Administrativa bestämmelser för användning av WIS



Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tryckfrihetsförordning

Offentlighetsprincipen. Kortfattat om lagstiftningen

Administrativa bestämmelser för användning av WIS

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Offentlighetsprincipen

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillämpning. Kommun, offentlighet. och. sekretess

Råd. Utlämnande av uppgifter från HSA-katalog

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Utdrag ur protokoll vid sammanträde

1. Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Informationssäkerhet

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

Arkivreglemente för Hälsinglands Utbildningsförbund Bilaga: Kommentarer och förklaringar.

Samråd om webbaserat verksamhetsstöd till Stockholms stads grundskolor

Sekretesslagen för tekniker

Taxa för utlämnande av allmänna handlingar. Antagen av Kommunfullmäktige (6)

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Offentlighets- och sekretesslag

Förvaltningslagen. Offentlighet och sekretess. Miljöbalken - tillstånd, tillsyn

BEHANDLINGEN AV UPPGIFTER I ANVÄNDAR- LOGG ENLIGT PERSONUPPGIFTSLAGEN

Patientdatalag för säkrare vård Hantering av personuppgifter

Informationshantering och journalföring. informationssäkerhet för god vård

Sammanfattning. Utgångspunkter

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

ANVÄNDARHANDLEDNING FÖR

Regeringskansliet Näringsdepartementet Enheten för transportpolitik Stockholm

Beskrivning av uppföljningssystemet SUS Bilaga 1 till Överenskommelse avseende uppföljningssystemet SUS

Avgifter i skolan. Informationsblad

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Utdrag ur Offentlighets- och sekretesslagen

Denna talesmannapolicy gäller tillsammans med AcadeMedias kommunikationspolicy. I kommuniaktionspolicyn finns följande formulering:

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

ELEV- HANDLEDNING (Ansökan via webben)

Överenskommelse avseende uppföljningssystemet SUS

ARKIVREGLEMENTE FÖR NYNÄSHAMNS KOMMUN

UPPGIFTER SOM BEHANDLAS. Vi samlar in och behandlar följande personuppgifter: e-postadress; telefonnummer; IP-adress; personnummer;

Tillsyn enligt personuppgiftslagen (1998:204)

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Utkast till BESLUT AV BLANDADE EG EFTA-KOMMITTÉN FÖR GEMENSAM TRANSITERING

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Socialstyrelsens författningssamling

Riktlinje för hälso- och sjukvårdsdokumentation

Rutin överklagan av beslut

Bilaga 1 Handledning i informationssäkerhet

SOLLENTUNA FÖRFATTNINGSSAMLING

PBL om tidsbegränsade bygglov m.m

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Mål förvaltningsrätt

Beslut för gymnasieskola

Användaravtal och samtycke till behandling av personuppgifter

Infrastrukturen för Svensk e-legitimation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Sammanfattning på lättläst svenska

Läkemedelsförmånsnämnden avslår ansökan om prishöjning inom läkemedelsförmånerna för produkten E-vimin.

Arkivreglemente för Lerums kommun

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Riktlinjer för medborgardialog

Svensk författningssamling

Myndigheters tillgång till tjänster för elektronisk identifiering

Informationsmeddelande IM2013:

Anmälan om sjukhusens läkemedelsförsörjning

I promemorian föreslås ändringar i patientsäkerhetslagen (2010:659) när det gäller användandet av yrkestitlar för tillfälliga yrkesutövare.

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) - PuL

AVLÖSARSERVICE I HEMMET 9:5 LSS

Likabehandlingsplan för läsåret

Rehabilitering. Arbetssätt vid rehabiliteringsärenden. Rehabilitering Sid: 1 / 6

Frågor och svar för föreningar om nya ansökningsregler för aktivitetsbidrag från och med 1 januari 2017

Kommittédirektiv. Genomförande av dataskyddsrambeslutet. Dir. 2010:17. Beslut vid regeringssammanträde den 25 februari 2010

Avtal om distansarbete

För dig som är valutaväxlare. Så här följer du reglerna om penningtvätt i din dagliga verksamhet INFORMATION FRÅN FINANSINSPEKTIONEN

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Tullverket

Äldreomsorgnämndens rapport till kommunfullmäktige angående antal beslut om bistånd som inte har verkställts till och med 31 mars 2013

Arbeta bäst där du är Dialect Unified Mi

Information om nyheter inom Sevesolagstiftningen

Arkivreglemente för Sydarkivera

Anmälan om diskriminering inom samhällslivet

Datum 20 SÄKERHETSSKYDDSAVTAL () VID SÄKERHETSSKYDDAD UPPHANDLING (SUA).

Förberedelser inför EU:s dataskyddsförordning

Kallelse till extra bolagsstämma i SSAB

Inhämta samtycke enligt LEK

Äldreomsorgnämndens rapport till kommunfullmäktige angående antal beslut om bistånd som inte har verkställts till och med 30 juni 2012

Instruktioner för beställning och kontoadministration för abonnenter av inlästa läromedel

Föräldrar och barn kortfattat om lagstiftningen

Upphandling av ramavtal för läs- och undersökningslampor till SLL samt ett avropsavtal för NKS

ANMÄLAN om förvaltare enligt Föräldrabalken 11 kap 7

Vi skall skriva uppsats

KOMMUNAL FÖRFATTNINGSSAMLING

Arkivreglemente för Sydarkivera

Tillämpningsanvisning för användande av Google Apps i BUN s verksamheter

Statens skolverks författningssamling

HFD 2016 Ref 52. Högsta förvaltningsdomstolen meddelade den 20 juni 2016 följande beslut (mål nr ).

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Särskilt stöd i grundskolan

Generell användarmanual E-CO2

Transkript:

samhällsskydd och beredskap 1 (8) Administrativa bestämmelser för användning av WIS Administrationen av WIS är delad. Det finns delar som MSB administrerar centralt och det finns delar som aktörerna själva administrerar. MSB som systemägare är personuppgiftsansvarig för WIS och varje ansluten aktör betraktas som personuppgiftsbiträde i förhållande till MSB. Varje aktör i WIS ansvarar för att mata in, redigera och uppdatera information rörande såväl hanteringen av krisen som sina anslutna användare. Ett skriftligt avtal ska finnas mellan den personuppgiftsansvarige (=MSB) och personuppgiftsbiträdet (=aktören). MSB tillhandahåller systemet via Internet. MSB lägger upp aktörer och skickar ut inloggningsuppgifter för aktörens första aktörsadministratör. Därefter är det aktörsadministratören som administrerar aktörens användare. MSB tillhandahåller WIS-support för felanmälan och användarstöd. Supporten för WIS är öppen under kontorstid, med jourtid dygnet runt och kan kontaktas via e- post och telefon. Aktören svarar själv för att ha en anslutning till Internet. För att systemet ska fungera ska SSL-krypterad Internettrafik, https, vara möjlig dubbelriktat genom aktörens brandvägg. Kapaciteten på aktörens Internetanslutning bör vara minst 0,5 megabit per sekund för att systemet inte ska upplevas som alltför långsamt att arbeta med. Aktören ansvarar för att erforderlig kapacitet (bandbredd) mot Internet är tillgänglig. Aktören ansvarar för arbetsstationer med lämpliga webbläsare till sina användare. Aktören administrerar genom sin aktörsadministratör sina egna användare. Användare skapas för närvarande i någon av kategorierna Användare, Redaktör och Aktörsadministratör. Systemet tillhandahålls kostnadsfritt över Internet från MSB. Om aktören väljer att använda förstärkt autentisering tillhandahåller MSB särskilda säkerhetsdosor med tillhörande licens mot en avgift. Aktörens kostnad är för närvarande 500 kr/dosa (exkl. moms). Varje säkerhetsdosa har en livslängd om ca 2 3 år och behöver därefter ersättas med ny. WIS-systemet medger två olika säkerhetsnivåer för inloggning: med eller utan förstärkt autentisering. Förstärkt autentisering innebär att användaren loggar in genom att ange användarnamn, pinkod och kod från säkerhetsdosa. Man behöver således ha tillgång till såväl pinkoden som säkerhetsdosan för att kunna logga in. Utan förstärkt autentisering loggar användaren in genom att ange användarnamn och lösenord, vilket ger en betydligt lägre säkerhetsnivå. MSB Myndigheten för samhällsskydd och beredskap Postadress: 651 81 Karlstad Besöksadress: Norra Klaragatan 18 Telefon: 0771-240 240 Telefax: 010-240 56 00 registrator@msb.se www.msb.se Org nr. 202100-5984

samhällsskydd och beredskap 2 (8) Aktören styr själv vilken säkerhetsnivå de olika kontona i WIS ska ha. Det är lämpligt att välja något av dessa handlingsalternativ: 1. Lägsta säkerhetsnivån. Alla loggar in med användarnamn och lösenord. 2. Mellannivån. Aktörens samtliga aktörsadministratörer loggar in med förstärkt autentisering. Övriga loggar in med användarnamn och lösenord. 3. Hög säkerhetsnivå. Aktörens samtliga aktörsadministratörer och redaktörer loggar in med förstärkt autentisering. Endast personer med lägsta behörighetnivån, användare, loggar in utan säkerhetsdosa. I WISsystemet kommer det tydligt framgå att informationen är lämnad av en redaktör som använder förstärkt autentisering. MSB rekommenderar mellannivån (2), d.v.s. att alla administratörer använder den förstärkta autentiseringen, eftersom de har behörighet att lägga upp nya konton och nollställa lösenord. MSB avråder bestämt från bland-lösningar, där några administratörer använder dosa och andra använder lösenord. Allmänt Innan en användare ges behörighet till systemet, ska han eller hon ha fått information om aktörens egna IT-säkerhetsbestämmelser och även bestämmelserna nedan som rör användare. Om en användare slutar eller av annan anledning inte längre ska arbeta i systemet, åligger det aktören att plocka bort användaren ur systemet. Beslut om vilka användare som ska finnas i systemet ska vara dokumenterat av aktören. Det ska finnas utsedd personal i reserv och reservrutiner för hantering av behörighet. Antalet konton med privilegierade rättigheter bör hållas i begränsad omfattning. Alla användarkonton ska vara individuella. Användarkonton får därmed inte delas mellan olika personer. Minst en gång per år ska aktören kontrollera att bara behöriga användare är registrerade i systemet. De användare som ska publicera anteckningar i dagboken ska läggas upp som Redaktörer. De användare som ska skriva anteckningar, för ev. publicering av Redaktör, ska läggas upp som Användare. För lösenord gäller att: o Varje användare ska ha en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra. o Lösenordet ska vara konstruerat så att det inte lätt går att pröva sig fram till eller gissa. WIS ställer vissa minimikrav på lösenordets komplexitet. Det är inte tillåtet att återanvända gamla lösenord. o Användare tvingas byta lösenord eller pinkod enligt det tidsintervall som aktören beslutar. o Efter tre felaktiga inloggningsförsök låses kontot i 10 min. Efter ytterligare tre felaktiga inloggningsförsök förlängs låsningstiden. Låst användarkonto ska öppnas först efter säker identifiering av användaren. Innan en användare läggs upp ska denne identifieras och autentiseras. Vid misstanke om intrång eller annan incident ska MSB:s WIS-support snarast kontaktas.

samhällsskydd och beredskap 3 (8) Redogörelse för den lagstiftning som skall beaktas vid användning av webbaserade informationssystemet (WIS) Bakgrund I det uppdrag regeringen gav dåvarande Krisberedskapsmyndigheten (KBM) angående det webbaserade informationssystemet (WIS) angavs att myndigheten särskilt skulle beakta bestämmelserna i personuppgiftslagen, tryckfrihetslagen och sekretesslagen. Utgångspunkten skall, enligt regeringsuppdraget, vara att ingen sekretessbelagd information skall behandlas i systemet. I detta dokument görs en genomgång av den lagstiftning som huvudsakligen kan tänkas vara tillämplig vid hantering av information i WIS samt hur ansvariga för systemet och användarna av systemet berörs av och bör förhålla sig till dessa bestämmelser. Information som läggs in i systemet blir allmänna handlingar När man lägger in dokument eller öppnar ett dagboksblad i systemet kommer detta att vanligtvis utgöra en allmän handling. Det innebär att innehållet skall kunna göras tillgängligt för allmänheten vid en begäran om utlämnande. Eftersom ingen sekretessbelagd information skall hanteras i systemet innebär det att all utlagd information kommer anses vara av sådan karaktär att man får räkna med att den kan nå allmänhetens ögon. Användare bör därför avhålla sig från att lägga in information som man inte vill skall spridas vidare. Handlingar som hanteras inom WIS kommer att utgöra allmänna handlingar hos alla de myndigheter som har möjlighet att läsa handlingen och förmedla dem vidare. Tryckfrihetsförordningen (1949:105; TF), som är en grundlag, innehåller bl.a. regler om allmänna handlingars offentlighet. TF:s vanliga regler om handlingsoffentlighet och möjlighet att få insyn gäller även för handlingar i elektronisk form som finns i WIS-systemet. När en handling är att anse som upprättad blir den en allmän handling. Utgångspunkten är att en sådan handling är offentlig, om den inte innehåller några sådana uppgifter som enligt sekretesslagen gör att den kan hemlighållas. Huvudregeln är att en handling skall anses upprättad när den har expedierats, eller om den inte har expedierats men hör till ett visst ärende hos myndigheten, när ärendet har slutbehandlats hos myndigheten. Om handlingen inte har expedierats och inte kan hänföras till ett visst ärende, anses den upprättad när den har justerats av myndigheten eller har färdigställts på annat sätt. Det krävs inte något särskilt beslut för att en handling skall anses som upprättad. Detta gäller både handlingar som förs fortlöpande och vanliga handlingar. Dokument som inte utgör allmänna handlingar Utkast, koncept och minnesanteckningar som hör till ett ärende är inte allmänna handlingar såvida de inte tas om hand för arkivering. Utkast eller koncept (s.k.

samhällsskydd och beredskap 4 (8) mellanprodukter, d.v.s. handlingar som är på ett tidigare framställningsstadium än den slutliga produkten) till myndighetsbeslut, skrivelser eller liknande blir allmänna handlingar om de expedieras eller arkiveras. Med minnesanteckningar avses promemorior och andra anteckningar som görs under beredning av ett ärende och som inte tillför ärendet några nya sakuppgifter, t.ex. föredragningspromemorior. Minnesanteckningar blir till en allmän handling först om den tas om hand för arkivering. Arbetsmaterial som upprättats under arbetets gång och som utväxlas mellan olika myndigheter för synpunkter utgör inte allmänna handlingar. Hantering av sekretessbelagda uppgifter och krav på registrering av handlingar Utgångspunkten är att WIS-systemet inte skall innehålla några uppgifter som omfattas av sekretess enligt sekretesslagen (1980:100). En preliminär bedömning får göras av om uppgifter i ett dokument är av sådan karaktär att de kan falla under en sekretessbestämmelse i sekretesslagstiftningen. Prövning av om uppgifter omfattas av sekretess görs dock först när en handling begärs utlämnad. En myndighet kan därför inte ta ett principiellt beslut i förväg om att viss information skall vara hemligstämplad. Om osäkerhet råder om uppgifter i ett dokument kan omfattas av sekretess bör dessa uppgifter maskeras (tas bort/täckas över) innan dokumentet läggs in i WIS-systemet. Sekretesslagen innehåller även bestämmelser om krav på registrering av allmänna handlingar. Allmänna handlingar som har kommit in eller upprättats hos en myndighet skall som huvudregel vara registrerad hos myndigheten. Detta gäller även handlingar i elektronisk form. En handling som upprättats respektive kommit in till flera myndigheter skall således vara registrerade hos samtliga. Berörda myndigheter är ansvariga för att så sker. Myndigheterna har även ansvar att handlingarna är så ordnade att allmänheten enkelt skall kunna få tillgång till och kunna ta del av innehållet. Berörda myndigheter ansvarar för att dessa bestämmelser följs. Meddelarfriheten Offentliganställda har en rätt enligt TF att lämna information för publicering i media av uppgifter som finns i WIS. Det är förbjudet att ta reda på vem som lämnat uppgiften. I sekretesslagstiftningen görs vissa begränsningar av möjligheterna att lämna ut information till journalister. Enligt TF gäller i Sverige meddelarfrihet. Meddelarfriheten består av flera moment: rättighet att lämna information, skydd för efterforskning, meddelarskydd. För personer inom det offentliga är det fritt att för publicering i media lämna ut uppgifter. Denna frihet åtföljs av ett förbud för det allmänna att eftersöka vem som

samhällsskydd och beredskap 5 (8) lämnat information till media. Den som talar med media och utnyttjar sin meddelarfrihet behöver inte avslöja sin identitet. Dessa delar av meddelarfriheten gäller bara för personer som är anställda inom det offentliga. Meddelarskyddet innebär att en journalist aldrig behöver avslöja sina källor. Meddelarskyddet gäller både för källor som finns inom det privata och inom det offentliga. Journalisten, eller tidningen, behöver inte undersöka om en uppgiftslämnare är privatanställd eller offentliganställd för att veta att källan inte skall avslöjas. Det finns regler i sekretesslagen som har företräde framför meddelarfriheten dvs. när meddelandefriheten bryts. Den tystnadsplikt som gäller enligt 5 kap. 8 sekretesslagen är ett sådant exempel. Motivet till detta är att om uppgifter om t.ex. sårbarheter i myndigheters processer blir kända kan dessa utnyttjas för angrepp. Sådana angrepp skulle kunna leda till allvarliga kriser för samhället. Iakttagande av informationssäkerhet enligt säkerhetsskyddslagen (1996:627) I WIS skall beaktas behovet av skydd vid automatisk informationsbehandling enligt säkerhetsskyddslagen. Skydd skall finnas så att hemliga uppgifter om rikets säkerhet inte röjs, ändras eller förstörs. Säkerhetsskyddslagen gäller vid verksamhet hos staten, kommun och landsting, bolag, föreningar och stiftelser där stat, kommun eller landsting har ett rättsligt bestämmande inflytande och enskilda om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. I sådana verksamheter som omfattas av lagen skall det säkerhetsskydd finnas som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Vid utformningen av informationssäkerheten skall behovet av skydd vid automatisk informationsbehandling särskilt beaktas. Säkerhetsskyddet skall bl.a. förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs. Uppgifter som omfattas av skydd enligt lagen och förordningen (1993:1742 resp. 1993:1745) om skydd för landskapsinformation Det krävs tillstånd från Lantmäteriverket för bl.a. upprättande av databaser med landskapsinformation och om spridning av flygbilder, kartor och andra sammanställningar av landskapsinformation. Med landskapsinformation avses lägesbestämd information om förhållanden på och under markytan samt på och under sjö- och havsbottnen. För att få inrätta en databas med landskapsinformation över svenskt territorium krävs tillstånd av Lantmäteriverket om databasen skall föras med automatisk databehandling. Om databasen kommer att innehålla uppgifter som är av betydelse för totalförsvaret får tillstånd lämnas endast om databasens innehåll inte kan antas medföra skada för totalförsvaret, då innehållet bara skall användas för ett visst ändamål eller om särskilda säkerhetsåtgärder vidtas. Lantmäteriverket kan bevilja bl.a. myndigheter

samhällsskydd och beredskap 6 (8) och kommuner undantag från kravet på tillstånd för att få inrätta databaser med landskaps-information om det inte kan antas medföra skada för totalförsvaret. Flygbilder och liknande registreringar från luftfartyg, kartor i större skala än 1:100 000 och andra sammanställningar av landskapsinformation får inte spridas utan tillstånd. Tillstånd kan lämnas om spridningen inte kan antas medföra skada för totalförsvaret. Kravet på tillstånd gäller inte bilder eller andra registreringar som har framställts endast med hjälp av satelliter under förutsättning att materialet inte har ställts samman med annan landskapsinformation över svenskt territorium. Försvarsmakten, Lantmäteriverket och Sjöfartsverket får dock sprida flygbilder och kartor och det är dessa myndigheter som prövar frågor om tillstånd. De kan också medge undantag från tillståndskravet. Hantering av personuppgifter och personuppgiftsansvarig för systemet Personuppgiftslagens (1998:204; PuL) bestämmelser om personuppgifter är tillämpliga för de som får tillträde till WIS. PuL sätter även upp ramar för hur hantering av personuppgifter får ske i de dokument som läggs in i systemet av de olika användarna. Endast personuppgifter som inte är känsliga enligt PuL:s bestämmelser får hanteras i systemet. Den utpekade personuppgiftsansvarige för systemet sätter gränserna för vilka personuppgifter som hanteras i systemet samt ansvarar för att hanteringen inte strider mot lagen. Inga uppgifter som betraktas som känsliga enligt PuL får förekomma i WIS. Möjlighet till behörighetskontroll av användare bör finnas. Det finns en skyldighet för den personuppgiftsansvarige att informera om att behandling av personuppgifter förekommer. Samtycke bör lämpligen inhämtas från de vars personuppgifter hanteras i systemet. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling av personuppgift avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgiftsansvarig Det måste finnas en utpekad personuppgiftsansvarig innan systemet tas i bruk. Den personuppgiftsansvarige (dvs. den utpekade ansvariga myndigheten) är den som bestämmer ändamålen för och medlen med behandlingarna. Den personuppgiftsansvarige kan utse ett personuppgiftsbiträde. Med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning och kan t.ex. vara något företag som för den ansvariges räkning hanterar personuppgifter i enlighet med den personuppgiftsansvariges instruktioner. Ett skriftligt avtal måste då upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

samhällsskydd och beredskap 7 (8) Om personuppgiftsansvaret skall vara delat bör de inblandade aktörerna endast ha rätt att redigera den information de själva delger. Vid bedömningen av vilken eller vilka parter som bär personuppgiftsansvaret är framför allt ansvarsfördelningen av betydelse. Författningsreglering av personuppgiftsansvaret eller av arbetsuppgifter inom olika myndigheter samt ev. beslut om att en viss personuppgiftsbehandling skall inledas kan vara vägledande. Mål, medel och ändamål med behandlingen Den personuppgiftsansvarige för systemet ansvar för att se till att ändamålen med och medlen för behandlingen av personuppgifter är klarlagda och överensstämmer med de ändamål och medel som är tillåtna enligt personuppgiftslagen (PuL). För att personuppgiftsbehandling skall få lov att ske måste det stå klart att personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet måste vara klart bestämt redan när insamlingen sker. Huvudregeln är att personuppgifter endast får samlas in med samtycke från den registrerade personen. I vissa fall får man hantera personuppgifter även utan uttryckligt samtycke. Uppgifter om namn, befattning, telefonnummer, e-postadress och liknande arbetsplatsrelaterade personuppgifter kan normalt publiceras utan den anställdes samtycke. Informationsplikt Den personuppgiftsansvarige har en omfattande skyldighet att informera de registrerade om hur deras personuppgifter kommer att behandlas. Detta gäller oavsett om samtycker krävs eller inte. Överföring av personuppgifter till tredje land Förbudet att överföra uppgifter till tredje land gäller inte EU och EES-anslutna länder varför det inte blir några problem vad gäller anslutning av aktörer från övriga nordiska länder. PuL gäller endast för personuppgiftsansvariga som är etablerade i Sverige. Om personuppgiftsansvaret delas mellan flera länder kan problem uppstå med att avgöra vilket lands personuppgiftslagstiftning som skall gälla. Detta måste vara klargjort innan utländska användare får tillträde till systemet. Beaktande av säkerhetsaspekterna Det finns en risk för obehörig spridning och åtkomst av personuppgifter när personuppgifter hanteras i flera organisationer och på olika nivåer. För att förhindra detta måste det finnas upprättat ett system för behörighetskontroller. Man bör kunna identifiera användare och bekräfta användarens identitet, exempelvis genom användning av personliga lösenord. Endast de som behöver uppgifterna för sitt arbete bör få tillgång till åtkomstskyddade personuppgifter. Den personuppgiftsansvarige skall fastställa vilka åtgärder som behövs för att åstadkomma en lämplig säkerhetsnivå. Den ansvarige skall beakta de tekniska möjligheter som finns, kostnaderna för åtgärderna, de särskilda risker som finns med behandlingen och hur känsliga uppgifterna är.

samhällsskydd och beredskap 8 (8) Känsliga personuppgifter Uppgifter som enligt personuppgiftslagen (PuL) betecknas som känsliga får inte tas med i de dokument som publiceras i WIS. Det gäller uppgifter om: Ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. Som känsliga personuppgifter räknas också sådana personuppgifter som rör hälsa eller sexualliv. Rättelse vid felaktig behandling av personuppgifter Om en enskild person anser att den personuppgiftsansvarige har tillämpat PuL på ett oriktigt sätt kan förhållandet anmälas till tillsynsmyndigheten (d.v.s. Datainspektionen) som kan utnyttja sina befogenheter för att åstadkomma rättelse. Därutöver kan den registrerade vid varje brott mot PuL genast väcka talan mot den personuppgiftsansvarige vid allmän domstol och yrka bl.a. på ideellt skadestånd enligt 48 PuL.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss