Allmänna råd. Vi har lagring i flera miljöer som är uppdelat regionalt och lokalt.

Relevanta dokument
Anpassning till DSF

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Behandling av personuppgifter vid Göteborgs universitet

Lathund Personuppgiftslagen (PuL)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Kerstin Wardman, 25 april 2018

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Mertzig Asset Management AB

GDPR General data protection regulation Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Den nya dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

(5) Integritetspolicy - Kumla Bostäder AB

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Riktlinje för hantering av personuppgifter i e-post och kalender

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

DSF (GDPR) Ny lag om personuppgifter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

GDPR. Anders Ahlström

Lindesbergs kommuns arbete med dataskyddsförordningen

Policy för personuppgiftsbehandling

Så behandlar vi dina personuppgifter

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Personuppgiftspolicy Signera Rekrytering AB

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Denna dag, har följande policy upprättats för Svensk biblioteksförening ( Föreningen ).

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Information om behandling av personuppgifter på Tellus bostadsrättsförening

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

För- och efternamn:... Personnummer:... Adress:... Postadress:... Tel. bostad:... Tel. arbete:... Målsmans namn:... Ändamål:

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Instruktion till mall för registerförteckning

GDPR- Seminarium 2017

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Vården och reglerna om dataskydd

Integritetspolicy Våra Gårdar

POLICY FÖR DIGITAL KOMMUNIKATION

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Personuppgiftslagen (PuL) - En kort introduktion

Personuppgiftsbehandling för forskningsändamål

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Riktlinjer för webbpublicering enligt PuL

Manual för ansökan till Stiftelsen Kjellbergska Flickskolans Donationer

GDPR. Ulrika Harnesk 17 oktober 2018

Den nya Dataskyddsförordningen

Vad står förkortningen GDPR för? GDPR är en förkortning för General Data Protection Regulation.

Till dig som använder bildspelet för att presentera!

Integritetspolicy Dataskyddsförordningen

Datainspektionen informerar

INTEGRITETSPOLICY FÖR VERKSAMHETEN

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Information om dataskyddsförordningen

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Dataskyddsförordningen - GDPR

Stiftelsen PETTERSILFVERSKIÖLDSMINNESFOND

GDPR UTBILDNINGSDAG SKKF

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

BlueStep Banks AB (publ) Integritetspolicy

Vad är en personuppgift och vad är en behandling av personuppgifter

PERSONUPPGIFTSPOLICY

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Bilaga - Personuppgiftsbiträdesavtal

CARL JÖNSSONS UNDERSTÖDSSTIFTELSE II 1 (6)

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Genom att använda vår webbplats godkänner du att din personliga information behandlas i enlighet med denna integritetspolicy

Riktlinjer för behandling av personuppgifter

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Personuppgiftslagen konsekvenser för mitt företag

Södertörns brandförsvarsförbund

Göran Rydeberg, Stockholms universitet

Kvalitetsregisterdag

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Hallsbergs Bostadsstiftelses integritetspolicy

Transkript:

Anpassning till DSF 2018-05-25 Sammanfattning PRO måste från och med den 25:e maj 2018 anpassa hanteringen av personuppgifter enligt den nya lagen DSF, Dataskyddsförordningen. PRO har genomfört analys av vilka personuppgifter vi hanterar och vilken typ av uppgifter. Det har skett en genomgång av var och hur dessa uppgifter lagras och hanteras, både digitalt och på papper. DSF anger även att hanteringen av så kallade ostrukturerade uppgifter ska ingå i dokumentationen, detta kommer att ske i steg två av anpassningen. Genomgång av våra IT lösningar har gjorts, säkerhetsmässigt och vilka processer som finns och är anpassade för DSF. En GAP analys har genomförts. Nedan specificeras råd på hur PROs föreningar, samorganisationer och distrikt bör anpassa verksamheten för att anpassas till de direktiv som finns i DSF. Allmänna råd Vi har lagring i flera miljöer som är uppdelat regionalt och lokalt. Varje distrikt, samorganisation och förening är ansvariga för de personuppgifter ni samlar in och lagrar i er förening. Varje distrikt, samorganisation samt förening är personuppgiftsansvarig och ska följa de stadgar, beslut och policys som fastställs av PROs kongress, representantskap samt riks styrelse. Personuppgifterna som finns i PROs system ansvarar riksorganisationen för. Detta finns beskrivet i PROs policydokument och på www.datainspektionen.se. Tillgång till personuppgifter. DSF kräver att alla personer har rätt att få information om de uppgifter som finns registrerade i våra register. Utdrag ur Hjördis och andra enheter med information måste lämnas till personen inom 30 dagar. Vid förfrågan från person tas uppgifterna fram manuellt. De uppgifter som finns i Hjördis är personnummer, namn, adress, medlemsnummer föreningstillhörighet, samorganisationstillhörighet, distrikttillhörighet, reskontra, uppdrag och ansvarsområde, kurs/konferensdeltagande. Varje fråga måste besvaras inom 30 dagar och det måste finnas rutiner upprättade för detta. Uppgifterna förs upp i ett dokument som sänds via post till personen i fråga. Alla bör spara sina dokument med personuppgifter i PROs gemensamma arbetsyta på internet, Microsoft E365 där ni kan upprätta sökningar som tar fram uppgifter som finns på enstaka personer, på så sätt får ni även godtagbar IT säkerhet för personuppgifter. Sida 1 av 5

Personer har rätt att veta vilka som ser deras information och varför. DSF kräver att personer ska få veta vem och varför någon tittat på deras uppgifter om de begär det. Från och med den 24 maj är det endast personliga inloggningar som gör det möjligt att logga in i Hjördis, det gör att det finns en förteckning över vem som kan läsa våra personuppgifter. För att få en personlig inloggning krävs att man innehar ett uppdrag eller ansvarområde som är registrerat i Hjördis. Det är oerhört viktigt att uppdatera Hjördis med uppdrag och ansvarområden så att ingen obehörig kan logga in. Ändamålsbeskrivning DSF anger att man beskriver orsaken, syftet och till vad personuppgifterna används. Det innebär att varje insamling av nya personuppgifter måste dokumenteras med beskrivning av vilka uppgifter som samlas in, syftet med registreringen, hur uppgifterna används samt hur länge de sparas. De bör, om inte det finns särskilda skäl, raderas inom 6 månader efter att det inte finns något behov av dem. Person som inte vill vara registrerad. Om en person meddelar att den inte vill finnas i våra register är vi skyldiga att radera och glömma personuppgifterna. Konsekvensen blir då att medlemskapet upphör då vi inte kan hantera medlemskap manuellt. Uppgiftsminimering Man får inte samla mer uppgifter än nödvändigt. Ni måste dokumentera begränsning av insamling av uppgifter så ni inte samlar på er mer än nödvändigt för att fylla ändamålskraven. Missbruk finns inte i DSF. I den gamla personuppgiftslagen fanns en missbruksregel som innebar att personuppgifter som fanns i löpande text undantogs från PUL. Denna regel är borttagen i DSF vilket betyder att alla personuppgifter innefattas av DSF även i löpande text på till exempel webbsidor. Sida 2 av 5

Kryptering av kommunikation. DSF kräver att digital kommunikation som innehåller personuppgifter ska vara krypterad. I vår tjänst för e-post installeras MS ATP, Kryptering, som är en funktion som scannar utgående mail och varnar för att det kan innehålla personuppgifter. Om så är fallet föreslår systemet att mailet blir krypterat och kan inte öppnas av någon annan än den angivna mottagaren, det är heller inte möjligt att vidarebefordra mailet. Ni bör inte maila uppgifter om personer i något annat system än PROs egna. Hantering av ekonomiadministration (på papper) Alla papper som innehåller personuppgifter får inte finnas framme i allmänna utrymmen mer än nödvändigt. I lunchrum, reception, brevfack eller andra offentliga lokaler som till exempel kurs/sammanträdeslokaler får sådana dokument inte ligga överhuvudtaget. De ska aldrig ligga i skrivaren, uppgifterna skrivs ut under uppsikt och tas genast därifrån. När de inte används ska de förvaras i låsta skåp alternativt makuleras. Hantering av personuppgifter HR: Om ni har anställda registreras deras personuppgifter i personaladministrativa system. Behandlingen av personuppgifterna är nödvändig för att kunna fullgöra avtalsenliga förpliktelser mot anställda samt för att PRO ska kunna fullgöra sina skyldigheter enligt arbetsrätten och skattelagstiftningen; detta utgör också PRO:s lagliga grunder för personuppgiftsbehandlingen. Detta ska personalen informeras om och helst skriva avtal. Övervakning av incidenter. Vid händelse av en incident som intrång i era system av obehörig eller felaktiga utdrag eller hantering av uppgifter ska rapporteras till Datainspektionen senast 72 timmar efter upptäckt. Säkerhetsinställningar för användare. Vi går igenom rättigheter och justerar rättigheter i systemen kontinuerligt så att ingen ska ha tillgång till mer uppgifter än nödvändigt. Detta bör även ske i de lokala program ni använder. Sida 3 av 5

Hantering av särskilda kategorier. Om ni har register som innehåller särskilda kategorier, ras eller etniskt ursprung politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person krävs en högre säker och kryptering, dessutom ska man ha ett ordentlig hållbart skäl för att lagra sådana uppgifter. Detta bör undvikas. Hantering av utskrifter av personuppgifter på papper DSF talar om att personuppgifter får ses eller delges endast de personer som har rätt till det, gäller även hantering av uppgifter på papper. Alla papper som innehåller personuppgifter får inte ligga framme i allmänna utrymmen I lunchrum, reception, brevfack eller andra offentliga lokaler som till exempel kurs/sammanträdeslokaler får sådana dokument inte ligga överhuvudtaget. De ska aldrig ligga i skrivaren, uppgifterna skrivs ut under uppsikt och tas genast därifrån. När de inte används ska de förvaras i låsta skåp alternativt makuleras. Hantering av utskrifter av personuppgifter digitalt. DSF talar om att personuppgifter får ses eller delges endast de personer som har rätt till det, gäller även hantering av uppgifter på skärm. All hantering ska ske i PROs datorer, all information ska sparas i PROs servermiljö, aldrig i egna datorn. Vid arbete ska uppmärksamhet finnas på om personer finns i närheten och kan läsa skärmen då tar vi bort uppgifterna på skärmen. Skärmen ska även ha sekretessfilter för att försvåra för utomstående kan se innehållet på skärmen. Data Portabilitet. PRO är skyldiga att sända en persons uppgifter vidare till annan organisation om personen anger att medlemskapet ska upphöra i PRO och överföras till annan organisation. Vid förfrågan från person tas uppgifterna fram. Varje fråga måste besvaras inom 30 dagar. Rättelser av personuppgifter. Om en medlem upptäcker att det är fel registrerade uppgifter ska det snarast rättas. Sida 4 av 5

Rättigheter gällande vad användarna ser. Samtliga som loggar in i Hjördis ser inte bara sina egna medlemmar, till exempel en förening ser alla medlemmar inom PRO, men de kan endast administrera och ändra på sina egna. Vår bedömning är att föreningarna har en fördel och hjälp av att se alla medlemmar, det kan vara vid medlemsrekrytering (ny föreningsmedlem), sökfunktioner för att finna medlemmar i närområdet för att bjuda in till olika evenemang, söka förtroendevalda i närheten för samarbete etc. Gallring. Enligt DSF får personuppgifter sparas så länge vi har behov av dem, de ska sedan gallras. Vissa uppgifter sparas i 7 år enligt bokföringslagen (reskontra), andra ska genast gallras när behov inte finns, enlig uppgiftsminimeringen. Era texter som informerar om DSF måste innehålla information om detta, rekommenderar att vi anger 7 år och orsaken annars får vi klagomål på att uppgifter finns kvar mer än två år. Texter på material. Alla era material där personuppgifter inhämtas måste ha en text som beskriver hur och varför vi hanteras personuppgifter. Kommunikation När t.ex. namninsamlingar ska genomföras måste en uppgiftsminimering upprättas samt en konsekvensanalys genomföras, observera om uppgifterna är av särskilda kategorier, t.ex. politiska åsikter. Text med samtycke måste finnas på webbformulär och pappersunderskrifter, efter genomförd kampanj måste uppgifterna gallras. Ostrukturerade uppgifter på webben, bilder, namn i löpande text, ljudupptagningar måste ha ett medgivande, muntliga medgivanden är acceptabla men måste dokumenteras. Övervakning av data till externa intressenter. PROs personuppgifter får inte lämnas vidare till tredje part om inte detta är överenskommet med riksorganisationen. Databas i Episerver. Alla redaktörer i Episerver har tillgång till formulärhantering för insamling av data. All information sparas i en databas som innehåller väldigt mycket data som inte kan kontrolleras. Under en period kommer denna funktion stängas så att data kan raderas och policy för hur detta ska hanteras är upprättad. Sida 5 av 5