Dataskyddsförordningen (DSF/GDPR)

Relevanta dokument
Utseende av dataskyddsombud

Dataskyddsombud (DSO) för kulturnämnden samt information om lokal organisation för hantering av personuppgifter i kulturförvaltningen

Riktlinjer för hantering av personuppgifter

EU:s allmänna dataskyddsförordning:

Dataskyddsförordningen

Information till personuppgiftsansvarig om dataskyddsombud

Ett eller flera dataskyddsombud?

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Riktlinjer för personuppgiftshantering

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Organisatoriska förutsättningar för dataskyddsarbete

Handlingsplan för persondataskydd

GDPR. Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Riktlinjer för hantering av personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Skolan och Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

Information om behandling av personuppgifter

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Svensk författningssamling

Personuppgiftsbiträdesavtal

Riktlinjer för behandling av personuppgifter i Årjängs kommun

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Dataskyddsombud i kommuner, landsting och regioner

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR Presentation Agenda

Dataskyddsförordningen

Vården och reglerna om dataskydd

Allmänna Råd. Datainspektionen informerar Nr 3/2017

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Riktlinjer för dataskydd

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

PERSONUPPGIFTSBITRÄDESAVTAL

INFORMATIONSSÄKERHET OCH DATASKYDD

GDPR NYA DATASKYDDSFÖRORDNINGEN

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen och kvalitetsregister

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

GDPR. General Data Protection Regulation. dataskyddsförordningen

Anvisningar för behandling av personuppgifter

Handläggning av personuppgiftsincidenter

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Välkomna till kurs i den nya dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Policy för behandling av personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

Personuppgiftsbehandling Dataskydd

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Personuppgiftsbiträdesavtal

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Instruktion till mall för registerförteckning

BESKRIVNING AV PERSONUPPGIFTSHANTERING

GDPR- Seminarium 2017

EU:s dataskyddsförordning

Personuppgiftsinformation för Svedala kommun

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

DATASKYDD (GDPR) Del 2: Förvaltningsledning

EU:s dataskyddsförordning

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

INTEGRITETSPOLICY för Webcap i Sverige AB

GDPR UTBILDNINGSDAG SKKF

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

INTEGRITETSPOLICY. Syfte. Bakgrund. Vilka uppgifter behandlar vi och varför? REAR AB:s behandling av personuppgifter

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Policy för behandling av personuppgifter

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Transkript:

Dataskyddsförordningen (DSF/GDPR) Styrelseinformation Bostads AB Poseidon 2018-09-27 Nina Havner Dataskyddsombud

2

Bakgrund Dataskyddsförordningen EU beslut i april 2016 om en Dataskyddsförordning (DSF). DSF tillämpas från 25 maj 2018 i samtliga medlemsstater. Tillåter nationella särregler. 3

Dataskyddsenheten Beslut i kommunstyrelsen den 23 augusti 2017 att Intraservice utvecklar en kommungemensam intern tjänst som tillhandahålls alla förvaltningar och bolag inom Göteborg Stad - dataskyddsenheten. Enhetschef: Lise-Lotte Ringborg DSO: Abtin Kronold (Jurist) Kiana Fanaey (Jurist) Johan Bergström (Arkivarie) Leopold Zainali (Jurist) Carina Seiberlich (Arkivarie) Nina Havner (Jurist) Martin Brunhage (Jurist) Patricia Gozon (Jurist) Alireza Haghighi (Ingenjör) Tjänstebeskrivning DSO och tilldelningsbeslut är utskickade till förvaltningar och bolag (PuA) 4

Varför är det viktigt? En del av både privat och offentlig verksamhet. Berör oss alla även privat. Förändringar i samhället såsom digitalisering och ökning av online- tjänster har lett till att mängden personuppgifter som behandlas har ökat. 5

Vad är syftet med DSF? skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Skapa enhetliga regler för hela EU. Individernas rätt stärks. DSF ska vara en integrerad del av bolagets arbetssätt. 6

Olika roller Personuppgiftsansvarig (PuA) Den organisation t.ex. aktiebolag, stiftelse, förening eller myndighet som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde (PuB) Den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den ansvariges organisation. Dataskyddsombud (DSO) Oberoende rådgivare för den personuppgiftsansvarige som kontrollerar att dataskyddsförordningen följs. DSO omfattas av den sekretess som verksamheten har. Dataskyddskontakt (DSK) Varje personuppgiftsansvarig organisation i Göteborg Stad ska ha minst en dataskyddskontakt. Dataskyddskontakten ska vara en kontaktperson till dataskyddsombudet och har som uppgift att kanalisera frågor från verksamheten till dataskyddsombudet. 8

Personuppgiftsansvarigas ansvar Omfattning Ytterst ansvarig för all behandling. Vidta lämpliga tekniska och organisatoriska åtgärder. Kunna bevisa att behandlingen utförs korrekt inkl. åtgärdernas effektivitet. Fokus Behandlingens art, omfattning, sammanhang och ändamål. Riskerna med behandlingen. Aktivt stödja dataskyddsombudets arbete. 9

DSO:s uppgifter Analysera och kontrollera huruvida bestämmelser om behandlingen efterlevs. Informera samt ge råd och utfärda rekommendationer till den personuppgiftsansvarige eller personuppgiftsbiträdet. Kontaktpunkt och samarbeta med tillsynsmyndigheten/di. Rapporterar direkt till den personuppgiftsansvarige eller dennes högsta förvaltningsnivå Riskbaserat arbetssätt. 10

DSO:s ställning Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. SKL kommentar: Det är avgörande att ombudet involveras i tidigast möjliga skede av alla frågor där dataskydd blir aktuellt. Förutom att rådfrågas i samband med konsekvensbedömningar ska organisationen säkerställa att dataskyddsombudet till exempel: - Regelbundet bjuds in till ledningsmöten på högsta beslutande och mellannivå, - Att ombudet närvarar vid beslut som påverkar dataskydd och att all relevant information görs tillgänglig i god tid, - Att ombudets bedömning alltid måste övervägas och om ombudets råd inte följs ska organisationen dokumentera skälen. - Att dataskyddsombudet kontaktas vid incidenter som kan medföra olovlig åtkomst av information. 11

Ordning och reda på torpet Ett register för personuppgiftsbehandlingar Alla företag och organisationer är i normalfallet skyldiga enligt förordningen att ha ett register över sina personuppgiftsbehandlingar. För varje behandling ska det bland annat framgå : Vem som är internt ansvarig. Vad syftet är med behandlingen. Vilka typer av personuppgifter som behandlas. Med vilken rättslig grund som personuppgifterna behandlas. 12

Nytt personuppgiftsregister Tilldelning har skett till Draftit Privacy AB. Implementeringsprojekt startar under hösten. 13

DSO:s iakttagelser/rapport avseende bolagets dataskyddsarbete Avser perioden april september 2018. Följsamhet utifrån tilldelningsanvisningar och DSF avseende organisation DSK är utsedd och ersättare är anmäld. DSO är anmäld till tillsynsmyndigheten/di. Följsamhet utifrån bolagets informationsskyldighet och den registrerades rättigheter Kommunikation och integritetspolicy på bolagets hemsida. Bolaget tar hänsyn till DSF och integritetsfrågor t.ex. gällande beslutet om rökfritt boende, korrespondens med kund angående uppgifter som lämnas i samband med uppsägning och visning av en bostad. 14

Status inkomna ärenden den registrerades rättigheter Rätt till tillgång (utlämning av pu) Rätt till radering Rätt till rättelse Rätt till dataportabilitet Rätt till invändning Rätt till begränsning Antal: 1 Antal: Antal: Antal: Antal: Antal: 15

Forts. DSO:s iakttagelser/rapport avseende bolagets dataskyddsarbetet Följsamhet vid personuppgiftsincidenter som kan innebära risker för människors friheter och rättigheter Bolaget rapporterar in och följer DSO:s råd och rekommendationer. Fem personuppgiftsincidenter varav en är inrapporterad till Datainspektionen. Bolaget känner igen en personuppgiftsincident. Personalen vet hur och till vem personuppgiftsincidenter ska rapporteras. Alla personuppgiftsincidenter dokumenteras. 16

Forts. DSO:s iakttagelser/rapport avseende bolagets dataskyddsarbete Kort beskrivning av inrapporterad personuppgiftsincident Phisingmail den 18 juni 2018 Avsaknad av tillräckliga rutiner för riskbedömning och incidenthantering mellan berörda PuA bolagen i koncernen och PuB/Framtidens IT samt deras underbiträde Microsoft. Identifierade brister gällande: tidsaspekt, relevant information och utförda åtgärder. Resultat: Kompletterad anmälan skickades till DI. Bolaget har utsett en person och en koncerngemensam grupp som ansvarig att hantera personuppgiftsincidenter Incidentrutiner inklusive information till de registrerade personerna togs fram. Ännu okänt exakt mängd och kategori av personuppgifter som röjdes eller inte. Inrapporterade åtgärder bör utvärderas. DI beslut den 30 augusti 2018 efter granskning avslutas ärendet utan ytterligare åtgärd. 17

Sammanfattningsvis iakttagelser och rekommendationer Bolaget har en etablerad dataskyddsorganisation förankrad i ledningen. Medvetenhet hos både beslutsfattare/pua och medarbetare om DSF. Ett fortsatt aktivt engagemang och säkerställande av organisatoriska resurser utveckling av rutiner och riskanalyser utbildningsinsatser Rekommendation: DSF introduktionsinformation till alla nyanställda, riktade insatser till särskilda grupper i verksamheten, obligatorisk e-learning utbildning för all personal. I syfte att DSF blir en integrerad del av bolagets arbetssätt. 18

19

Kontakt Dataskyddsenheten Intraservice Ekonomi/ledning/styrning, Göteborgs Stad Nina Havner Dataskyddsombud Mejl: nina.havner@intraservice.goteborg.se Tfn: 031-368 65 69

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss