Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Relevanta dokument
Regler för behandling av personuppgifter vid Högskolan Dalarna

Instruktion till mallen för den informationstext som SLU ska lämna när vi samlar in personuppgifter

Så behandlar vi dina personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Riktlinjer för hantering av personuppgifter

Personuppgiftsbehandling Dataskydd

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Checklistor för innehåll i den information som enligt dataskyddsförordningen ska ges när personuppgifter samlas in

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen

Dataskyddspolicy för Svensk Hypotekspension AB i enlighet med dataskyddsförordningen (EU (2016/679)

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Policy för behandling av personuppgifter

Information om behandling av personuppgifter på Tellus bostadsrättsförening

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

GDPR. Dataskyddsförordningen

EU:s allmänna dataskyddsförordning:

Dataskyddsförordningen

Riktlinjer för dataskydd

PERSONUPPGIFTSBITRÄDESAVTAL

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

Handlingsplan för persondataskydd

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Hantering av personuppgifter i Borås Stad

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Ett eller flera dataskyddsombud?

Integritetspolicy för Bernhold Ortodonti

Behandling av personuppgifter vid Göteborgs universitet

Axholmen:s Integritetspolicy

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Södertörns brandförsvarsförbund

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 1a Personuppgiftsbiträdesavtal

Policy för behandling av personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Integritet och behandling av personuppgifter

I de fall vi har utsett ett dataskyddsombud (DPO) kan du kontakta vår DPO via kontaktuppgifterna som finns i "Frågor och funderingar" nedan.

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

INTEGRITETSPOLICY SAMORDNINGSFÖRBUNDET CENTRALA ÖSTERGÖTLAND

Personuppgiftsbiträdesavtal

Svensk författningssamling

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Information om behandling av personuppgifter

Den nya Dataskyddsförordningen

Datainspektionen informerar

GDPR- Seminarium 2017

Koncernkontoret Enheten för juridik

Gunnebo Industriers Integritetspolicy för kunder och leverantörer

Föreningen är skyldig att föra ett register över behandling av personuppgifter där föreningen är personuppgiftsansvarig eller personuppgiftsbiträde.

Integritetspolicy. Vårt dataskyddsarbete

Skolan och Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

GDPR och hantering av personuppgifter

GDPR POLICY Behandling av personuppgifter

Riktlinjer för att tillvarata enskildas rättigheter

Riktlinjer för hantering av personuppgifter

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

PERSONUPPGIFTSBITRÄDESAVTAL

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Lindesbergs kommuns arbete med dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Denna dag, har följande policy upprättats för Uppsala Parkerings AB

Amnesty International, svenska sektionens Integritetspolicy

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Integritetsmeddelande

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Välkomna till kurs i den nya dataskyddsförordningen

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Dataskyddsförordningen GDPR

Dataskyddsförordningen

PERSONUPPGIFTSPOLICY

Transkript:

s anvisningar avseende behandlingen av 20180711

20180711

Innehåll... 4 Viktiga dokument... 4 Viktiga begrepp... 4 Personuppgift... 4 Behandling... 4 Lagkrav... 5 Roller... 5 Personuppgiftsansvarig... 5 Personuppgiftsbiträde... 5 Underbiträde... 5 Dataskyddsombud... 5 Behandling av... 6 Registerförteckning... 6 Anvisningar för information till den registrerade... 6 Information till den registrerade om na samlas in direkt från den registrerade.. 6 Information till den registrerade om na inte har erhållits från den registrerade. 7 Incidentrapportering... 8 Verksamheternas rapportering... 8 Dokumentationskrav... 8 20180711

Detta dokument är att betrakta som en konkretisering av fullmäktiges Integritetsskyddspolicy, fastställd den 20180625. Syftet med dessa dokument är att uppfylla de lagkrav som ställs på behandlingen av. Lagkraven ska uppfyllas inom kommunstyrelsens samtliga områden. Som i princip enda nämnd 1 ansvarar kommunstyrelsen för den största delen av i Vansbro kommun. Viktiga dokument För att säkerställa informationssäkerheten i Vansbro kommun har fullmäktige fastställt en Informationssäkerhetspolicy för Vansbro kommun 2. Där fastställs kommunens intentioner avseende skyddet av informationstillgångarna. Vidare har Informationshanteringsplaner upprättats där hanteringen av varje enskild handlingstyp beskrivs. Arbetet med dessa planer är ständigt pågående och får aldrig avslutas. Kommunfullmäktige har också fastställt en Integritetsskyddspolcy 3 för att särskilt säkerställa skyddet omkring de som kommunen behandlar. Det är utifrån denna policy som kommunstyrelsen fastställer anvisningar avseende behandlingen (hanteringen) av. Viktiga begrepp Personuppgift Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, adress och personnummer. Även foton på personer klassas som. Ljudinspelningar som lagras digitalt kan också vara även om det inte nämns några namn i inspelningen. Ett bolagsnummer är ofta inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person, medan registreringsnumret på en firmabil som används av flera, kanske inte är en personuppgift. Även en IPadress kan vara en personuppgift. Uppgifter måste således bedömas i varje enskilt fall. Behandling Begreppet behandling syftar på all hantering av. Även de uppgifter som hanteras i pappersform, förutsatt att det finns två eller fler sökmöjligheter. 1 Förutom kommunstyrelsen finns Jävsnämnden, Valnämnden och en vald överförmyndare. Överförmyndarens administration sköts genom gemensam förvaltning med säte i Mora. 2 Kommunfullmäktige den 20170327 18 3 Kommunfullmäktige den 20170625 77 20180711

Lagkrav Det finns många lagkrav som kommunen har att leva upp till. När det gäller är det framförallt dataskyddsförordningen och offentlighets och sekretesslagen (2009:400) som är de tyngst vägande. Roller Personuppgiftsansvarig Personuppgiftsansvarig är kommunstyrelsen, som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlar för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Ett personuppgiftsbiträdesavtal ska alltid upprättas. 4 Underbiträde I de fall som personuppgiftsbiträdet anlitar ett eget biträde, så måste personuppgiftsbiträdet inhämta ett skriftligt förhandstillstånd från personuppgiftsansvarig för att få anlita ett underbiträde. Dataskyddsombud Kommunfullmäktige har utsett ett dataskyddsombud 5. Den övergripande och viktigaste uppgiften för dataskyddsombudet är att övervaka att organisationen följer dataskyddsförordningen. Det innebär bland annat att samla in information om hur organisationen behandlar, kontrollera att organisationen följer bestämmelser och interna styrdokument, samt att informera och ge råd inom organisationen. Dataskyddsombudet ska vara kontaktperson för de registrerade, som till exempel vill nå dataskyddsombudet för att få veta vilka uppgifter som finns registrerade om dem, men också för personalen inom kommunen, som vill veta om de gör rätt när de behandlar och naturligtvis mot Datainspektionen, som kan vilja inspektera verksamheten. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges högsta förvaltningsnivå, det vill säga till ledningsgruppen. Dataskyddsombudet är inte ansvarigt och får inte 4 I vissa fall, t.ex. gentemot Västerdala Utbildningsförbund, är kommunstyrelsen personuppgiftsbiträde då deras personal och lönehanteringen sköts av Vansbro kommun 5 Kommunfullmäktige den 20180528 61 20180711

bestraffas. Dataskyddsombudet har inget eget ansvar för att organisationen följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga. Personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter. Behandling av Registerförteckning Det ska finnas ett register där varje behandling av i organisationen förtecknas. Registret ska innehålla en beskrivning vad gäller syftet med behandlingen. En registerförteckning ska innehålla 6 : Kontaktuppgifter Ändamål med behandlingen Laglig grund för behandlingen Kategori av registrerade Kategori av t. ex. namn, telefon nr, epost, personnummer System eller organisationer som hämtar eller lämnar Behandling av i ett tredjeland (utanför EU/ EES) Såväl tekniska som organisatoriska skyddsåtgärder. Anvisningar för information till den registrerade Vid insamlingen av måste det lämnas viss information till den registrerade. Den registrerade är den individ som får sina behandlade, det vill säga den eller de vars som kommer att användas. Information till den registrerade ska tillhandahållas om na samlas in direkt från den registrerade (enligt artikel 13 i förordningen) exempelvis via enkät eller intervju eller om samlas in från en annan källa än den registrerade (enligt artikel 14 i förordningen), exempelvis Skatteverket eller SCB. Informationen som ges till den registrerade måste vara skrivet koncist, klart och tydligt. Information till den registrerade om na samlas in direkt från den registrerade Om na samlas in direkt från den registrerade ska information om minst följande lämnas: 1. Vem som är personuppgiftsansvarig för behandlingen, samt kontaktuppgifter till den personuppgiftsansvarige. 2. Kontaktuppgifter till kommunens dataskyddsombud (namn, epostadress och telefonnummer). 6 Blankett Behandling av finns framtagen 20180711

3. För vilket ändamål som na ska behandlas. Beskrivningen bör vara kortfattad för att den registrerade enkelt ska förstå hur och varför dennes kommer att behandlas. 4. Den rättsliga grunden för personuppgiftsbehandlingen. Följande text måste alltid vara med: Vansbro kommun har en skyldighet att bl.a. följa reglerna för allmänna handlingar, myndigheters arkiv och offentlig statistik. Vi kommer därför att behandla na på de sätt som krävs för att kunna följa gällande lagstiftning. 5. Mottagarna eller de kategorier av mottagare som ska ta del av uppgifterna. Följande text måste alltid vara med: Dina och övriga uppgifter om dig som samlas in inom behandlingen skyddas av bestämmelser om sekretess enligt offentlighets och sekretesslagen, vilket innebär att ingen obehörig får ta del av uppgifterna. 6. Den period under vilken na kommer att lagras (se informationshanteringsplanen). 7. Att den registrerade har rätt att begära tillgång till na, få dem rättade, eventuellt raderade eller att invända mot behandlingen. Rätten till dataportabilitet (att de insamlade ska kunna överföras till en annan personuppgiftsansvarig) ska den registrerade också informeras om när så är aktuellt. Många av den registrerades rättigheter styrs av annan lagstiftning, exempelvis förhindrar arkivlagen att redan arkiverade handlingar kan rättas. 8. Rätt att återkalla sitt samtycke om behandlingen grundar sig på samtycke. 9. Rätten att inge klagomål gällande behandlingen av dennes. Detta görs antingen till kommunens dataskyddsombud eller direkt till tillsynsmyndigheten. 10. Om det är lag eller avtalskrav, eller är nödvändigt för att kunna ingå ett avtal, ska det upplysas särskilt om det. 11. Om kommunen avser att ytterligare behandla na för ett annat syfte än det för vilket de insamlades in för, ska kommunen innan ytterligare behandling påbörjas informera den registrerade om dessa ändamål. Information till den registrerade om na inte har erhållits från den registrerade Om na inte har erhållits från den registrerade ska den registrerade få information. Informationen ska ges: Inom en rimlig period efter det att na har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka na behandlas. 20180711

Om na ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller Om ett utlämnande till en annan mottagare förutses, senast när na lämnas ut för första gången Om na inte har erhållits från den registrerade ska information om minst följande, utöver den information som ska lämnas om na samlas in från den registrerade, lämnas när na erhålls direkt: 12. Vilken källa som använts och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor exempelvis Statistiska centralbyrån (SCB), uppgifter från Skatteverket/folkbokföringen eller Socialstyrelsen. 13. Vilka eller kategorier av som ska samlas in och behandlas. Incidentrapportering Incidentrapportering är ett helt nytt krav som införts i dataskyddsförordningen. Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till tillsynsmyndigheten. Anmälan ska beskriva incidentens art och beskriva vilka kategorier av registrerade som berörs och det ungefärliga antalet. Likaså ska det ungefärliga antalet personuppgiftsposter anges. Anmälan ska också beskriva de sannolika konsekvenserna av personuppgiftsincidenten. Sist men inte minst ska de åtgärder som har vidtagits för att mildra potentiella negativa effekter beskrivas. Verksamheternas rapportering Alla incidenter ska snarast möjligt rapporteras till dataskyddsombudet (epostadress: dataskyddsombud@vansbro.se), som ger vidare instruktioner om hur inrapporteringen ska ske. Dokumentationskrav Alla incidenter ska dokumenteras. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna bestämmelse. 20180711

20180711

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss