Riktlinjer för behandling av personuppgifter – Integritetsskydd enligt dataskyddsförordningen
Bakgrund
Från och med den 25 maj 2018 regleras behandling av personuppgifter av dataskyddsförordningen, den svenska dataskyddslagen och den svenska dataskyddsförordningen. Det finns även särlagstiftning för vissa verksamhetsområden såsom t.ex. Patientdatalag (2008:355) och Lag (2001:454) om behandling av personuppgifter inom socialtjänsten. Dessa riktlinjer beskriver tillämpningen av lagstiftningen i Säters kommun.
Syfte och mål
De personuppgifter som hanteras i Säters kommun, både direkta och indirekta, ska vara korrekta, riktiga och relevanta för ändamålet med behandlingen. Behandlingen ska ske med stöd av lag. Personuppgifterna ska skyddas så att de inte sprids vidare på ett otillåtet sätt.
Definitioner
Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Det kan vara ett namn, ett person- eller identifikationsnummer, eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgifter vara till exempel ett fotografi som i kombination med exempelvis adressuppgifter säger någonting om personens levnadsförhållanden; eller en IP-adress som kan kopplas till en viss person; eller användarnamn.
Känsliga personuppgifter är uppgifter om:
- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.
Dataskyddslagen likställer personnummer och samordningsnummer med känsliga personuppgifter.
Ett systematiskt arbete
För att försäkra oss om att dataskyddsförordningen ska kunna efterlevas i Säters kommun så sker arbetet i ett ständigt pågående kvalitetsarbete: vi planerar och utreder inför nya behandlingar, vi genomför förändringar på ett kontrollerat sätt, vi utbildar och informerar samt följer upp och åtgärdar brister. I arbetet finns olika roller med olika ansvarsområden. Mer om roller, ansvar och arbetsmodellen för arbetet beskrivs i Riktlinjer för LIS (Ledningssystem för informationssäkerhet).
Organisation
Personuppgiftsansvarig
Det är respektive nämnd/styrelse i kommunen som är personuppgiftsansvariga och därmed har det yttersta ansvaret för sina personuppgiftsbehandlingar.
Dataskyddsombud
Alla myndigheter ska utse ett dataskyddsombud. Dataskyddsombudet ska kunna arbeta självständigt och oberoende, utan att bli påverkad av andra inom organisationen. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.
Dataskyddsombudet ska ges möjlighet att delta i hantering av alla frågor som rör dataskydd och behandling av personuppgifter, även i ett tidigt planeringsskede. Dataskyddsombudet ska informera och ge råd både till den personuppgiftsansvarige och till anställda i verksamheten när det gäller dataskydd och behandling av personuppgifter.
Ombudet ska övervaka att lagstiftningen efterlevs i organisationen, bygga upp medvetenheten om dataskydd och utbilda organisationens personal.
Dataskyddshandläggare
Till stöd för samtliga nämnder/styrelser i Säters kommun, i arbetet med personuppgiftsbehandlingar, ska det finns dataskyddshandläggare. Antalet dataskyddshandläggare ska återspegla antalet, komplexiteten samt skyddsvärdet hos nämndens personuppgiftsbehandlingar. Dataskyddshandläggaren utses av respektive förvaltningschef.
Handläggarnas arbetsuppgifter ska innefatta att:
- vara ett kunskapsstöd för den egna förvaltningen i personuppgiftsfrågor
- samla in information om behandlingar, och i samråd med systemförvaltare och verksamhet göra en laglighetsbedömning
- hålla förteckningen över personuppgiftsbehandlingen uppdaterad så att den visar korrekt information
- Utforma styrdokument, rutiner, information och mallar rörande personuppgiftsbehandling
- Ta fram och utveckla processer för efterlevnad av regelverket för personuppgiftshantering
- Delta i implementeringen av framtagna rutiner och processer gällande dataskyddslagstiftningen
Systemägare och systemförvaltare
Systemägare och systemförvaltare har roller och ansvar som beskrivs mer i Säters kommuns informationssäkerhetsarbete; de har ett ansvar för att system förvaltas och har funktioner för att kunna hantera data på ett informationssäkert sätt. De ska i arbetet med personuppgiftsbehandlingar samråda med dataskyddshandläggare och dataskyddsombud om laglighetsbedömningar.
Arkivansvariga, arkivredogörare och arkivarie
Arkivansvariga, arkivredogörare och arkivarie har roller och ansvar som beskrivs mer i Säters kommuns arkivreglemente; de har ett ansvar för gallringsutredningar.
Anställda som hanterar personuppgifter
Alla anställda som på något sätt hanterar personuppgifter i sitt arbete ska känna till dataskyddsförordningen och hur vi uppfyller lagkraven i Säters kommun. De anställda ska närvara vid utbildningar som tillhandahålls om personuppgiftshantering, samt följa instruktioner och rutiner som gäller för informationshantering och specifika system. Vi har alla en skyldighet att tänka på vad vi skriver, var vi skriver det och hur vi delar med oss om uppgifterna!
Krav på dokumentation
Dokumentation kring personuppgiftsbehandlingar och styrande dokument för hanteringen av personuppgifter ska hållas aktuella, hanteras konsekvent och på ett enkelt sätt kunna tas fram, till exempel om de registrerade vill veta mer om personuppgiftsbehandlingarna, eller vid en inspektion från tillsynsmyndigheten.