga vid kontroll. Använd också gärna ett register/system som visar vilka dokument, ex styrdokument och registerförteckning ni har för att klara dataskydd men även över konsekvensbedömningar, informationskartläggningar etc. Man kan använda ett SIDAN 6 (7)

verktyg eller samarbetsyta eller pärm för att få överblick över hur dataskyddet hanteras övergripande i organisationen. SIDAN 7 (7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss