Policy för behandling av personuppgifter

Relevanta dokument
Policy och riktlinje för hantering av personuppgifter i Trosa kommun

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Riktlinjer för dataskydd

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Handlingsplan för persondataskydd

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Riktlinjer för personuppgiftshantering

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Lindesbergs kommuns arbete med dataskyddsförordningen

GDPR General data protection regulation Dataskyddsförordningen

Information om dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Policy för personuppgiftsbehandling

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Information om behandling av personuppgifter

GDPR NYA DATASKYDDSFÖRORDNINGEN

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Regler för behandling av personuppgifter vid Högskolan Dalarna

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

GDPR Presentation Agenda

Riktlinjer för hantering av personuppgifter

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Behandling av personuppgifter vid Göteborgs universitet

Riktlinjer för behandling av personuppgifter

Axholmen:s Integritetspolicy

GDPR och hantering av personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Personuppgiftsbehandling Dataskydd

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Koncernkontoret Enheten för juridik

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Säkerhetspolicy rev. 0.1

EU:s dataskyddsförordning

Policy för integritet vid hantering av personuppgifter

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

GDPR- Seminarium 2017

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Dataskyddsförordningen

Uppsala studentkårs dataskyddspolicy

Remiss av förslag till Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen 2018

INFORMATIONSSÄKERHET OCH DATASKYDD

Dataskyddsförordningen 2018

PuL och GDPR en översiktlig genomgång

INTEGRITETSPOLICY för Webcap i Sverige AB

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen - GDPR

Dataskyddsförordningen GDPR

GDPR UTBILDNINGSDAG SKKF

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Dataskyddsförordningen (GDPR)

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

Strand Kapitalförvaltning AB:s integritetspolicy

Instruktion till mall för registerförteckning

Dataskyddsförordningen

Kerstin Wardman, 25 april 2018

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Dataskyddsförordningen, GDPR

Policy för hantering av personuppgifter

Personuppgiftsbiträdesavtal

GDPR. Dataskyddsförordningen

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Integritetspolicy för Judiska församlingen (JF) i Stockholm

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Lathund Dataskydd för krögare

Integritetspolicy för Bernhold Ortodonti

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen

Transkript:

Policy för behandling av personuppgifter Antagen av kommunfullmäktige i Surahammars kommun 2018-05-28, XX Senast reviderad 2018-05-28 Ansvarig handläggare Mia Uhlin Utredare 0220-392 89 / mia.uhlin@surahammar.se

Målsättning för personuppgiftsbehandling Målet med denna policy är att säkerställa att Surahammars kommun och dess bolag hanterar personuppgifter i enlighet med EU:s dataskyddsförordning (General Data Protection Regulation GDPR). Policyn omfattar samtliga behandlingar där personuppgifter hanteras och omfattar både strukturerat och ostrukturerat material. Policyn gäller för kommunens nämnder och dess helägda bolag. Surahammars kommuns mål är att all behandling sker med hänsyn till den enskildes integritet och rättigheter. Personuppgifter ska behandlas med utgångspunkt i följande principer: All behandling ska ske i enlighet med gällande lagstiftning Personuppgifter ska endast behandlas för berättigat ändamål som är fastställt innan behandling påbörjas Personuppgifter ska vara korrekta och uppdaterade Risker för skada för den registrerade ska minimeras genom aktiv riskhantering och lämpliga skyddsåtgärder Endast behöriga ska få åtkomst till personuppgifter Personuppgifter ska skyddas så de inte oavsiktligen förstörs Personuppgifter ska bevaras endast så länge det är nödvändigt för ändamålet Inbyggt dataskydd och dataskydd som standard tillämpas genom att ta hänsyn till integritetsfrågor och bygga in lämpliga säkerhetsmekanismer i IT-lösningar Överföring till tredje land ska inte ske utan adekvata säkerhetsåtgärder Krav på att personuppgifter hanteras enligt gällande lagstiftning ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal Hantering av personuppgifter ska dokumenteras, följas upp och utvärderas kontinuerligt Definitioner Med personuppgift avses information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Exempel på personuppgifter är personnummer, namn, adresser, fastighetsbeteckningar, bild- och ljudupptagningar genom vilka en person kan identifieras. En bedömning om det är fråga om personuppgifter måste göras i det enskilda fallet. Med behandling av personuppgifter avses åtgärder eller serier av åtgärder som vidtas i fråga om personuppgifter. Exempel på strukturerat material är insamling, registrering, lagring, bearbetning, sammanställning eller samkörning. Även ostrukturerat material, så som personuppgifter som skickas via e-post eller sprids på annat sätt omfattas. Organisation och ansvar Kommunstyrelsen beslutar övergripande om viljeinriktningen för personuppgiftsarbetet. Varje styrelse och nämnd är personuppgiftsansvarig för sina egna personuppgiftsbehandlingar. Det vill säga de behandlingar som görs inom styrelsens eller nämndens ansvarsområde. Styrelser och nämnder är ytterst ansvariga för att: Följa gällande lagstiftning

Säkerställa att det finns ett Dataskyddsombud Fastställa ändamål med behandlingar Säkerställa att behandling sker med lämplig teknisk och organisatorisk säkerhet Ansvara för att dokumentation av behandlingar finns (registerförteckning) Giltiga personuppgiftsbiträdesavtal finns upprättat vid behov Säkerställa att det vid behov görs riskanalyser och konsekvensbedömningar om behandlingar sannolikt medför en hög risk för den registrerades integritet Säkerställa att personuppgiftsincidenter rapporteras till tillsynsmyndigheten Tillgodose registrerades rättigheter gällande information, tillgång (utlämning), rättning, begränsning, dataportabilitet och invändning Tidsfrister sätts och verkställs för behandlingar gällande arkivering, gallring och rensning Dataskyddsombud Samtliga personuppgiftsansvariga som enligt lagstiftningen ska utse ett Dataskyddsombud ska göra det. Dataskyddsombud har till uppgift att informera och ge råd till den personuppgiftsansvariga organisationen kring vilka skyldigheter som gäller enligt dataskyddsförordningen. Dataskyddsombudet ansvarar bland annat för kommungemensamma styrdokument och mallar inom området. Dataskyddsombudet ska bevaka att reglerna följs och är kontaktperson för tillsynsmyndigheten. Dataskyddsombudet är en oberoende funktion som ska anmälas till tillsynsmyndigheten. Dataskyddssamordnare Dataskyddssamordnare är kommunens kontaktperson gentemot Dataskyddsombudet. Dataskyddssamordnare ska bidra i arbetet med personuppgiftsbehandling utifrån sitt verksamhetsperspektiv, till exempel gällande framtagande av riktlinjer, arbetssätt och övervakning av efterlevnad för personuppgiftsbehandling. Dataskyddssamordnaren ansvarar för att vara insatt i gällande verksamhetsspecifik lagstiftning inom området. Dataskyddssamordnaren ansvarar även för att utbilda, informera och ge råd till verksamheten den representerar. Samtliga personuppgiftsansvariga ansvarar för att säkerställa att minst en Dataskyddsamordnare är utsedd som kontaktperson inom respektive verksamhetsområde. Dataskyddssamordnare utses av verksamhetschef, verkställande direktör eller motsvarande. Personuppgiftsbiträde Personuppgiftsbiträde är program- eller systemleverantör eller annan som på uppdrag av personuppgiftsansvarig hanterar dennes personuppgifter. Med biträdet ska ett personuppgiftsbiträdesavtal upprättas för att säkerställa ändamålsenlig hantering av personuppgifterna. Vidare anvisningar Ytterligare information om tillämpning av denna policy återfinns i Bilaga 1: Riktlinje för behandling av personuppgifter. Vidare konkretisering av denna policy ska utarbetas i andra riktlinjer för personuppgiftsbehandling.

Denna riktlinje är en bilaga till Policyn för behandling av personuppgifter för Surahammars kommun och dess bolag fastställd av kommunfullmäktige 2018-05-28. Strukturerad behandling Inom Surahammars kommun och dess bolag ska samtliga behandlingar av personuppgifter registreras i respektive nämnds registerförteckning. Verksamhetens Dataskyddssamordnare granskar, med stöd av Dataskyddsombudet, om behandlingen har rättslig grund utifrån principerna för behandling av personuppgifter: 1. Samtycke 2. Avtal 3. Rättslig förpliktelse 4. Skydd för grundläggande intressen 5. Uppgift av allmänt intresse eller myndighetsutövning 6. Efter en intresseavvägning Personuppgifterna får inte senare behandlas på ett sätt som är oförenligt med det initiala ändamålet och inte heller sparas längre än nödvändigt. Den som behandlar personuppgifter ska kunna visa att principerna följs. Ostrukturerad behandling Ostrukturerad behandling definieras som sådan behandling av personuppgifter som inte ingår i, eller är avsedda att ingå i, en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Typexempel är behandling av personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar och e-post. Enkla listor är också exempel på ostrukturerat material. Detta innebär att samma regler gäller för alla personuppgifter. Kravet på registrering omfattar både personuppgifter i separata program/system och register/listor som upprättas i andra program, så som Microsoft Excel, Word, och som bevaras i filformat. Hantering av personuppgifter ska främst, och så långt det är möjligt, ske i gemensamma program/system. E-post Hantering av personuppgifter i e-post räknas som behandling av personuppgifter och har samma krav som andra behandlingar. Avseende rättslig grund faller e-post inom flera principer. Huvudparten kan dock hänföras till Uppgifter av allmänt intresse, myndighetsutövning samt Rättslig förpliktelse vid speciallagstiftning. E-post med personuppgifter ska inte ligga kvar i inkorgen eller i skickatmappen hur lång tid som helst. När behandlingen av personuppgiften är klar ska informationen flyttas över till lämpligt program/system och e-postmeddelandet raderas. Den tid som personuppgiften lagras i e-post ska

begränsas till ett minimum. Det åvilar både avsändare och mottagare av e-post att uppmärksamma detta. I e-post ska inte personuppgifter som är känsliga eller sekretessbelagda behandlas. Med känsliga personuppgifter avses etnicitet, genetik, hälsa, sexualliv och sexuell läggning samt politisk, facklig, filosofisk och religiös övertygelse. E-post som sker genom särskild hantering med högre och tillräckligt hög säkerhetsnivå, till exempel kryptering, kan i vissa fall även behandla känsliga eller sekretessbelagda uppgifter. Information till registrerade Den registrerade ska få tydlig information kring kommunens och bolagens behandling av personuppgifter. Den registrerade ska få information om behandlingen den omfattas av samt de rättigheter den har enligt gällande lagstiftning. Exempel på information som ska ges till den registrerade är den lagliga grunden för behandlingen, under vilken period personuppgifterna kommer att lagras, ändamålen med behandlingen, eventuella mottagare som ska ta del av personuppgifterna och den enskildas rätt att inge klagomål till en tillsynsmyndighet. Alla medarbetare har ett ansvar att tillse att fungerande rutiner kring detta finns. Upphandling Vid upphandling och utveckling av IT-tjänster ska kommunen och dess bolag alltid ta hänsyn till dataskyddsförordningen. Detta ska säkerställas i upphandlingsdokument och vid avtalsskrivning. Vid ingång av nya avtal med leverantörer som tillhandahåller program/system där personuppgiftsbehandling ingår ska programmet/systemet upptas i register över behandlingar och personuppgiftsbiträdesavtal upprättas. Personuppgiftsbiträde Avtal ska upprättas med de program-/systemleverantörer och eventuellt andra parter som på personuppgiftsansvariges uppdrag hanterar personuppgifter. Part som tecknat avtal med leverantören är ansvarig för att personuppgiftsbiträdesavtal upprättas. Detta innebär att om kommunalförbundet har avtal med en leverantör vars program/system används av samverkande kommuner är det förbundets ansvar att upprätta personuppgiftsbiträdesavtal med leverantören. Om detta förfarande kräver skriftligt avtal i form av fullmakt eller liknande, ska detta upprättas. Kommunalförbundet och kommunerna upprättar egna personuppgiftsbiträdesavtal sinsemellan. Vid utformning av avtal används företrädesvis den mall för personuppgiftsbiträdesavtal som tagits fram av kommunalförbundet och de samverkande kommunerna. Om leverantören inkommer med förslag till avtal ska det säkerställas att förslaget innehåller motsvarande information som egen avtalsmall. Den som undertecknar avtalet ska ha adekvat delegering från den personuppgiftsansvarige. Rapport om personuppgiftsincident Med personuppgiftsincident avses en händelse där personuppgifter har eller kan ha kommit obehörig till del. Det kan exempelvis vara intrång i ett program/system som hanterar personuppgifter eller ett e- postmeddelande med personuppgifter som skickats fel.

Alla medarbetare har ett ansvar att rapportera personuppgiftsincidenter till förvaltningens/bolagets Dataskyddssamordnare. Denne ska skyndsamt rapportera till Dataskyddsombudet. Efter upptäckt ska en rapport inkomma till tillsynsmyndigheten inom 72 timmar. Om personuppgiftsincidenten bedöms medföra allvarliga risker för de registrerade så som risk för diskriminering, identitetsstöld, bedrägeri eller finansiella stölder ska även de registrerade informeras om händelsen.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss