Sammanfattning utbildning i ny dataskyddsförordning (del 1) NYA REGLER FÖR HANTERING AV PERSONUPPGIFTER

Relevanta dokument
Lindesbergs kommuns arbete med dataskyddsförordningen

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

GDPR General data protection regulation Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen

Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen 2018

Den nya dataskyddsförordningen

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Dataskyddsförordningen 2018

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Policy för personuppgiftsbehandling

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Information om dataskyddsförordningen

Riktlinje för hantering av personuppgifter i e-post och kalender

Allmänna råd. Vi har lagring i flera miljöer som är uppdelat regionalt och lokalt.

Anpassning till DSF

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Instruktion till mall för registerförteckning

(5) Integritetspolicy - Kumla Bostäder AB

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Göran Rydeberg, Stockholms universitet

Behandling av personuppgifter vid Göteborgs universitet

Lathund Personuppgiftslagen (PuL)

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

DSF (GDPR) Ny lag om personuppgifter

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Punkt 21 Riktlinje för fritextfält

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Allmänna råd. Datainspektionen informerar. Nr 2/2016

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR UTBILDNINGSDAG SKKF

INFORMATIONSSÄKERHET OCH DATASKYDD

Riktlinjer för personuppgiftshantering

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Vad är en personuppgift och vad är en behandling av personuppgifter

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

GDPR- Seminarium 2017

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Att hantera personuppgifter

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

GDPR. General Data Protection Regulation. dataskyddsförordningen

Den nya Dataskyddsförordningen

GDPR. Ulrika Harnesk 17 oktober 2018

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Mertzig Asset Management AB

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Vården och reglerna om dataskydd

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen (GDPR)

Hallsbergs Bostadsstiftelses integritetspolicy

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Södertörns brandförsvarsförbund

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Riktlinjer för behandling av personuppgifter

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

GDPR definition och hur utbildningen berör(t)s av förordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Riktlinjer för hantering av personuppgifter

GDPR förordningen, myten, legenden. av: Ida Ståhl

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Från skrämmande och stort till begripligt och positivt utmanande

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Personuppgiftspolicy Signera Rekrytering AB

GDPR ur verksamhetsperspektiv

INTEGRITETSPOLICY FÖR VERKSAMHETEN

Handlingsplan för persondataskydd

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

POLICYDOKUMENT GDPR. Fortinova AB Fortinova Fastigheter AB (publ) Policydokumentet inbegriper ovanstående bolags dotterbolag

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Policy för behandling av personuppgifter

Dataskyddsförordningen - GDPR

Personuppgiftslagen konsekvenser för mitt företag

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

GDPR Panik eller full koll på läget?

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Personuppgiftsinformation för Svedala kommun

Personuppgiftsbehandling Dataskydd

Kerstin Wardman, 25 april 2018

GDPR Presentation Agenda

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Transkript:

Sammanfattning utbildning i ny dataskyddsförordning (del 1) NYA REGLER FÖR HANTERING AV PERSONUPPGIFTER

Utbildning i ny dataskyddsförordning Lotta Kavartardze Lotta Kavartardze har länge jobbat med dataskydds- och personuppgiftslagen och har bra koll på vad den nya förordningen innebär. Under utbildningens två dagar berättar hon om grundläggande faktorer för personuppgiftsbehandling och hur man kan anpassa sin verksamhet efter nuvarande och kommande lagar. Personuppgiftslagen omfattar alla uppgifter som kan kopplas till en enskild person och som hanteras eller har hanterats digitalt. Som företag eller organisation har man rätt att registrera och förvara personuppgifter som är nödvändiga för att bedriva verksamheten. Men de får endast vara registrerade så länge man kan motivera att de behövs för verksamheten och att de som har tillgång till den behöver dem i sitt arbete. Ett grundläggande tips från Lotta är därför att aldrig registrera mer än vad som behövs. Vad är en personuppgift? En personuppgift är all typ av information som på något sätt kan kopplas till en identifierbar, fysisk person som är i livet. Det kan vara direkta uppgifter, såsom namn eller personnummer, men också indirekta uppgifter som till exempel lägenhetsnummer, e-postadresser eller Historia Den första dataskyddslagen kom till när folkräkningen flyttade från pappersblanketter till en av statens första datorer på 1960-talet. Det uppstod då en oro kring säkerheten för hur uppgifterna skulle hanteras digitalt samt vem som övervakar de som övervakar befolkningen. Diskussionen mynnade ut i den första datalagen från 1973. I slutet av 1980-talet antogs nuvarande PUL-lag, och med tanke på hur den digitala världen såg ut då kan man förstå att den är något daterad. Den nya förordningen, som kommer från EU och i stort sett är samma lag i alla medlemsländer, träder i kraft 25 maj 2018. Syftet är att få en mer enhetlig lagstiftning över hela unionen. Det kommer finnas områden där länderna kan införa undantag, överordnade lager etc, men med den nya förordningen får alla länder samma lägsta- och högstanivå för vad som gäller för behandling av personuppgifter. registreringsnummer. Även om man som Även omdömen och värderingar kopplade till en specifik person är personuppgif- innehavare av ett register över till exempel lägenhetsnummer inte vet vem som bor i ter, till exempel beskrivning av bemötande respektive bostad, finns det någon annan eller uppträdanden av specifika personer. som sitter på kopplingen. Därmed blir det Dessa uppgifter anses ofta vara mer integritetskränkande än andra, eftersom det en personuppgift även för den part som inte har tillgång till kopplingen mellan kanske innebär en subjektiv beskrivning nummer och person. eller värdering. Det är också denna typ av register som bostadsbolag i första hand Samma sak gäller om man pseudonymiserar eller krypterar. Så länge det finns av personuppgiftslagen. Lottas bild av blivit dömda för gällande överträdelser en någon eller något som kan identifiera just omdömen och värderingar är att det uppgifterna till en specifik person är det bara är dumt att skriva ner och registrera, en personuppgift. För att bryta kopplingen både för verksamheten och ur ett juridiskt till en person måste uppgifterna helt och perspektiv. hållet anonymiseras.

Bild, video, ljudupptagningar, biometrisk och genetisk information är också personuppgifter. Till det räknas till exempel inspelade samtal och kameraövervakning där man kan identifiera individer. Biometrisk information är till exempel fingeravtryck. Förtydligande över vad som är en personuppgift och fler kategorier finns i den nya dataskyddsförordningen. Vilka uppgifter får man spara? Kundförhållandet som studentbostadsföretag har med sina hyresgäster ger rätt att spara uppgifter som är berättigade för och har grund i verksamheten. Oftast behöver man inte samtycke för att registrera till exempel namn, personnummer, adress etc. Enligt Lotta är det ibland både överflödigt och skapar merjobb att be om samtycke. på i vilket system det sparas, vem som har behörighet och vilka uppgifter som ingår. Även här råder mantrat att inte spara/ registrera mer än vad som behövs för verksamheten. Känslig information Det är förbjudet att registrera personuppgifter som klassas som känsliga. Följande uppgifter räknas som känsliga enligt lagen: Ras eller etniskt ursprung (både direkta uppgifter eller indirekta uppgifter, till exempel modersmål), politiska åsikter, religiös eller filosofiskt övertygelse, medlemskap i fackförening, hälsa och sexualliv. Nytt för den nya dataskyddsförordningen är att även biometrisk och genetisk information räknas som känslig information. polisen). Fler undantag specificeras i den nya förordningen. Hos studentbostadsföretag kan känsliga uppgifter komma in via fritextformulär, till exempel genom ärendehanteringssystem. Det kan man som företag inte rå över, men man har ett ansvar för att den informationen inte förs vidare till andra system eller följer med i den fortsatta hanteringen. Extra skyddsvärda uppgifter Mellan personuppgifter och känsliga uppgifter finns en kategori med personuppgifter som anses vara lite extra värda att vara försiktig med. Det är till exempel personnummer, samarbetsförmåga, viss ekonomisk information eller annat som ligger nära privatlivet. För studentbostadsföretag Övergripande legala förändringar med den nya dataskyddsförordningen Även om alla medlemsstater kommer ha samma lagtext, lämnar den stort utrymme för tolkningar. När lagen träder i kraft 2018 kommer vi inte helt att veta hur den ska tillämpas, utan det kommer praxis bestämma i stor utsträckning. Eftersom det är oklart så kräver både förordningen och omständigheterna att företag och organisationer i större utsträckning dokumenterar hur man behandlar personuppgifter och vad som är syftet bakom att registrera dem. Lotta tipsar om att man gärna kan ta hjälp av krav som andra lagar ställer, till exempel hyreslagen, för att motivera registrering. När man behöver samtycke eller inte är en avvägning man får göra från fall till fall. Däremot är det enligt den nya förordningen otroligt viktigt att bostadsföretagen har information tillgänglig för hyresgästerna om hur personuppgifter behandlas. Som studentbostadsföretag är det intressant att spara uppgifter kring gamla hyresgäster eftersom många har en maxtid som man får hyra studentbostad. Det är då enligt lagen godkänt att spara den typen Självklart finns undantag, ett fackförbund måste till exempel registrera sina medlemmar och HR-avdelningar måste kunna registrera sjukfrånvaro. Ska man tillämpa undantagen måste man ha koll på vad och när det gäller, och om man över huvud taget som organisation har rätt till det. Det är också viktigt att fundera över om känslig information är viktig att registrera, oftast är det inte det. Det som kan ligga till grund för undantag är till exempel skriftligt samtycke, arbetsrätten, rättsliga anspråk (till kan det till exempel handla om någon som kontinuerligt ligger efter med hyran. Det finns inget förbud mot att registrera detta och det kräver heller inte samtycke, men det krävs extra säkerhetsåtgärder för de platser där uppgifterna finns registrerade. 1. Krav på ordning och reda En av de största förändringarna för enskilda företag är det ökade kravet på att redogöra för hur man behandlar personuppgifter och varför man har de registrerade. Kraven sträcker sig bland annat till att det ska finnas tydliga strategier för behandling av personuppgifter, öppenhet gentemot de vars personuppgifter är registrerade och en struktur i organisationen för ansvarsfördelning. av uppgifter, men det är viktigt att tänka exempel om man vill göra en anmälan till

2. Ny dataskyddsstyrelse En europeisk dataskyddsstyrelse kommer tillsättas som har ansvar för förordningen. Förordningen innebär stora sanktionsavgifter, upp till 20 miljoner eller fyra procent av omsättningen. Anledning till att kraven är så höga är för att man med större effekt ska kunna komma åt de stora it-bolagen som verkar i EU. 3. Ökad dokumentation Som tidigare nämnt ställs stora krav på analyser, rutiner och dokumentation. Man ska kunna visa och bevisa att man följer lagstiftningen med hjälp av dokumentation. Den kan till exempel innebära olika policys, analyser av behandling av personuppgifter, rutiner för gallring etc. Förordningen kräver också att system och programvaror är privacy by default, och inte privacy by design. De betyder att utgångsläget i alla system som hanterar personuppgifter automatiskt ska vara de som är bäst för integriteten, och att det inte behöver ske via manuella inställningar. 4. Ökat krav för samtycke Även krav för samtycke kommer att bli hårdare. Hur det kommer se ut exakt vet man ännu inte, men det lutar åt att samtyckestexten måste ligga helt separat och inte får blandas ihop med annan information eller text. Lotta tycker därför att man i första hand ska försöka hitta andra anledningar att registrera personuppgifter än samtycke, till exempel motivera varför de behövs för verksamheten. 5. Ökat krav på information gentemot hyresgästen Informationskravet, som inte ska blandas ihop med samtycke, kommer också blir större. Till exempel ställs krav på att man mer tillgängligt och utförligt ska beskriva hur man registrerar personuppgifter, var man gör det och varför. Det ska även framgå vilka rättigheter individen har, till exempel att de har rätt att klaga eller begära skadestånd. Här rekommenderar Lotta att vara noggrann, tydlig och detaljrik. 6. Krav på dataskyddsombud Den nya förordningen kräver att det finns ett dataskyddsombud på arbetsplatsen som har hand om frågor rörande dataskydd och personuppgifter. 7. Informera om dataintrång Om det händer något med företagets IT-system eller liknanden måste det dokumenteras. Vid allvarliga fall av intrång måste det anmälas och berörda kunder måste meddelas. Mer information om den här biten kommer närmare införandet. 8. IT-leverantören blir tillsynsobjekt Till skillnad från tidigare lagstiftning innebär den nya förordningen även att IT-leverantörer blir tillsynsobjekt. Det betyder att de måsta ta större ansvar för hur de hanterar personuppgifter. Men som företag har man fortsatt ansvar för att de IT-program man använder sig av hanterar personuppgifter på rätt sätt. Problemområden för dataskydd vad går fel? Enligt Lotta är det brist på medvetande som oftast orsakar problem, man vet helt enkelt inte vad som gäller eller vilka krav man behöver möta. Ett annat stort problem är att man har för lite eller för dålig information om hur man behandlar personuppgifter, både internt och externt. Att gallra i gamla personuppgifter är också en sak som många missar. Ofta kanske man inte gör det eftersom tekniken inte kräver det, till exempel att servern inte är full. Men det är ingen ursäkt, gamla personuppgifter som inte längre behövs i verksamheten ska kontinuerligt rensas ut. För bostadsföretag specifikt är fritext ett problemområde. Som bostadsföretag kan man inte ansvara för vad hyresgäster eller andra skriver i fritextrutor, utan problemet ligger istället i att fritexten ofta förs vidare in i andra system oredigerade och att texten ibland innehåller personuppgifter. Elektroniska nycklar, kameraövervakning, utelämnande av uppgifter till tredje part för till exempel marknadsföring och olika typer av e-tjänster är andra områden där det lätt kan uppkomma problem för bostadsföretag.

Lottas tips för att jobba med dataskydd Övergripande tips Förankra arbetet och syftet i styrelse och/eller ledningsgrupp. Att organisationen förstår vikten av arbetet med dataskydd och behandling av personuppgifter är en förutsättning för ett lyckat projekt. Skapa förståelse bland chef och kollegor peka på tänkbara konsekvenser, inte bara risker utan även att ett bra dataskydd kan stödja er verksamhet. Specificera ambitionen med dataskyddsarbetet var är ni idag och vilken nivå ska ni lägga er på? Alla behöver inte vara bäst. Ambitionsnivån bestämmer hur mycket tid, resurser och vilken budget projektet ska få. Ta fram en projektplan eller projektdirektiv dataskyddsarbetet är ett arbete som behöver styrning och ledning Se arbetet som ett projekt som ska genomföras under en viss tid och sätt upp delmål Involvera personal, chef och medarbetare i hela processen. Även om man hyr in extern kompetens se till att någon går med under arbetets gång för att kunskapen inte ska gå förlorad Tips för nulägesanalys/kartläggning tet och dels för att det kan finnas liten kunskap om vad en personuppgift är. Genom att utbilda personal vet de bättre vilken information de ska ge i samband med kartläggningen. Känns arbetet stort? Börja på en liten enhet eller en enhet ni känner till väl. Skapa ett nätverk/kontaktpersoner för att bolla frågor med och som kan hjälpa till med att föra projektet framåt. Träffa de personerna som hanterar olika system och intervjua dem för att förstå vad deras arbete innebär. Här kan man utgå ifrån färdiga mallar och enkäter. Ta reda på om personer gör andra saker utanför de större systemen, till exempel egna listor i Excel, Word etc. Gör en juridisk utvärdering utifrån kartläggningen och intervjuerna. Vad stämmer överens med lagen och vad behöver justeras, läggas till eller tas bort? Till exempel kan en behandling behöva raderas, gamla register behöver gallras och ändamålsbeskrivningen för en behandling/registrering/utlämning vara fel eller behöva förtydligas. Kommunicera de förändringar som identifieras snabbt (helst inom någon/några veckor) till de som berörs. Får man ingen respons tror man att allt är bra och nödvändiga förbättringar uteblir. Var inte en stoppkloss eller skapa onödiga hinder. Gå istället till botten med varför man vill använda personuppgifter i olika situationer och gör en bedömning utifrån resultatet. Gör en GAP-analys: Här är vi -> hit ska vi. Vad är GAPet Att kartlägga alla rutiner och behandlingar av personuppgifter är ett omfattande arbetet. Skaffa ett verktyg som är bra och underlättar arbetet med dokumentation och registerförteckning. Kategorisera rött, gult, grönt. Vilka behandlingar/processer behöver åtgärdas, prioriteras eller är bra som de är Innan man börjar kartlägga är det bra att informera och utbilda om projektet internt, dels för att förankra projekemellan, hur tar vi oss över det och vem för vad? Ta fram åtgärdsplaner, följ upp och dokumentera Titta även på att ta fram guidelines, policys och se över avtal med IT-leverantören Tips för utbildning i organisationen Medvetenhet är en förutsättning för ett gott dataskyddsarbete. Alla ska ha en grundläggande kunskap om dataskyddslagen men alla behöver inte vara experter Ta fram exempel från verkligheten Lägg ut en Q&A på intranätet med de vanligaste frågorna Andra sätt att öka kunskapen om dataskydd är e-learning, arbetsplatsträffar, seminarier, utbildning etc. Tips för papper Många studentbostadsföretag har ett gäng gamla kontrakt i pappersform. Dessa är personuppgifter och innehåller dessutom även signaturer, vilket gör det extra viktigt att tänka till kring säkerheten kring det. Sätt lås på skåpet Vem har behörighet till dokumenten? Bär inte omkring på informationen Informera om säkerhet kring papper och fysiska dokument i företaget och eventuellt externa aktörer Se till att slänga/förstöra papper på rätt sätt

Med oss från AF Bostäder är Claes Steg 1: Förankring Steg 2: Kartläggning Hjortronsteen, försäljningschef, som genomfört en grundlig genomgång Med insikten om att här är ett område som behöver prioriteras började Claes med att Kartläggningen började med att projektet förankrades i hela företaget för att alla och kartläggning av deras behandling av personuppgifter. Han berättar om deras resa och delar med sig av tips om vad man ska göra - och vad man inte ska göra. förankra det i ledningsgruppen. Ledningsgruppen fick en kort utbildning i vad PUL egentligen innebär och vad det kräver av AF Bostäder. Framförallt diskuterade de vad en dålig skött behandling av personuppgifter kan få för konsekvenser för skulle vara medvetna om vad som hände och varför. Målet med kartläggningen var att besvara vad som registreras var, varför och av vem. De bad därför IT-avdelningen att ta fram en snabbanalys över vilka system som används i företaget. För att få rätt Behandling av personuppgifter på AF Bostäder Claes Hjortronsteen Precis som på många andra studentbostadsföretag inkommer personuppgifter till AF Bostäder främst via bostadsansökningar, men även olika typer av särbehandling och studie- och medlemskontroll. Och med tanke på den stora mängd personuppgifter de hanterar började Claes för några år sedan känna en gnagande oro är det här något de behöver ta tag i? Hur ser rutinerna för personuppgifter ut på företaget och var de i enlighet med vad lagen kräver? Efter lite research av vad dataskyddslagen innebär idag och troligen kommer innebära 2018 samt en snabb koll på hur de hanterade personuppgifter insåg Claes att de var långt ifrån att ha sitt på det torra. Bland annat insåg han att de saknade policys, var dåliga på att informera studenterna om hur deras uppgifter behandlas, hade ingen behörighetsstruktur och var dåliga på att gallra bort uppgifter från gamla kunder. företaget, och en av de saker som kändes viktig var att varumärket riskerade att få dåligt rykte och renommé. AF Bostäder tog ett snabbt beslut om att prioritera frågan och tillsatte en projektgrupp bestående av Claes själv och företagets ledningskoordinator. Projektgruppens ansvar innefattade att göra en kartläggning av hur personuppgifter behandlades idag, utbilda personalen, ta fram förslag på en framtida organisation för ansvar för personuppgiftsbehandling samt ta fram nödvändiga dokument och policys. Det första målet vara att kartlägga hur ärendehanteringen såg ut i dagsläget. Vilka uppgifter finns i vilka system och vilka har tillgång till dem. Därefter jämförde de resultatet med kraven från dataskyddslagen och identifierade områden som behövde prioriteras och förändras. svar från medarbetarna och rätt riktning på diskussionen tog de fram ett frågeformulär att utgå ifrån som baserades på PUL:s krav och innefattade allt de behövde veta. Claes understryker att arbetet med kartläggning tar tid, för AF Bostäder tog det nästan upp mot ett år. Det involverar ofta många personer, som själva har mycket att göra. Och i vissa fall får det lov att ta tid, för att alla information ska komma fram och bli tillgänglig. Steg 3: Organisation Nästa fråga projektgruppen tog sig an var organisationsfrågan. Vem ska äga ansvaret när projektgruppens arbete är över? De kom ganska snart fram till att ha en enda PU-ansvarig inte var en lösning eftersom ansvaret bör ligga hos de som jobbar nära arbetet med personuppgifter. AF Bostäder är organisatoriskt uppdelat i tre processområden (boutveckling, fastighets-

utveckling och försäljning) och ansvaret för personuppgifterna lades på de tre som är ansvariga för respektive område. De är därmed ansvariga för hur personuppgifter behandlas inom sitt respektive område. Dessutom inrättade AF Bostäder en PU-samordnare, som ansvarar för att koordinera de olika processansvariga samt vidareutbilda företaget i ämnet. Kompetens och verksamhetsstöd är a och o i arbetet med personuppgifter. Allt från interna och externa utbildningar till dokument, checklistor och IT-stöd är viktigt för att få en bra grund i företaget för både kartläggning och genomförande. Claes och hans kollegor skapade egna dokument, mallar och IT-stöd, men märkte i efterhand att det finns att tillgå på annat håll. Något som i efterhand kunde sparat en hel del arbete. Steg 4: Anpassning Efter kartläggningen var det dags att anpassa program, dokument och arbetssätt efter lagstiftningen. Claes främsta tips är att även låta detta ta tid. Man kan inte hoppa på alla bollar samtidigt och samtlig involverad personal måste få det stöd som behövs. Det AF Bostäder gjorde var bland annat att upprätta biträdesavtal med alla IT-leverantörer. Eftersom den nya dataskyddsförordningen kräver att man har koll på hur personuppgifter behandlas även av externa parter och leverantörer är det viktigt att ta reda på hur de i sin tur hanterar personuppgifter. Vad gäller IT-system och olika program så har även de så klart behövt anpassas. Där är Claes tips att anpassa dem så att så lite manuellt arbete som möjligt behövs i framtiden. En annan viktigt sak är särskilja var information och medgivande. Att be om hyresgästens medgivande för användning av personuppgifter är inte detsamma som att informera om hur man hanterar dem. AF Bostäder var därför tvungna att bättre tillhandahålla information om hur man använder personuppgifter och varför. Avslutande råd Under de två år som Claes och AF Bostäder har jobbat med personuppgifter har de lärt sig ett och annat. Det Claes hela tiden återkommer till är att det är en process som måste få ta tid. Bestäm tempo och vilka resurser som ska användas inom företaget och ta det i den takt det behövs utan att tappa sikte på målet. Han ångrar heller inte att de internt lade ner så mycket arbete på processen, istället för att ta in en konsult. Vinsten är att kompetensen de fått stannar kvar inom företaget, vilket är en tydlig fördel i det kommande kontinuerliga arbetet. Ett mer konkret tips Claes avslutar med är att försöka avveckla kommunikation i fritext och/eller i okontrollerade kanaler, till exempel Facebook och mejl. Det är en gråzon vad gäller dataskydd och det är bättre att utveckla nya, säkrare vägar för kommunikation med hyresgäster. Nytt medlemserbjudande! Smarta verktyg för säker och korrekt hantering av personuppgifter Läs mer på vår webb

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss