Stadsövergripande policy om skyddade personuppgifter med riktlinjer till nämnder och bolag



Relevanta dokument
Styrdokument FASTSTÄLLT AV STYRELSEN

Skatteverkets vägledning för hantering av skyddade personuppgifter i svensk förvaltning

TILLÄMPNING. Hudiksvalls kommun. och. hantering av skyddade personuppgifter

SOCIALFÖRVALTNINGEN Rutin för hantering av skyddade personuppgifter

Föredragande borgarrådet Anna König Jerlmyr anför följande.

RIKTLINJER AVSEENDE SKYDDADE PERSONUPPGIFTER

Hantering av skyddade personuppgifter

Handlingsplan. Skyddad identitet

INSTRUKTION. Koncernkontoret. Enheten för informationssäkerhet. Datum: Dnr: Dokumentets status: Beslutad

RIKTLINJE AVSEENDE SKYDDADE PERSONUPPGIFTER

Rutin gällande skyddade adresser och personuppgifter

Skyddade personuppgifter

Riktlinjer för hantering av barn och elever med skyddade personuppgifter

Riktlinjer för hantering av uppgifter om personer med skyddad identitet

Meddelandeblad. Skyddade personuppgifter Ökat skydd för hotade och förföljda personer. Lagändringar. Olika typer av skyddade uppgifter

Hantering av skyddade personuppgifter

HYLTE. Revisionsrapport "Skyddad identitet"

HANTERING AV SKYDDADE PERSONUPPGIFTER INOM STADENS INDIVID- OCH FAMILJEOMSORG

Skolförvaltningens rutin för hantering av personer med skyddade personuppgifter

Stockholms läns landsting 1 (2)

Hantering av personer med skyddade personuppgifter

Rutin. Registrering av patienter med skyddade personuppgifter

Lena Persson mail: Rutiner för hantering av skyddad identitet inom förskola och grundskola i Ängelholms kommun

Antagen av Utbildningsnämnden och av Arbetsmarknads- och vuxenutbildningsnämnden

BESLUT. Instruktion för hantering av skyddade personuppgifter

Regeringens proposition 2013/14:178

Anmälan om svar på remiss Ökad trygghet för hotade och förföljda personer (SOU 2015:69) Remiss från Finansdepartementet

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Karin Almgren och Christer Silfverberg samt justitierådet Dag Mattsson

Yttrande över betänkandet Ökad trygghet för hotade och förföljda personer (SOU 2015:69)

Användandet av E-faktura inom den Summariska processen

DOKUMENTTYP Riktlinje PUBLICERAD

Antagen av kommunstyrelsen Reviderad

Utlamnande av allmän handling/ allmänna uppgifter -Rutiner

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Yttrande över trygghetsutredningens betänkande Ökad trygghet för hotade och förföljda personer (SOU 2015:69)

Hantering av personer med skyddad identitet inom skola och socialtjänst i Ängelholms kommun

Kommittédirektiv. Förstärkt skydd av personuppgifter för hotade och förföljda personer. Dir. 2014:98. Beslut vid regeringssammanträde den 26 juni 2014

Offentlighetsprincipen och allmänna handlingar

Regler och rutiner för post och e-post

Användandet av E-faktura inom verksamheten betalningsföreläggande

Revisionsrapport. Skyddad identitet Hallandsgemensam granskning. Halland, sammanfattning

Riktlinjer om e-post Dnr 1-202/2019. Gäller fr.o.m

Avgift för utlämnande av allmänna handlingar

Kritik mot Utvecklingsnämnden i Helsingborgs kommun för att en 18-årig flickas sekretesskyddade namn röjts

Revisionsrapport. Granskning av offentlighetsprincipen i Höörs kommun

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Antagen på förvaltningsledningsmöte

Sida l (4) KAMMARRÄTTEN T^MA/f Mål nr ^ I STOCKHOLM JJUIVI Avdelning Meddelad i Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.0,

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Riktlinjer och taxa för begäran om allmänna handlingar

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1,

Offentlighet och sekretess. Rebecka Isaksson, kommunjurist

Historik information om ändringar i vägledningen 2001:3 Offentlighet, sekretess och behandling av personuppgifter

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Rutiner för hantering av elever med skyddade personuppgifter

Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet

* Skatteverket AVISERING AV FOLKBOKFÖRINGSUPPGIFTER ALLMÄN BESKRIVNING ÄNDRAT I DENNA VERSION:

Vissa frågor om behandling av personuppgifter och regleringen av id-kortsverksamheten

hantering av barn och elever med skyddade personuppgifter vistas i landet utan tillstånd (i tillämpliga delar)

Offentlighet och sekretess

Skälen för Socialstyrelsens ställningstagande

En tingsrätts handläggning av ett mål om umgängesrätt m.m. där svaranden hade s.k. fingerade personuppgifter

Ökat skydd för hotade och förföljda personer samt några åtgärder för att öka kvaliteten i folkbokföringen. Maria Åhrling (Finansdepartementet)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Beskrivning enligt 4 kap. 2 offentlighetsoch sekretesslagen

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT BEHANDLING AV PERSONUPPGIFTER

ANSÖKAN OM LICENS. - tillhandahålla årlig landbaserad turnering i kortspel enligt 9 kap. 7 spellagen (2018:1138) ver 1.1. Uppgifter om sökanden

Sida l (3) KAMMARRÄTTEN y^ ^ny r Mål nr I STOCKHOLM JJUiVL Avdelning Meddelad i Stockholm

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT HANTERING AV JOURNALUPPGIFTER

POLICY FÖR E-ARKIV STOCKHOLM

KLAGANDE Tommy Engman Sveriges Radio Västerbotten Box Skellefteå. SAKEN Utlämnande av allmänna handlingar

ANSÖKAN OM LICENS. - tillhandahålla lokalt poolspel på hästar enligt 6 kap. 8 spellagen (2018:1138) ver 1.1. Uppgifter om sökanden

Mål nr ÖVERKLAGAT AVGÖRANDE Tyresö kommuns beslut den 23 mars 2011 i ärende med dnr _ , se bilaga A

Sekretess, lagar och datormiljö

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Rutin för utredning enligt skollagen 14 a kap. 10

PSI. Hur har Public Sector Information direktivet (PSI) påverkat Skatteverkets verksamhet?

Remissvar Ds 2013:47 Skydd av personuppgifter för hotade och förföljda personer

ANSÖKAN OM LICENS. - tillhandahålla lokalt poolspel på hästar enligt 6 kap. 8 spellagen (2018:1138) Uppgifter om sökanden. Uppgifter om ansökt licens

Sida l (4) KAMMARRÄTTEN y^ ^^ r Mål nr I STOCKHOLM JJUIVI Avdelning "06- O 4 Meddelad i Stockholm

Rutin för utlämnande och sekretessbedömning av allmän handling vid kommunstyrelsens förvaltning

Riktlinjer för hantering av allmänna handlingar

Ökad trygghet för hotade och förföljda personer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Marie Schmid. Inga-Lill Malmsjö kl 08:30. Mi Carlsson 09:15

Pass 6: Forskningsjuridik

Regionstyrelsens arbetsutskott

Frågor och svar om nationella vaccinationsregistret

Brister i hanteringen av ett ärende om tillgodoräknande av utbildning vid Göteborgs universitet

Sekretess, tystnadsplikt, anmälningsskyldighet mm Granskad av: Fastställd av: Fastställd datum: Reviderad datum: Socialförvaltningens ledningsgrupp

Regeringens proposition 2017/18:145

regel plan policy program regel riktlinje rutin strategi taxa regler för hantering av socialförvaltningens allmänna handlingar ...

Kompletterande Riktlinje för informations säkerhet

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Rikspolisstyrelsens författningssamling

24 kap. 8 offentlighets- och sekretesslagen (2009:400)

Transkript:

STADSLEDNINGSKONTORET JURIDISKA AVDELNINGEN BILAGA SID 1 (5) Stadsövergripande policy om skyddade personuppgifter med riktlinjer till nämnder och bolag Inledning Inom stadens verksamheter hanteras en stor mängd personuppgifter. Personuppgifter kan efter beslut av skatteverket vara skyddade. Det är angeläget att stadens verksamheter hanterar skyddade personuppgifter på ett enhetligt och säkert sätt. Varje nämnd i staden måste därför göra en noggrann genomgång av sin verksamhet och upprätta anvisningar för hanteringen av skyddade personuppgifter inom den egna verksamheten om så krävs utöver denna stadsövergripande policy. Med nämnd avses i det följande även kommunala bolag. Beroende på arten av hot finns det tre grader av skyddade personuppgifter. Skyddade personuppgifter är samlingsnamnet som skatteverket använder för åtgärderna sekretessmarkering, kvarskrivning och fingerade personuppgifter. Sekretessmarkering Enligt 22 kap. 1 offentlighets- och sekretesslagen (2009:400, OSL), är uppgifter inom folkbokföringsverksamheten i regel offentliga. Sekretess gäller om det av särskild anledning kan antas att en person, eller någon närstående, kan lida skada eller men om uppgiften om personen lämnas ut. I de fall skatteverket på förhand kan bedöma att utlämnande av uppgifter om en person kan orsaka personförföljelse eller annan skada kan en s.k. markering för särskild sekretessprövning (sekretessmarkering) sättas för personen i folkbokföringsdatabasen. Det framgår inte av själva markeringen vilken uppgift om personen i folkbokföringen som kan vara känslig. Det behöver inte bara vara adressen som är den skyddsvärda uppgiften, det kan även vara nytt namn eller uppgifter om närstående. Markeringen ska fungera som en varningssignal så att en noggrann prövning görs innan några uppgifter om personen lämnas ut. En sekretessmarkering innebär inte någon absolut sekretess. Vid en begäran om utlämnande av personuppgifter ska

SID 2 (5) varje myndighet göra en självständig sekretessbedömning. Vid bedömningen kan myndigheten komma fram till att uppgifterna ska lämnas ut. Skatteverket aviserar sekretessmarkeringen till andra myndigheter tillsammans med övriga uppgifter om personen, när uppgifterna lämnas över till myndigheterna. Kvarskrivning Ett annat sätt att skydda personuppgifter i folkbokföringen är att genom beslut om kvarskrivning medge en person vid flyttning att vara folkbokförd på den gamla folkbokföringsorten i högst tre år. Kravet för en person att få bli kvarskriven är att han av särskilda skäl kan antas bli utsatt för brott, förföljelser eller allvarliga trakasserier på annat sätt. Omständigheterna ska i princip motsvara de som gäller för meddelande av besöksförbud enligt lagen (1988:688) om besöksförbud. Vid kvarskrivning framgår inte den verkliga bostadsorten av folkbokföringsregistret och därmed sprids den inte heller till aviseringsmottagarna. Den gamla adressen tas bort och personen registreras på församlingen skriven. Skatteverkets adress anges som en särskild postadress. Det som aviseras till andra myndigheter är en flyttning där personen blivit på församlingen skriven och med den särskilda postadressen. Någon annan särskild markering aviseras inte. All post går då till skatteverket som har den faktiska adressen manuellt förvarad och kan vidarebefordra posten. Kvarskrivningen fungerar som ett adresskydd. Men i regel får en kvarskriven person också en sekretessmarkering. Då aviseras även sekretessmarkeringen. Fingerade personuppgifter Vid särskilt allvarliga hot kan en person medges att använda annan identitet. Beslut om detta meddelas av Stockholms tingsrätt efter ansökan hos Rikspolisstyrelsen. Den nya identiteten registreras på ett sådant sätt att det inte framgår att det rör sig om fingerande personuppgifter. Kopplingen mellan identiteterna finns endast hos Rikspolisstyrelsen. Nedan följer riktlinjer till nämnder och bolag om hantering av skyddade personuppgifter.

SID 3 (5) Riktlinjer till nämnder och bolag om hantering av skyddade personuppgifter Med nämnd avses i det följande även kommunala bolag. 1. Varje nämnd ska utforma anvisningar om hanteringen av skyddade personuppgifter inom den egna verksamheten, om så krävs utöver dessa riktlinjer. Nämnderna ska utforma sina anvisningar utifrån en egen riskbedömning av de skyddade personuppgifter som myndigheten behandlar och konsekvensen av om dessa uppgifter lämnas ut till en obehörig person. Nämnder med likartade verksamhetsområden, som t.ex. stadsdelsnämnderna, kan ha gemensamma anvisningar för hanteringen av skyddade personuppgifter inom dessa verksamhetsområden. Nämnder som inte omfattas av någon form av verksamhetsspecifik sekretess ska om möjligt inte registrera skyddade personuppgifter, eftersom uppgifterna kan bli offentliga och en nämnd kan bli skyldig att lämna ut t.ex. en adress. Anställda med skyddade personuppgifter måste dock registreras bl.a. för att administrera löneutbetalningar. Det finns emellertid allmänna bestämmelser gällande sekretess för personuppgifter i 21 kap. OSL som är tillämpliga inom alla myndigheters verksamheter, men varje myndighet ska själv göra en sekretessbedömning och myndigheten kan då komma fram till att uppgiften är offentlig. Alla nämnder som hanterar skyddade personuppgifter i verksamheten ska registrera och förvara sådana uppgifter på ett säkert och enhetligt sätt. E-tjänst, e-post Den enskilde med skyddade personuppgifter ska alltid upplysas om risken med att lämna ut sina uppgifter, t.ex. ska den enskilde informeras om riskerna med att hantera elektroniska tjänster och e-post. Nämnderna ska vid behov kunna erbjuda alternativ till e-hantering av personuppgifter. 2. Nämnderna ska inte i onödan ta med information i sina handlingar. Varje nämnd bör göra en översyn av vilken information som ovillkorligen måste anges i ansökningar, beslut, protokoll och andra handlingar. I arbetsordningar, anvisningar o.d. eftersträvas vanligen en rationell och enhetlig handläggning av ärenden och det finns då risk för att skyddade personuppgifter i

SID 4 (5) onödan krävs in, eller tas in i en handling. Enligt personuppgiftslagen ska personuppgifter som inte behövs inte heller begäras in. 3. Varje nämnd ska särskilt beakta hanteringen av skyddade personuppgifter vid utveckling av IT-stöd. Vid utveckling av IT-stöd eftersträvas alltmer system med enhetliga rutiner och med små möjligheter till avvikelser. För att inte tappa kontrollen över skyddade personuppgifter ska behandlingen av sådana uppgifter särskilt beaktas vid systemutvecklingen. Elektroniskt Personregister Stockholm Stad (EPS), vilket är under utveckling, ska tillhandahålla stadens verksamheter och e-tjänster så korrekta personuppgifter som möjligt. EPS ska användas som masterdatabas vid nyanskaffning av informationssystem. Äldre redan driftsatta system, ska också använda EPS som källa för personuppgifter så långt som möjligt. Det ska tydligt gå att utläsa om uppgifter är skyddade i de system som hanterar personuppgifter. 4. Varje nämnd ska utforma IT-stödet så att endast ett fåtal personer har behörighet att ta del av skyddade personuppgifter. Risken för att skyddade personuppgifter lämnas ut, av misstag eller medvetet, ökar med antalet handläggare/användare som kan ta del av uppgifterna. Detta gäller vid såväl direktåtkomst på bildskärm som uttag av uppgift på papper. Kretsen av personer som har behörighet att ta del av skyddade personuppgifter ska därför begränsas så mycket som möjligt. Enbart de handläggare/användare som har behov av uppgifterna ska kunna ta del av skyddade personuppgifter. 5. För en användare som har behörighet att ta del av skyddade uppgifter ska det på ett säkert och enhetligt sätt framgå att uppgifterna är skyddade. Sekretesskyddade personuppgifter ska förvaras och markeras på ett enhetligt och tydligt sätt inom verksamheten, både digitalt och manuellt, för att minimera risken för eventuella misstag. Det är viktigt att markeringar om skyddade personuppgifter syns vid alla sökningar i register och att de markeras tydligt både på bildskärm och i pappersform.

SID 5 (5) 6. Varje nämnd ska utforma enhetliga och säkra rutiner för att kommunicera med och om personer med sekretessmarkerade personuppgifter. Skyddade personuppgifter ska inte spridas till områden där sekretess för uppgifterna inte föreligger. Personer med skyddade personuppgifter ska informeras om vikten av att inte i onödan lämna ut uppgifter om sig själva. Nämnden ska vända sig till den enskilde eller t.ex. andra myndigheter endast via en säker kommunikationskanal. Säkra kommunikationskanaler är brev, elektronisk kommunikation med hjälp av elektronisk legitimation och personligt besök av den enskilde om han eller hon har legitimerat sig. Kommunikation via e-post ska inte tillämpas i fråga om skyddade personuppgifter vare sig inom eller mellan myndigheter. Kommunikation med andra myndigheter per telefon kan vara möjlig efter motringning. För utskick till en person med sekretessmarkerade personuppgifter kan en myndighet använda den adressuppgift som myndigheten själv förfogar över. Om man inte har någon adressuppgift i verksamheten, t.ex. där verksamhetsspecifik sekretess inte finns, och man behöver skriva till en person med skyddade personuppgifter kan försändelsen överlämnas till skatteverket, som i sin tur sänder försändelsen vidare till berörd person i skatteverkets tjänstekuvert. Adresser till skatteverkets förmedlingskontor finns på www.skatteverket.se under skyddade personuppgifter. Där framgår även hur den praktiska hanteringen ska gå till. På varje nämnd ska det finnas rutiner för kommunikation via skatteverket. 8. Det ska vara möjligt att i efterhand kontrollera vilka handläggare som har tagit del av skyddade personuppgifter. Kontroll är viktig för att man i efterhand ska kunna spåra vilken eller vilka handläggare/användare som har tagit del av uppgifter om en person med skyddade personuppgifter. Detta kan t.ex. ske genom kontroll av loggar. Handläggare/ användare ska informeras om att kontroller genomförs. 9. Varje nämnd ska regelbundet följa upp att dess regler och rutiner kring skyddade personuppgifter efterlevs inom den egna nämnden. Varje nämnd ansvarar för att anvisningarna för hantering av skyddade personuppgifter följs.