Rutin för webbpublicering av personuppgifter



Relevanta dokument
Riktlinjer för webbpublicering enligt PuL

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Riktlinjer för behandling av personuppgifter vid webbpublicering

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Lathund Personuppgiftslagen (PuL)

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

PERSONUPPGIFTSLAGEN (PUL)

Tingssalen, kommunhuset i Högsby kl Raymond Asp, S Helena Grybäck Svensson, förbundschef Ulla Nilsson, sekreterare

Personuppgiftslagen konsekvenser för mitt företag

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Riktlinjer för behandling av personuppgifter

Personuppgiftslagen (PuL) - En kort introduktion

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Publicering på Internet

Riktlinjer för diariet på Internet

Regler för behandling av personuppgifter enligt personuppgiftslagen

Kerstin Wardman, 25 april 2018

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Personuppgiftsbehandling i forskning

Webbpublicering och personuppgiftslagen

Frågor & svar om nya PuL

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Riktlinje för hantering av personuppgifter i e-post och kalender

Regler för behandling av personuppgifter vid Högskolan Dalarna

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Regler för hantering av personuppgifter i Stenungsunds kommun

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Personuppgiftsbehandling för forskningsändamål

Policy för personuppgiftsbehandling

Riktlinjer för personuppgiftshantering

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Personuppgifter i forskningen vilka regler gäller?

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftslagen 20 april 2010

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Personuppgiftsinformation för Svedala kommun

Antagen av kommunstyrelsen den Dataskyddspolicy Lemlands kommun

Policy för hantering av personuppgifter

PERSONUPPGIFTER SOM BEHANDLAS

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Information till nyanställda inom barn- och utbildningsförvaltningen

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Kanslichef - Tillsvidare

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Punkt 21 Riktlinje för fritextfält

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Den nya Dataskyddsförordningen

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Teckna personbiträdesavtal för användande av Googles molntjänst Apps for Education (GAFE)

Personuppgiftsbiträdesavtal

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Lindesbergs kommuns arbete med dataskyddsförordningen

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Så behandlar vi dina personuppgifter

Riktlinjer för behandling av personuppgifter inom skolans område

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Information om personuppgiftslagens tillämpning i Riksbanken

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för publicering av personbilder i Västerås stad

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Riktlinjer för publicering av personbilder

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Svar på medborgarförslag om webbsända nämndsammanträden

Personuppgiftsbehandling Dataskydd

Riktlinjer för e-posthantering i Norrköpings kommun

FÖRBEREDELSER INFÖR GDPR

Personuppgiftspolicy

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Policy för behandling av personuppgifter vid uthyrning av bostäder

Säkerhet på Norrtäljes lärplattform Fronter

Transkript:

1(5) Kommunstyrelsens förvaltning Kommunstyrelsens kansli Caroline Uttergård, Administratör 0171-525 61 caroline.uttergard@habo.se Antagen av kommundirektören 2014-10-15 Rutin för webbpublicering av personuppgifter Personuppgifter kan i vissa fall publiceras på webben, men det måste ske på ett sätt som är i enighet med personuppgiftslagen (PuL). Personuppgift är all slags information som direkt eller indirekt kan knytas till en fysiskt levande person. Exempelvis namn, personnummer, adress, telefonnummer, e-postadress, fastighetsbeteckning, kundnummer och foton. Uppgifter om företag är inte en personuppgift, förutom om det gäller en enskild firma. Kränkande personuppgifter får inte publiceras på webben För att personuppgifter i form av bilder eller löpande text eller annan så kallad ostrukturerad information ska få publiceras krävs att denna inte innebär en kränkning av den registrerades personliga integritet. Följande uppgifter definieras uttryckligen enligt PuL som så pass känsliga att de som huvudregel, utan den enskildes samtycke, inte får publiceras på webben: Personnummer/samordningsnummer Ras Etniskt ursprung Politiska åsikter, med undantag för politiker Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa eller sexualliv Lagöverträdelser Uppgifter som omfattas av sekretess eller tystnadsplikt Integritetskänslig information, till exempel uppgifter om den enskildes personliga förhållanden Förbudet mot kränkning av den registrerades personliga integritet innebär att det normalt även är förbjudet att publicera annan integritetskänslig information som typiskt sätt har nära koppling till den enskildes privata sfär. Direkt utpekande personuppgifter rörande enskilda, exempelvis namn, får således publiceras bara om dessa och övriga publicerade uppgifter, enskilt eller sammantaget, inte kan antas leda till att den enskildes personliga integritet kränks. Sådana personuppgifter får därför inte

2(5) publiceras tillsammans med information som är integritetskänslig. Tänk på att personuppgifter som enskilt kan betraktas som harmlösa, vid en publicering på webben kan anses som kränkande. Behandlingen får således inte bedömas schablonartat endast utifrån uppgifternas art. En bedömning måste även göras utifrån andra faktorer av betydelse för den personliga integriteten. Exempel på sådana faktorer är följande: I vilket sammanhang uppgifterna förekommer För vilket syfte de behandlas Vilken spridning de har fått eller riskerar att få Vad behandlingen kan leda till Personuppgifter som rör förtroendevalda och anställda får publiceras om uppgifterna har samband med deras uppdrag eller tjänsteutövning. Uppgifterna som kan publiceras är exempelvis namn, politisk tillhörighet, vem som är ansvarig handläggare och liknande information. Om en sådan person förekommer i något annat sammanhang, exempelvis i ett personalärende eller som privatperson, gäller samma regler som för övriga personer. Hur ska vi hantera personuppgifter vid webbpublicering? Innan diarier, protokoll, kallelser och andra handlingar kan publiceras på webben måste de PuLsäkras. Detta innebär att dessa handlingar först måste granskas och maskeras (rensas) från alla personuppgifter som bedöms kunna innebära en kränkning av den registrerades personliga integritet. Sammanfattningsvis innebär detta att uppgifter som uttryckligen enligt PuL är känsliga normalt aldrig får publiceras. Vidare innebär PuL-säkringen att till synes harmlösa uppgifter måste maskeras exempelvis på grund av det sammanhang uppgifterna förekommer, vad behandlingen kan leda till eller att behandlingen inte kan motiveras utifrån ett kommunalt ändamål. Det är inte tillåtet att publicera fler uppgifter eller mer känsliga uppgifter än vad som är motiverat med hänsyn till ändamålet med publiceringen. Detta eftersom förbudet mot kränkning av den registrerades personliga integritet leder till att publiceringen är otillåten. Rutin för hur man kan maskera/rensa uppgifter inför webbpublicering kommer att finnas på kommunstyrelsens kansli. Rutinen för bortrensning av personuppgifter kan vid behov komma att ändras och uppdateras utan avstämning med ledningsgruppen. Ansvar för webbpublicering Varje nämnd respektive bolagsstyrelse är personuppgiftsansvarig och därmed ansvarig för den webbpublicering som sker inom dess verksamhet.

3(5) Kommunstyrelsen har det övergripande ansvaret för att se till att det finns regler för publicering av personuppgifter på webben och att göra dessa regler kända för övriga nämnder/styrelser och dess förvaltningar. Kommundirektören har det övergripande ansvaret på organisatorisk nivå för webbpubliceringen. Förvaltningsredaktörerna bevakar och bedömer vilka personuppgifter som får publiceras på webben och ansvarar för att inga personuppgifter publiceras i strid med PuL. De ansvarar även för att gallra personuppgifterna så att de tas bort från webben och att inga dokument med personuppgifter länkas om publicering av dem strider mot PuL. Publicering och uppdatering eller borttagning av material på webben utförs av webbredaktörerna på respektive förvaltning och bolag. Vid tveksamhet ska alltid förvaltningens/bolagets personuppgiftsassistent kontaktas för samråd och vid behov även kommunens personuppgiftsombud. Information till den enskilde Webbpublicering Om personuppgifter publiceras på Internet i en löpande text eller på annat ostrukturerat sätt (inte register, databaser) är publiceringen i princip tillåten så länge man inte kränker den som personuppgifterna handlar om. Även publicering av bilder är normalt sett s.k. ostrukturerad behandling. Detta framgår av PuL:s så kallade missbruksregeln. Det är inte möjligt att generellt slå fast vad som är en kränkning av den personliga integriteten utan man måste göra en bedömning i varje enskilt fall och väga in samtliga omständigheter. Faktorer som påverkar bedömningen är bland annat syftet med publiceringen, vilka uppgifter som publiceras, var dessa publiceras och hur länge uppgifterna publicerats på Internet. Det kan även vara av betydelse hur den person, vars uppgifter publiceras, upplever publiceringen. Men det är inte avgörande för om det ska anses vara fråga om kränkning i personuppgiftslagens mening. Är man osäker på om publiceringen kan komma att uppfattas som kränkande, bör man i första hand överväga att avstå från publiceringen och i andra hand begära samtycke till publiceringen. För att samtycket ska vara giltigt krävs att den registrerade informeras om behandlingen på sätt som redovisa nedan. När personuppgifter är strukturerade i databaser och liknande gäller inte missbruksregeln. I stället måste man följa hela personuppgiftslagen. Dessa omfattar bland annat att man måste informera de registrerade. Ett undantag från detta informationskrav (vid strukturerad behandling) är när det kan antas att den enskilde redan känner till att uppgifterna kommer att publiceras på webben. Huvudregeln enligt PuL är således att den personuppgiftsansvarige skall informera den registrerade om personuppgiftsbehandlingen om det inte är fråga om s.k. ostrukturerad behandling. Man bör dock där så är möjligt, oavsett vilken behandling det är fråga om,

4(5) rutinmässigt informera de registrerade i samband med att de överlämnar personuppgifterna. En sådan rutin innebär nämligen att om den registrerade - efter att information lämnats till honom/henne på sätt som framgår nedan - väljer att överlämna uppgifterna till kommunen, har den registrerade lämnat samtycke till behandlingen ifråga. Detta kallas för konkludent samtycke - ett slags automatsamtycke som förutsätter att den registrerade rutinmässigt informeras på följande sätt: Blanketter, enkäter etc. På kommunens och de kommunala bolagens samtliga blanketter bör följande information ges: Vem som är personuppgiftsansvarig Kategorier av personuppgifter som ska behandlas Varför uppgifterna samlas in Hur uppgifterna kommer att hanteras Ett val för den enskilde att om uppgifter lämnas innebär det ett samtycke till den angivna personuppgiftsbehandlingen Kategorier av uppgifter som ska behandlas Kategorier av mottagare av uppgifterna Ansökan om registerutdrag Hur felaktigheter kan korrigeras Det finns dock följande undantag från informationsskyldigheten: Registrerad torde redan känna till behandlingen Uppgifterna kommer ej från den registrerade och behandlingen är reglerad i registerlag Uppgifterna kommer ej från den registrerade och informationen skulle medföra oproportionerliga stora insatser Det har dock visat sig att man ofta har svårt att avgöra i vilken utsträckning de i blanketten redovisade undantagen från informationsskyldigheten är tillämpliga. För att undvika tidskrävande bedömningar bör huvudregeln därför vara att de registrerade rutinmässigt informeras i samband med att de överlämnar personuppgifterna, även i de fall då något undantag från informationskravet eventuellt kan vara tillämpligt. Om behandlingen sker utan konkludent samtycke måste, för såvida inget undantag från informationskravet är tillämpligt, de registrerade erhålla motsvarande information genom

5(5) särskild informationsrutin, som lämpligen utformas så att de registrerade erhåller informationen i samband med att personuppgifterna samlas in. Respektive förvaltning och bolag ska se till att ovanstående information finns. Informationskravet gäller självfallet även vid behandling av personuppgifter som rör förtroendevalda och anställda när kommunen behandlar deras personuppgifter. Hur länge uppgifterna kan bevaras på webben Enligt PuL får inte personuppgifter behandlas i något avseende, exempelvis vara tillgängliga på webben, i större utsträckning än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som i denna mening inte längre är nödvändiga ska antingen gallras (förstöras) eller arkiveras. Varje nämnd och styrelse måste därför fatta beslut om när dokument som omfattar personuppgifter på webben ska gallras. Ofta torde uppgifterna kunna gallras med hänvisning till att de är av ringa betydelse för myndighetens verksamhet. Gallringsfristen brukar då vara Vid inaktualitet, vilket innebär att uppgifterna inte längre är nödvändiga att ha kvar med hänsyn till ändamålet med behandlingen (bevarandet). Bedömningen av vad som ska gallras ska göras minst en gång per år och ska framgå av nämndernas och bolagens dokumenthanteringsplaner.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss