Handläggning av personuppgiftsincidenter

Relevanta dokument
Riktlinjer för personuppgiftshantering

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Anvisningar för behandling av personuppgifter

Ett eller flera dataskyddsombud?

Rapportering vid personuppgiftsincidenter

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Information till personuppgiftsansvarig om dataskyddsombud

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR och hantering av personuppgifter

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Allmänna Råd. Datainspektionen informerar Nr 3/2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Information om behandling av personuppgifter

EU:s allmänna dataskyddsförordning:

Bilaga 1a Personuppgiftsbiträdesavtal

Anmälda personuppgiftsincidenter 2018

Anmälan av personuppgiftsincident

Riktlinjer för dataskydd

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

INFORMATIONSSÄKERHET OCH DATASKYDD

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Dataskyddsförordningen

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Dataskyddsförordningen (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR POLICY Behandling av personuppgifter

Välkomna till kurs i den nya dataskyddsförordningen

Anmälan av personuppgiftsincident

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Lex Sarah-rapport: är en rapport om ett missförhållande eller en påtaglig risk för ett missförhållande enligt 14 kap. 3 SoL respektive 24 b LSS.

Dataskyddsförordningen (DSF/GDPR)

Rapport enligt lex Sarah görs normalt på blanketten Blankett för rapport enligt lex Sarah.

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

Handlingsplan för persondataskydd

Riktlinje för rapportering och handläggning av missförhållanden enligt Lex Sarah

Dataskyddsförordningen

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Dataskyddsförordningen för prefekter och administrativa chefer

1(6) Handlingsplan för hantering av intressekonflikter, jäv och opartiskhet inom miljösektionens verksamhet. Styrdokument

Dataskyddsförordningen

Rutin avseende kränkande särbehandling i arbetslivet

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

GDPR NYA DATASKYDDSFÖRORDNINGEN

Ange avstånd och riktning till närmaste bostäder dricksvattentäkt och annan störningskänslig verksamhet

Rutin för handläggning av missförhållande, så kallad lex Sara

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Visselblåsarfunktion för Upplands Väsby kommun

Integritetspolicy Behandling av personuppgifter

Riktlinjer för hantering av personuppgifter

GDPR nya dataskyddsförordningen

RIKTLINJE. Lex Sarah. Vård- och omsorgsnämnden. Antaget Tills vidare, dock längst fyra år

Svensk författningssamling

Kulturförvaltningen Administrativa staben. Handläggare Roger Wallberg Telefon:

Riktlinjer för webbpublicering enligt PuL

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Rutin för rapportering och handläggning av missförhållanden Lex Sarah

GDPR- Seminarium 2017

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Policy för hantering av personuppgifter

Öfn 127 Redovisning av statistik från kansliet

Personuppgiftsinformation för Svedala kommun

Rutin för arbete mot kränkande särbehandling i arbetslivet (inklusive diskriminering och trakasserier)

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Ansökan om dispens från strandskydd

Anmälan om vattenverksamhet

Personuppgiftsbiträdesavtal

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Rutiner enligt lex Sarah

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Kanslichef - Tillsvidare

Svensk författningssamling

Rutiner enligt lex Sarah

Vården och reglerna om dataskydd

Riktlinjer för hantering av personuppgifter

Integritetspolicy. Behandling av personuppgifter. Senast reviderad den 22 Maj Syfte. Bakgrund. Mer information om GDPR:

Riktlinjer för hantering av misstänkta oegentligheter Dnr 1-477/

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Dataskyddsförordningen

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Sida 1(5) Rutin för rapport om missförhållanden inom socialtjänsten. Antagen av socialnämnden Reviderad

Information till nyanställda inom barn- och utbildningsförvaltningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

RIKTLINJER LEX SARAH. Socialtjänstlagen (SoL) 14 kap 3-7 Lag om stöd och service till vissa funktionshindrade (LSS) SOSFS 2011:5 (S)

Regler för behandling av personuppgifter vid Högskolan Dalarna

STOCKHOLMS FOTBOLLFÖRBUND

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Vårdgivare är region och kommuner som har ett uppdrag enligt lag att utföra hälsosjukvårdsuppgifter

Personuppgiftsbiträdesavtal

Transkript:

Handläggning av personuppgiftsincidenter Anvisning Diarie-/dokumentnummer: KS2019/0831 Beslut: Förvaltningsledningen 2019-04-30 Giltighetstid: Från och med 2019-05-01 tills vidare Dokumentansvarig: Administrativ chef (kommunkansliet) 1

Innehållsförteckning 1. Inledning... 3 2. Vad är en personuppgiftsincident?... 3 3. Anmälnings- och informationsskyldighet... 3 4. Ansvar... 3 5. Hur ärenden handläggs... 4 6. Ytterligare information... 5 7. Flödesschema... 6 8. Bilaga... 7 2

1. Inledning Syftet med dataskyddsförordningen (GDPR) är att skydda enskildas grundläggande rättigheter och friheter, särskilt skyddet av personuppgifter. Exempel på personuppgifter är personnummer, namn och adress. Enligt GDPR finns en skyldighet att rapportera vissa personuppgiftsincidenter till Datainspektionen. Denna rutin beskriver hur ett sådant ärende ska handläggas. Syftet med denna anvisning är att säkerställa att bestämmelserna i GDPR om anmälningar av personuppgiftsincidenter följs. 2. Vad är en personuppgiftsincident? En personuppgiftsincident är en händelse som rör personuppgifter. Incidenten kan till exempel handla om att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. Det kan exempelvis vara fråga om uppgifter som omfattas av sekretess har lämnats ut (t.ex. via e-post) till fel person eller att personuppgifter i ett verksamhetssystem felaktigt raderats eller försvunnit på grund av ett tekniskt fel. 3. Anmälnings- och informationsskyldighet En personuppgiftsincident ska enligt GDPR anmälas till Datainspektionen inom 72 timmar från det att incidenten har upptäckts. Alla incidenter måste inte anmälas utan en prövning sker enligt GDPR. I vissa fall ska även den person som drabbats av incidenten få information om vad som har hänt och hur skadan kan minimeras. 4. Ansvar Samtliga medarbetare i kommunen och förtroendevalda har en skyldighet att agera i enlighet med denna anvisning om det finns en misstanke om att en personuppgiftsincident har inträffat. Ansvariga chefer har en skyldighet att informera sina medarbetare om offentlighets- och sekretesslagen (2009:400), GDPR och annan tillämplig lagstiftning inom verksamhetsområdet. De ska vidare se till att medarbetarna känner till innehållet i denna anvisning. Cheferna ska vidare förebygga personuppgiftsincidenter och vidta åtgärder efter inträffad incident Den personuppgiftsansvarige, det vill säga ansvarig nämnd, har en skyldighet att anmäla personuppgiftsincidenten till Datainspektionen och i förekommande fall informera den drabbade individen om händelsen. 3

Arbetsuppgifterna att utreda och anmäla incidenten har respektive nämnd delegerat till kommunjurist (ersättare är den administrativa chefen för kommunkansliet) att utföra. Kommunens huvudregistratorer och kommunarkivarien är dataskyddsombud för det fall respektive ansvarig nämnd så beslutat. Ombuden har till uppdrag att bistå med stöd och hjälp vid tolkningen av GDPR samt utöva tillsyn över tillämpningen av förordningen. 5. Hur ärenden handläggs Utöver följande information om ärendets handläggning finns ett flödesschema under punkten 7 nedan. 5.1 Anmälan om misstanke om personuppgiftsincident När en misstanke om att en personuppgiftsincident inträffat ska medarbetaren/den förtroendevalde omedelbart kontakta närmsta ansvarig chef och överlämna information om det inträffade. Om chefen inte är tillgänglig ska dennes chef istället kontaktas. Vid tveksamhet om det föreligger misstanke av en personuppgiftsincident ska chefen alltid kontaktas enligt ovan. 5.2 Preliminär bedömning görs av chef Den chef som erhållit informationen ska omgående göra en preliminär bedömning huruvida händelsen kan utgöra en personuppgiftsincident. Dataskyddsombuden kan vara behjälpliga vid denna bedömning. 5.3 Ärendet överlämnas till kommunjurist Om den berörda chefen bedömer att det kan ha inträffat en personuppgiftsincident ska ärendet omgående överlämnas till någon av kommunjuristerna. Även vid tveksamhet ska ärendet överlämnas till kommunjurist. Chefen ska samtidigt med överlämnandet informera dataskyddsombudet om incidenten. Vid allvarliga incidenter ska chefen även informera berörd sektorchef om händelsen. Överlämnandet och informationen till kommunjuristen sker genom en särskild blankett, se bilaga. I detta skede av processen ska chefen tillse att ärendet diarieförs. 4

5.4 Bedömning av kommunjurist Kommunjuristen ska omgående göra en bedömning huruvida en personuppgiftsincident föreligger och om incidenten ska anmälan till Datainspektionen (se p. 5.5). Samråd bör därvid ske med dataskyddsombudet. 5.5 Anmälan till Datainspektionen och den drabbade Kommunjuristen ska skyndsamt och inom föreskriven tid anmäla personuppgiftsincidenten till Datainspektionen. Anmälan sker genom med hjälp av den blankett som Datainspektionen utarbetat och på det sätt som Datainspektionen föreskriver på sin hemsida. I förekommande fall ska även den drabbade informeras om händelsen enligt GDPR:s bestämmelser och vilka åtgärder som kan behöva vidtas. Kommunjuristen ska informera berörd chef och dataskyddsombudet att incidenten anmälts till Datainspektionen. I förekommande fall ska även personuppgiftsbiträdet informeras om incidenten. Delegationsbeslutet anmäls till ansvarig nämnd. Vid allvarliga incidenter ska kommunjuristen omgående kontakta ordföranden. 5.6 Uppföljning och efterföljande åtgärder Ansvarig chef tillser att personuppgiftsincidenten följs upp och att behövliga åtgärder vidtas. Uppföljningen ske i samråd med kommunjurist och dataskyddsombud. Dataskyddsombudet rapporterar till ansvarig nämnd minst en gång per år. 6. Ytterligare information Information om personuppgiftsincidenter finns på Datainspektionens hemsida. Därutöver kan kommunjurist och dataskyddsombud ge information om GDPR och hur denna rutin ska tillämpas. Den rättsliga regleringen angående personuppgiftsincidenter finns i GDPR, artikel 33 34 och skäl 85 88. Se vidare Europeiska dataskyddsstyrelsen (EDPB) riktlinjer om anmälan av personuppgiftsincidenter. 5

7. Flödesschema För närmare detaljer se p. 5 ovan. Misstanke om att en personuppgiftsincident har inträffat Medarbetare/förtroendevald kontaktar omedelbart ansvarig chef Chef gör omgående en preliminär bedömning om händelsen utgör en personuppgiftsincident Överlämnande av ärendet till kommunjurist (blankett "Anmälan till Personuppgiftsansvarig om misstänkt personuppgiftsincident") Kommunjurist gör omgående slutlig bedömning och anmäler personuppgiftsincidenten till Datainspektionen 6

8. Bilaga Blankett Anmälan till Personuppgiftsansvarig om misstänkt personuppgiftsincident. 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss