DATASKYDD (GDPR) Del 2: Förvaltningsledning

Relevanta dokument
DATASKYDD (GDPR) Del 1: Kommun- /regionledning

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Riktlinjer för hantering av personuppgifter

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Anvisningar för behandling av personuppgifter

Handlingsplan för persondataskydd

Riktlinjer för hantering av personuppgifter

Riktlinjer för dataskydd

Lindesbergs kommuns arbete med dataskyddsförordningen

Information om dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

EU:s allmänna dataskyddsförordning:

Riktlinjer för personuppgiftshantering

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

GDPR. Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR och hantering av personuppgifter

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Policy för behandling av personuppgifter

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Ett eller flera dataskyddsombud?

Integritetspolicy för X organisation

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Personuppgiftsbehandling Dataskydd

Regler för behandling av personuppgifter vid Högskolan Dalarna

Riktlinjer för hantering av personuppgifter

Behandling av personuppgifter vid Göteborgs universitet

Öfn 127 Redovisning av statistik från kansliet

GDPR NYA DATASKYDDSFÖRORDNINGEN

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

STOCKHOLMS FOTBOLLFÖRBUND

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen

Information till personuppgiftsansvarig om dataskyddsombud

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Personuppgiftsinformation för Svedala kommun

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Policy för integritet vid hantering av personuppgifter

Allmänna råd. Datainspektionen informerar. Nr 2/2016

WHITE PAPER. Dataskyddsförordningen

GDPR UTBILDNINGSDAG SKKF

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Södertörns brandförsvarsförbund

EU:s dataskyddsförordning

Säkerhetspolicy rev. 0.1

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Integritetspolicy. Proinova AB/Proinova Agency AB. Org.nr: / Båda bolagen benämns gemensamt som Proinova i denna policy.

Utredning om förberedelser inför att dataskyddsförordningen träder i kraft maj 2018

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Dataskyddsombud, organisation och finansiering

Dataskyddsförordningen (GDPR)

vid Geritrim vård- och rehabiliteringsenhet

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Integritetspolicy Monitor ERP System AB

Axholmen:s Integritetspolicy

Dataskyddsförordningen GDPR - General Data Protection Regulation

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

GDPR (General Data Protecting Regulation)

Dataskyddsförordningen (GDPR)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

Integritetspolicy Rinkaby Rör

Den nya dataskyddsförordningen - GDPR

Dataskyddsförordningen för prefekter och administrativa chefer

Denna dag, har följande policy upprättats för Svensk biblioteksförening ( Föreningen ).

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Instruktion för personuppgiftsbiträdesavtal

Dataskyddsförordningen

Asitis personuppgiftspolicy. Asitis personuppgiftspolicy Syfte Ändamål Riktlinjer Asitis personuppgiftsbehandling...

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Så behandlar vi dina personuppgifter

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Transkript:

DATASKYDD (GDPR) Del 2: Förvaltningsledning Del 1 Kommunledning Organisationens högsta ledning Del 2 Förvaltningsledning Verksamhetsledning Del 3 Dataskyddssamordnare Dataskyddsredogörare Del 4 Kärnverksamhet Om dokumentet I det här dokumentet finns en sammanfattning av det som förvaltningsledning, eller verksamhetsledning, behöver göra för att uppfylla dataskyddsförordningen. Målgruppen är både den politiska ledningen i nämnd/styrelse och chefer på förvaltningarna. Informationen riktar sig till organisationer som avtalat med Sydarkivera om gemensamt dataskyddsombud som anslutande tjänst. Texten baseras framför allt på: Vägledningar från Sveriges kommuner och landsting (SKL) Vägledningar från Datainspektionen Dataskyddsförordningen GDPR förstå och tillämpa i praktiken, Monika Wendleby och Dag Wetterberg (2019). SIDAN 1 (7)

Bakgrund Dataskyddsförordningen, eller GDPR (General Data Protection Regulation) som den också kallas, innehåller regler om hur man får behandla personuppgifter. Syftet är att skapa ett enhetligt regelverk inom EU för behandling av personuppgifter. Förordningen började gälla den 25 maj 2018 och ersätter helt personuppgiftslagen (PuL). Sverige har också tagit fram kompletterande lagstiftning i dataskyddslagen som började gälla 25 maj 2018. Den 1 maj 2018 startade Kommunalförbundet Sydarkivera en verksamhet som gemensamt dataskyddsombud för de förbundsmedlemmar som tecknat avtal om anslutande tjänst. Bestämmelser om samverkan inom ramen för Sydarkivera finns i förbundsordningen som antagits av samtliga fullmäktige inom medlemskretsen. Förbered verksamheten och organisera GDPR-arbetet 1. Personuppgiftsansvar Varje myndighet är personuppgiftsansvarig (PUA) för sin verksamhetsinformation. Informera nämnden/styrelsen om vad det innebär att de är personuppgiftsansvariga. 2. Individens rättigheter Dataskyddsförordningen definierar bland annat de rättigheter som en registrerad person har. Informera i styrelse och ledningsgrupp om rättigheterna och vad det ställer för krav på verksamheten. De viktigaste rättigheterna för registrerade är att: Vid begäran få tillgång till sina personuppgifter Få felaktiga personuppgifter rättade Kunna få sina personuppgifter raderade (här finns undantag för myndigheter) Ha möjlighet att invända mot att personuppgifter används för automatiserat beslutsfattande och profilering. Tips! Utgå från den mall för presentation och de broschyrer för personuppgiftsansvariga och övriga som har tagits fram av Sydarkivera. SIDAN 2 (7)

3. Intern organisation Ledningen organisationen rekommenderas att utse en dataskyddssamordnare som leder det övergripande arbetet i organisationen. Beslut om hur arbetet ska organiseras övergripande i en organisation ska fattas av högsta ledningen ex kommunstyrelse. I den ska framgå vad förvaltningarna och verksamheterna förväntas göra. Varje förvaltning rekommenderas att utse dataskyddsredogörare och biträdande dataskyddsredogörare för verksamheten. Det är för att det ska finnas personer som kontinuerligt arbetar med området framöver. Det kan behövas en arbetsgrupp beroende på förutsättningarna. Till exempel hur stor verksamheten är, hur mycket personuppgifter den hanterar, eller hur känsliga personuppgifter som hanteras. Tips! Det finns ett särskilt dokument (Del 3) som riktar sig till dataskyddssamordnare och dataskyddsredogörare. 4. Gemensam organisation för dataskyddsombud Hos Sydarkivera finns ett team med olika kompetenser som är gemensamma resurser när det gäller frågor om dataskydd. Teamet kommer att arbeta nära tillsammans med samordnaren i organisationen. I uppdraget ingår: Information, mallar, rådgivning och utbildning. Kontroll av att bestämmelserna om dataskydd efterlevs. Kontaktperson mot tillsynsmyndighet (datainspektionen) Följa rättsutvecklingen inom området. Tips! Om man har frågor kring dataskydd ställs dessa till Sydarkivera på dataskydd@sydarkivera.se. 5. Dataskyddsombud Varje myndighet fattar själva beslut om att utse dataskyddsombud. Om man vill ha Sydarkivera som dataskyddsombud så är det förbundsjurist Therese Jigsved som är dataskyddsombud SIDAN 3 (7)

Tips! Mall för tjänsteskrivelse för beslut om dataskyddsombud samt förifylld blankett finns framtagna. 6. Dataskyddspolicy En dataskyddspolicy beslutas av fullmäktige eller övergripande organ för organisationen och innehåller bl.a. övergripande visioner och mål för hur dataskyddet ska ut. Informera om policyn i nämnd/styrelse som antagits av det övergripande organet ex. fullmäktige. Översyn styrande dokument Gå igenom förvaltningens/verksamhetens samtliga styrande dokument och uppdatera dem. Det gäller inte bara dokument som handlar om IT och säkerhet utan även andra styrdokument som kommer påverkas av dataskyddsförordningen. Delegationsordningen ska kompletteras med delegationsbeslut som berör dataskydd. Tips! Kontrollera med dataskyddssamordnaren vilka policys och riktlinjer som är framtagna för organisationen och som gäller samtliga förvaltningar så ni inte gör arbete i onödan. Förvaltningen ska enbart hantera styrdokument som gäller för deras verksamhet. Utgå från den mall för delegationsordning för dataskydd som finns framtagen av Sydarkivera. 7. Rutiner och instruktioner Se över rutiner och instruktioner som finns inom förvaltningen så att även de uppdateras för att stämma överens med de nya bestämmelserna i det nya regelverket och att förvaltningens rutiner innebär att registerförteckningen uppdateras regelbundet samt att nämnden/styrelsen årligen får en rapport kring vilka personuppgifter de är personuppgiftsansvariga för. Tips! Arbeta praktiskt med dataskydd i samband med förändringar i verksamheten, som till exempel upphandlingar av system och tjänster. Använd verktyg för risk-och sårbarhetsanalys och gör konsekvensanalyser vid upphandling. Utgå från mallarna som Sydarkivera har. Texter att använda i olika policys och riktlinjer finns också att utgå ifrån. SIDAN 4 (7)

8. Involvera verksamheten Det är viktigt att det finns mandat att involvera hela verksamheten, framförallt kärnverksamheten, i arbetet med dataskyddsförordningen. Ta reda på hur förvaltningens verksamheter kommer att påverkas av förordningen och identifiera de områden som ni måste arbeta särskilt med. Se gärna till att identifiera de områden inom er verksamhet som kräver konsekvensbedömningar. Tips! Fatta inriktningsbeslut i styrelse/nämnd kring hur arbetet kring dataskydd ska fungera samt när konsekvensbedömningar ska göras. Ta hjälp av Datainspektionens vägledning kring konsekvensbedömningar. 9. Registerförteckning Det behöver finnas en registerförteckning över alla personuppgiftsbehandlingar inom förvaltningen. Om det finns en registerförteckning enligt personuppgiftslagen behöver den kompletteras och uppdateras. Om det inte finns ett gemensamt verktyg för registerförteckningar i organisationen kan den mall som tagits fram av SKL användas för att påbörja en enkel registerförteckning Se över rutiner och instruktioner så att det inte blir ett engångsarbete utan att registerförteckningen kan hållas kontinuerligt uppdaterad. Tips! Utgå från den instruktion och mall som SKL tagit fram för registerförteckning om inte den övergripande organisationen har ett verktyg. 10. Dokumentation Samla systematiskt och fortlöpande dokumentation som visar hur ni följer dataskyddsförordningen, utöver registerförteckningen. Se till att dokumentation om dataskydd hålls på ett ordnat och systematiskt sätt och att rutiner finns för att hålla det uppdaterat. Se till att dokumentation som visar hur myndigheten uppfyller kraven i dataskyddsförordningen finns samlad tillsammans med registerförteckningen. SIDAN 5 (7)

Tips! Diarieför de styrdokument, rutiner och instruktioner som är framtagna för förvaltningen så de är lättåtkomliga vid kontroll. Använd också gärna ett register/system som visar vilka dokument, ex styrdokument och registerförteckning ni har för att klara dataskydd men även över konsekvensbedömningar, informationskartläggningar etc. Man kan använda ett verktyg eller samarbetsyta eller pärm för att få överblick över hur dataskyddet hanteras. 11. Leverantörer och avtal Andra relevanta dokument som kan behöva gås igenom rör avtal av olika slag. Det är viktigt att det finns personuppgiftsbiträdesavtal för de verksamhetssystem där förvaltningen är personuppgiftsansvariga. Följande är exempel på avtal som förvaltningen behöver gå igenom: Leverantörsavtal där förvaltningen har ett systemägaransvar Avtal med medarbetare Avtal med samarbetspartner (eventuellt personuppgiftbiträdesavtal). Tips! Kontrollera med dataskyddssamordnaren om de centralt inom organisationen tar hand om uppdateringen av avtal. I annat fall behöver förvaltningen gå igenom sina avtal själva. Använd den mall från SKL som tagits fram för personuppgiftbiträdesavtal med instruktion kring hantering av personuppgifter. Sydarkivera har också mallar för datadelning och samarbete mellan olika organisationer där det inte krävs regelrätta personbiträdesavtal. 12.Incidenter För att kunna leva upp till de nya skyldigheterna enligt dataskyddsförordningen är det viktigt att förvaltningen som behandlar personuppgifter har rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Det är viktigt att arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter. Se till att skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter, upprätta en handlingsplan för de fall en personuppgiftsincident inträffar SIDAN 6 (7)

och dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen. Tips! Kontrollera med dataskyddssamordnaren om övergripande riktlinjer tagits fram för organisationen hur personuppgiftsincidenter ska hanteras. Vid incident har Datainspektionen blankett och instruktioner hur anmälan till dem ska gå till. 13. Begäran om registerutdrag De registrerade hos en myndighet har: Rätt till information och tillgång Rätt till rättelse Rätt till radering Rätt till begränsning av behandling Rätt till dataportabilitet Rätt att göra invändningar Om någon som är registrerad begär att få utöva sina rättigheter, till exempel rätten att klaga eller få sina uppgifter raderade, ska myndigheten svara snarast, eller inom 1 månad. Varje myndighet/förvaltning hanterar förfrågan om registerutdrag men om men om begäran gäller flera myndigheter så är det bra om begäran samordnas av dataskyddssamordnaren. Tips! Använd den mall för rutin för hantering av de registrerades rättigheter som tagits fram i samarbete samt blankett för begäran om registerutdrag och svar på registerutdrag SIDAN 7 (7)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss