Gå till innehåll Gå till huvudmeny Gå till sidomeny

Vad letar du efter?

Riktlinjer för behandling av personuppgifter – Integritetsskydd enligt dataskyddsförordningen

Bakgrund

Från och med den 25 maj 2018 regleras behandling av personuppgifter av dataskyddsförordningen, den svenska dataskyddslagen och den svenska dataskyddsförordningen. Det finns även särlagstiftning för vissa verksamhetsområden såsom t.ex. Patientdatalag (2008:355) och Lag (2001:454) om behandling av personuppgifter inom socialtjänsten. Dessa riktlinjer beskriver tillämpningen av lagstiftningen i Säters kommun.

Syfte och mål

De personuppgifter som hanteras i Säters kommun, både direkta och indirekta, ska vara korrekta, riktiga och relevanta för ändamålet med behandlingen. Behandlingen ska ske med stöd av lag. Personuppgifterna ska skyddas så att de inte sprids vidare på ett otillåtet sätt.

Definition av personuppgifter

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Det kan vara ett namn, ett person- eller identifikationsnummer, eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgifter vara till exempel ett fotografi som i kombination med exempelvis adressuppgifter säger någonting om personens levnadsförhållanden; eller en IP-adress som kan kopplas till en viss person; eller användarnamn.

Känsliga personuppgifter är uppgifter om:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.

Dataskyddslagen likställer personnummer och samordningsnummer med känsliga personuppgifter.

Ett systematiskt arbete (policy)

För att försäkra oss om att dataskyddsförordningen ska kunna efterlevas i Säters kommun så sker arbetet i ett ständigt pågående kvalitetsarbete: vi planerar och utreder inför nya behandlingar, vi genomför förändringar på ett kontrollerat sätt, vi utbildar och informerar samt följer upp och åtgärdar brister. I arbetet finns olika roller med olika ansvarsområden. Mer om roller, ansvar och arbetsmodellen för arbetet beskrivs i Riktlinjer för LIS (Ledningssystem för informationssäkerhet).

Organisation

Personuppgiftsansvarig

Det är respektive nämnd/styrelse i kommunen som är personuppgiftsansvariga och därmed har det yttersta ansvaret för sina personuppgiftsbehandlingar.

Dataskyddsombud

Alla myndigheter, det vill säga styrelser och nämnder i Säters kommun. utser ett dataskyddsombud. Dataskyddsombudet arbetar självständigt och oberoende, utan att bli påverkad av andra inom organisationen. Dataskyddsombudet rapporterar direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

Dataskyddsombudet ska ges möjlighet att delta i hantering av alla frågor som rör dataskydd och behandling av personuppgifter, även i ett tidigt planeringsskede. Dataskyddsombudet ska informera och ge råd både till den personuppgiftsansvarige och till anställda i verksamheten när det gäller dataskydd och behandling av personuppgifter.

Dataskyddsombudet ska övervaka att lagstiftningen efterlevs i organisationen, bygga upp medvetenheten om dataskydd och utbilda organisationens personal. Dataskyddshandläggare

Till stöd för samtliga styrelser och nämnder i Säters kommun ska det finns dataskyddshandläggare. Antalet dataskyddshandläggare ska återspegla antalet, komplexiteten samt skyddsvärdet hos nämndens personuppgiftsbehandlingar. Dataskyddshandläggaren utses av respektive sektorchef.

I Säters kommun samverkar en administrationsgrupp där även dataskyddshandläggare ingår och tillförsäkrar att personuppgiftsbehandlingar hanteras på ett lagenligt sätt. Som stöd i arbetet finns en förvaltningsplan som klargöra vad som ska göras i förvaltningsarbetet för att följa Dataskyddsförordningen samt hur arbetet ska utföras och styras under det kommande året.

Dataskyddshandläggare

Handläggarnas arbetsuppgifter ska innefatta att:

  • Vara ett kunskapsstöd för den egna sektorn i personuppgiftsfrågor
  • Samla in information om behandlingar, och i samråd med systemförvaltare och verksamhet göra en laglighetsbedömning
  • Hålla förteckningen över personuppgiftsbehandlingen uppdaterad så att den visar korrekt information
  • Utforma styrdokument, rutiner, information och mallar rörande personuppgiftsbehandling
  • Ta fram och utveckla processer för efterlevnad av regelverket för personuppgiftshantering
  • Delta i implementeringen av framtagna rutiner och processer gällande dataskyddslagstiftningen

Systemägare och systemförvaltare

Systemägare har ett ansvar för att system förvaltas och har funktioner för att kunna hantera data på ett informationssäkert sätt enligt tillämpliga lagar och regler. Systemägaren ansvarar för att medel tillsätts för ändamålen ovan.

Systemförvaltare

Systemförvaltaren ansvarar för att system förvaltas och har funktioner för att kunna hantera data på ett informationssäkert sätt. De ska i arbetet med personuppgiftsbehandlingar samråda med dataskyddshandläggare och dataskyddsombud om laglighetsbedömningar. Systemförvaltaren ansvarar för att konsekvensbedömningar och personuppgiftsbiträdesavtal upprättas, men det innebär inte alltid att det är den som utför aktiviteterna.

Arkivansvariga, arkivredogörare och arkivarie

Arkivansvariga, arkivredogörare och arkivarie har ett ansvar för gallringsutredningar.

Anställda som hanterar personuppgifter

Alla anställda som på något sätt hanterar personuppgifter i sitt arbete ska känna till dataskyddsförordningen och hur vi uppfyller lagkraven i Säters kommun. De anställda ska närvara vid utbildningar som tillhandahålls om personuppgiftshantering, samt följa instruktioner och rutiner som gäller för informationshantering och specifika system. Vi har alla en skyldighet att tänka på vad vi skriver, var vi skriver det och hur vi delar med oss av uppgifterna.

Krav på dokumentation

Dokumentation kring personuppgiftsbehandlingar och styrande dokument för hanteringen av personuppgifter ska hållas aktuella, hanteras konsekvent och på ett till exempel om de registrerade vill veta mer om personuppgiftsbehandlingarna, eller vid en inspektion från tillsynsmyndigheten.

För varje personuppgiftsbehandling/system Lagring Ansvarig
Registerförteckning över personuppgiftsbehandlingar med laglighetsbedömning I verktyget för registerförteckningar GdprHero Dataskyddshandläggare
Systemdokumentation (inklusive förvaltningsplan och bevarandeplan) Myndighetsdiariet Systemförvaltare
Instruktioner (specifikt för system/en typ av personuppgiftsbehandling) för hantering och registrering (se avsnitt Tekniska och organisatoriska åtgärder) Ingår i systemdokumentation, se ovan. Systemförvaltare/dataskyddshandläggare
Personuppgiftsbiträdesavtal Original registreras i avtalsdatabasen AVL Systemförvaltare
Dokumentation om samtycken Hålls ordnade hos den anställde som samlar in personuppgifterna (rutin ska finnas för hur de hålls ordnade) Anställd
Informationshanteringsplan Diarieförs i respektive diarium Arkivredogörare. Beslutas i nämnd/styrelse
Konsekvensbedömning Diarieförs i respektive diarium Systemförvaltare Delegationsbeslut enligt delegationsordning. Delges nämnd/styrelse
Informationsklassningar I verktyget KLASSA Systemförvaltare
Incidentrapportering Diarieförs i respektive diarium. Rapporteras i tillsynsmyndighetens e-tjänst Om rapporteringsprocessen, se avsnitt Incidentrapportering

Dokumentation

Konsekvensbedömning

Konsekvensbedömningen är en process där man beskriver behandlingen och bedömer om den är nödvändig och proportionell. Bedömningen utgör ett stöd i att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter.

Personuppgiftbiträdesavtal

I Säters kommun upprättar styrelser och nämnder (personuppgiftsansvariga) personuppgiftsbiträdesavtal när en extern part behandlar personuppgifter för en personuppgiftsansvarigs räkning. Innan personuppgiftsbiträdesavtal tecknas behöver det alltså vara klarlagt att det förhållande som ska regleras verkligen innebär att någon part behandlar personuppgifter för den andra partens räkning.

Den personuppgiftsansvarige bestämmer ändamålen med behandlingen (varför behandlingen sker) och medlen för behandlingen (hur behandlingen sker). Den personuppgiftsansvarige kan anlita ett personuppgiftsbiträde för att utföra hela eller delar av behandlingen. Den personuppgiftsansvarige ska då ge personuppgiftsbiträdet instruktioner för behandlingen, som biträdet måste följa. Instruktionerna brukar följa med som en bilaga till själva personuppgiftsbiträdesavtalet.

Registerförteckning

Varje personuppgiftsansvariga i Säters kommun upprättar, enligt Dataskyddsförordningen, register över sina behandlingar av personuppgifter.

Register över personuppgiftsbehandlingar upprättas skriftligen, och ska vara tillgängliga i elektroniskt format och hålls uppdaterade. På begäran ska registret göras tillgängligt för IMY.

Uppföljning av styrdokument

Dataskyddsombudet ansvarar för att Riktlinjerna för behandling av personuppgifter årligen följs upp och hålls aktuella.

Hantera personuppgifter i vårt arbete

Vilka personuppgifter vi samlar in och varför

Vi ska endast samla in och behandla de uppgifter som behövs för ett specifikt ändamål. Vi samlar inte in fler uppgifter än vad vi behöver!

Vi behandlar enbart personuppgifter om det finns en rättslig grund för behandlingen. De rättsliga grunderna enligt Dataskyddsförordningen är följande:

  • samtycke (används endast i undantagsfall eftersom ett samtycke kan tas tillbaka)
  • avtal (anställningsavtal, avtal med kund, o.s.v.)
  • rättsliga förpliktelser (till exempel bokföringsskyldighet, hälso- och sjukvård, o.s.v.)
  • skydda grundläggande intressen (exempelvis om den personuppgiftsansvariga måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om hen är medvetslös.
  • myndighetsutövning (bygglov, ekonomiskt bistånd) och allmänt intresse (forskning, statistik, arkiv)
  • intresseavvägning (inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn)

Har vi ingen rättslig grund kan vi i vissa fall begära samtycke. Det måste i så fall vara frivilligt: den registrerade ska kunna avgöra om personuppgifterna ska få behandlas, och ska kunna säga nej. Maktförhållandet måste vara jämlikt. Den registrerade får inte heller drabbas av negativa konsekvenser vid valet att inte lämna sitt samtycke.
Om en ny typ av personuppgiftsbehandling planeras så kontaktar vi en dataskyddshandläggare för att få hjälp med att bedöma om vi får behandla uppgifterna och hur vi i så fall ska skydda dem. Våra bedömningar dokumenteras alltid i förteckningsverktyget GDPR Hero. Samtycken ska alltid vara skriftliga och hållas ordnade. Mer finns att läsa i avsnitt 5, Planering och genomförande av ny behandling.

Var vi sparar och hur vi kommunicerar personuppgifter

Lagring av personuppgifter sker alltid i anvisade system som har kravställts och införts så att det ska uppfylla dataskyddsförordningens krav. Kopior utanför systemet ska undvikas, om det inte är en del av en utvärderad och redovisad hanteringsrutin. Om molntjänster får användas ska det endast ske enligt upprättade instruktioner för respektive molntjänst.
Var vi lagrar personuppgifter ska framgå av Informationshanteringsplanen.

Vi kommunicerar personuppgifter på ett informationssäkert sätt. Om vi ska kommunicera personuppgifter som är känsliga så kräver det särskilda skyddsåtgärder. Det kan vara att informationen i digitala verktyg för kommunicering, krypteras och görs tillgänglig under en begränsad tidsperiod innan det raderas. Om möjligt kan man även kommunicera avidentifierade uppgifter.
Känslig information kan till exempel vara hälsoinformation, personnummer, facklig tillhörighet och övrig information som omfattas av sekretess.
För mer information om hantering av e-post, se Riktlinjer för bemötande och service antagen av Kommunstyrelsen 2025-02-04.

Förteckning över personuppgiftsbehandlingar

Alla personuppgiftsbehandlingar finns i ett gemensamt register och de olika enheterna/verksamheterna är i sin tur ansvariga för att registret både är kvalitetssäkrat och uppdaterat. Registret hjälper oss ha kontroll över vilka personuppgiftsbehandlingar vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, kontrollera att vi till exempel har en rättslig grund att behandla uppgifterna.
Registret är en total kartläggning av alla behandlingar av personuppgifter som utförs inom respektive nämnd. Det ger en översikt över alla register, system och dokument där personuppgifter förekommer.
De registrerade ska informeras om att deras personuppgifter behandlas samt om vilka rättigheter de har.

  • Om vi har fått personuppgifterna av den registrerade själv, ska informationen till den registrerade ges när personuppgifterna samlas in, t ex i ett e-formulär eller en blankett.
  • Om personuppgifterna kommer från någon annan källa, ska den personuppgiftsansvarige ge information om behandlingen till den registrerade inom rimlig tid, men senast inom en månad.
  • Om den registrerade redan har kännedom om informationen behöver vi inte informera. Likaså behöver vi inte heller det om det är omöjligt eller skulle medföra en oproportionell ansträngning.

Hur länge vi sparar uppgifterna

I planeringsarbetet innan vi påbörjar en ny typ av personuppgiftsbehandling ska uppgifterna om ingår i behandlingen klassas och beslut ska tas av personuppgiftsansvarig om och hur länge uppgifterna ska sparas/bevaras.

När ändamålet med behandlingen har upphört så ska personuppgifterna gallras eller arkiveras, i enlighet med Informationshanteringsplanen. Gallring ska inte ske godtyckligt eller utan ett beslut i nämnd/styrelse.
Arkivering ska inte ske i samma system som där uppgiften först behandlades.

Planering och genomförande av ny behandling

För att kunna hantera personuppgifter på ett lagligt sätt krävs att behov och krav identifieras redan innan behandlingen påbörjas. Den personuppgiftsansvarige ska bedöma riskerna med behandlingen av personuppgifter och bedöma vilka skyddsåtgärder som behövs, samt de övriga organisatoriska och tekniska åtgärder som ska motarbeta riskerna.

Med risk avses fysisk, materiell eller immateriell skada som den registrerade kan drabbas av om personuppgifterna behandlas. Det kan till exempel ske när behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, social nackdel eller hävande av pseudonymisering. Risken kan vara större när man behandlar uppgifter inom särskilda kategorier av personuppgifter. Det kan vara uppgifter om de som är i en svagare ställning, såsom barn, eller när man behandlar stora mängder personuppgifter och behandlingen omfattar ett stort antal registrerade.

Bedömningarna ska dokumenteras kontinuerligt

Hela processen för hur personuppgiftsbehandlingar hanteras i Säters kommun ska finnas lättillgängligt för anställda som kan beröras av reglerna. Manualer och mallar ska finnas där det är lämpligt, för att underlätta att göra rätt.

Konsekvensbedömning

En konsekvensbedömning ska genomföras om behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter” (GDPR, artikel 35.1). En konsekvensbedömning ska göras:

  • Om ny teknik används
  • Om behandlingen omfattar personuppgifter som rör fällande domar i brottmål och överträdelser eller särskilda kategorier av personuppgifter.
  • Om det gäller en systematisk och omfattande bedömning som bygger på automatiserat beslutsfattande
  • Om det rör systematisk övervakning av en allmän plats i stor omfattning.

Säters kommuns mall för Konsekvensbedömning ger ytterligare stöd i frågan om en konsekvensbedömning ska genomföras eller inte. Om beslutet är att inte göra en konsekvensbedömning ska det motiveras och dokumenteras i myndighetsdiariet.

En konsekvensbedömning kan genomföras för att bedöma flera behandlingar, om de liknar varandra vad gäller art, omfattning, innehåll, ändamål och risker.

Förhandssamråd

Om konsekvensbedömningen visar att riskerna fortfarande är höga efter att vi har genomfört en konsekvensbedömning och har vidtagit alla tekniska och organisatoriska åtgärder som bedömts rimliga med tanke på tillgänglig teknik och kostnader för genomförandet, så ska vi ska samråda med tillsynsmyndigheten i frågan.

Upphandlingskrav

För att kunna göra rätt från början är det viktigt att rätt krav ställs på funktioner, processer och systemens egenskaper vid upphandling. Även leverantörer är skyldiga att leva upp till lagstiftningen men det är ytterst den personuppgiftsansvarige som ska säkerställa att systemen följer lagkraven.

Det som tas med i arbetet inför en upphandling rör krav på inbyggt dataskydd och dataskydd som standard. Listan nedan är inte fullständig utan kompletteras beroende på behandlingens behov av skyddsnivå:

  • krav att leverantörer ska visa hur de lever upp till lagkraven.
  • krav på gallrings- och/eller exportfunktioner för arkivering, som återspeglar nämndens/styrelsens informationshanteringsplan.
  • krav på behörighetsstruktur som följer behovet av åtkomst till information/ändamålet med behandlingen.
  • krav på att leverantören undertecknar ett personuppgiftsbiträdesavtal, om de har åtkomst till uppgifterna.
  • kontroll över var lagring sker och krav på att eventuella underleverantörer ska godkännas av den personuppgiftsansvarige (Regleras också genom personuppgiftsbiträdesavtal).
  • krav på leverantören att ha goda rutiner så att en eventuell incident upptäcks i tidigt skede, om de har åtkomst till uppgifterna.
  • krav på behandlingshistorik (loggar), om behandlingen avser känsliga personuppgifter
  • om behov finns i verksamheten, att kunna pseudonymisera och kryptera personuppgifter

Kompletterande upphandlingskrav kring informationssäkerhet ska även hämtas från KLASSA:

  • förmågan att fortlöpande säkerställa konfidentialitet, integritet och tillgänglighet för systemen och tjänsterna
  • förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident

Tekniska och organisatoriska åtgärder

Personuppgifter i IT-system
Systemförvaltare (tillsammans med systemadministratör och eventuellt leverantör)ska också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa, och kunna visa, att personuppgifterna behandlas i enlighet med dataskyddsförordningen. Bedömning om skyddsnivå, samt informationssäkerhetsåtgärder, för personuppgiftsbehandlingarna ingår i Säters kommuns Informationssäkerhetspolicy.Hantering av personuppgifter sker i system som har en utpekad systemförvaltare, som aktivt förvaltar systemet och deltar i kommunens nätverk för systemförvaltare. Anställda har ett ansvar att följa instruktioner för hur uppgifterna får hanteras, för att det ska ske på ett informationssäkert sätt.

Personuppgifter som behandlas utanför verksamhetssystem

Den anställde som påbörjar en behandling utanför verksamhetssystem, exempelvis på filserver, analogt på papper o.s.v.) ska säkerställa säkerheten runt personuppgiftsbehandlingen enligt ovan.

Inställningar i system och registreringsrutiner

Inställningar och behörigheter i system och tjänster ska sättas så att inte mer information än nödvändigt samlas in, delas ut eller visas.

Om ett system är komplext, eller innehåller många fritextfält, ska en rutin tas fram med tydliga instruktioner för vad som får registreras i varje fält.

Rutinen ska vara känd av dem som arbetar i systemet.

Teckna personuppgiftsbiträdesavtal

Systemförvaltaren ansvarar för att personuppgiftsbiträdesavtal tecknas med leverantörer som har åtkomst till personuppgifterna. En kommungemensam mall ska finnas som stöd i arbetet. Varje nämnd är ansvarig för att avtalsmallen kompletteras med verksamhetsspecifika regler för hanteringen.

Behörighetstilldelning

Systemförvaltaren ansvarar för tilldelning av behörigheter och ska återspegla behovet av åtkomst till uppgifter för att ändamålet med behandlingen ska kunna utföras.

Behörighetsuppsättning och rutin för tilldelning ska dokumenteras i systemdokumentationen.

Övervakning av konton och användning

Analys av loggar i system och för tjänster, som innehåller känsliga personuppgifter, ska regelbundet genomföras. Rutinen, och analyserna, ska dokumenteras. Det ska vara känt bland de som arbetar i systemet att loggning och uppföljning av loggningen görs.

Logghantering hanteras av respektive systemförvaltare/administratör.

Utbildning

Det är den personuppgiftsansvariges ansvar att anställda som hanterar personuppgifter får den utbildning de behöver för att kunna hantera personuppgifter rätt.

Chef ansvarar för att utbildning/information sker i samband med introduktion för nyanställda:

  • Utbildning i specifika system (systemförvaltare ansvarar).
  • Utbildning i dataskyddsförordningen och information om tillämpning i Säters kommun (dataskyddsombud ansvarar).
  • Utbildning i informationssäkerhet.

Dataskyddsombudet är ansvarig för att utbildningen i dataskyddsförordningen finns tillgänglig och hålls aktuell. Uppgift om genomförd utbildning ska noteras, av närmaste chef, i anvisat system.

Nya rutiner och hanteringsregler ska kommuniceras löpande, till dem som berörs av förändringarna i sitt arbete.

Överföring av personuppgifter utanför EU/EES

Enligt Dataskyddsförordningen är överföring av personuppgifter utanför EU/EES (tredje land) endast tillåtet under vissa omständigheter. För överföring av personuppgifter till ett land utanför EU/EES ska vi kontrollera att landet uppfyller Dataskyddsförordningens och EU-kommissionens krav på s.k. adekvat skyddsnivå f personuppgifter eller att EU-kommissionens standardavtalsvillkor används vid avtalsskrivandet med leverantören.

AI och personuppgiftshantering

Att mata in personuppgifter i ett AI-system är att behandla personuppgifter. All behandling av personuppgifter ska följa de grundläggande principerna i GDPR. Om och hur principerna uppfylls måste analyseras innan AI-systemet används för den tänkta behandlingen.

Eftersom AI är en ny teknik ska det i de flesta fall också göras en konsekvensbedömning enligt GDPR innan personuppgifter används i ett AI-system.

Innan personuppgifter matas in i ett AI-system måste det göras en analys av behandlingen enligt GDPR. Personuppgifter får inte matas in i allmänt tillgängliga AI-system. Om det inte har gjorts en analys av behandlingen utifrån GDPR är det olagligt att mata in personuppgifter i ett AI-system.
Allmänt tillgängliga AI-system levereras ofta som molntjänster av utländska företag. Samma lagar och regler gäller vid användning av AI-system i molnet som för andra typer av molntjänster.

Incidentrapportering

En personuppgiftsincident är en säkerhetsincident som kan innebära att vi inte längre har kontroll över de personuppgifter som tidigare har anförtrotts oss. En incident är inte enbart en förlust eller stöld av personuppgifter utan är även om personuppgifter har blivit oavsiktligt eller olagligt förstörda, ändrats eller om personuppgifter har röjts till dem som inte är behöriga. Det betyder att en incident till exempel kan vara att man tappar eller glömmer sin arbetstelefon, dator eller surfplatta någonstans. Det kan också vara då man skickar e-post men känsliga personuppgifter över öppet nät, eller att man låter papper med känsliga uppgifter ligga framme på sitt skrivbord så att obehöriga kan läsa det.

Incidentrapporteringen i Säters kommun utförs i fyra moment, som kan ske parallellt med varandra för att hantera incidenten så snabbt som möjligt. Momenten beskrivs nedan.

Alla aktiviteter ska diarieföras i myndighetsdiariet.

Aktivitet: Kartlägga och dokumentera

Alla anställda ska anmäla incidenter till systemförvaltare eller chef. Systemförvaltare eller chef behöver omedelbart samla in information om vad som har hänt och vilka konsekvenser det får. Systemförvaltare/chef bör kontakta dataskyddshandläggaren för hjälp med bedömning av incidentens allvarlighet.

Systemförvaltare/chef ska delge dataskyddshandläggaren rapporten som kommunicerar den med dataskyddsombudet. Detta ska inom 24 timmar.
Anmälan till tillsynsmyndigheten kan ske parallellt med kartläggningen men senast inom 72 timmar.

Checklistan nedan ska följas när vi samlar in information om incidenten och är även den information som kommer att efterfrågas av tillsynsmyndigheten. Detta ska dokumenteras i anvisad mall på Intranätet.

Checklista

Personuppgiftsansvarig

  • Namn, kontaktuppgifter
  • Namn på personuppgiftsbiträden, underbiträden

Kontaktperson för anmälan

  • Kontaktuppgifter till den person som tillsynsmyndigheten kan kontakta

Personuppgiftsincidenten

  • Har personuppgiftsincidenten medfört en risk för de registrerades fri- och rättigheter?
  • När inträffade personuppgiftsincidenten?
  • När upptäckte vi personuppgiftsincidenten?
  • Vad har hänt vid personuppgiftsincidenten?
  • Hur upptäckte vi personuppgiftsincidenten?
  • Varför inträffade personuppgiftsincidenten enligt vår uppfattning?
  • Inom vilket verksamhetsområde inträffade personuppgiftsincidenten?

Personuppgifterna och de registrerade

  • Hur många registrerade har påverkats?
  • Hur många personuppgiftsposter har personuppgiftsincidenten påverkat?
  • Vilka grupper tillhör de registrerade?
  • Vilken sorts personuppgifter berörs av personuppgiftsincidenten?
  • Var personuppgifterna krypterade?

Konsekvenser

  • Vad kan bli konsekvenserna av personuppgiftsincidenten?
  • Hur allvarlig bedömer vi att personuppgiftsincidenten är?

Information till de registrerade

  • Har vi informerat de registrerade om personuppgiftsincidenten? När?
  • Kommer vi att informera de registrerade? När? Om inte, varför kommer vi inte att informera de registrerade?

Sen anmälan

  • Om anmälan till tillsynsmyndigheten kommer in senare än 72 timmar efter att vi upptäckte personuppgiftsincidenten ska vi beskriva varför.

Komplettering

  • Beskriv vad vi behöver utreda ytterligare och komplettera senare.

Sekretess

  • Om vi har skrivit något som vi anser bör omfattas av sekretess, ska vi beskriva det.

Aktivitet: Åtgärda fel

Systemförvaltare ska identifiera och dokumentera orsaker till incidenten samt redogöra för möjliga och vidtagna åtgärder. Även konsekvenser för den registrerade ska dokumenteras.

Aktivitet: Anmäla

Systemförvaltare ska identifiera och dokumentera orsaker till incidenten samt redogöra för möjliga och vidtagna åtgärder. Även konsekvenser för den registrerade ska dokumenteras.

72 timmar efter att incidenten har upptäckts. Det gäller oavsett av om incidenten skett i den egna eller personuppgiftsbiträdets verksamhet.

Ärendet ska diarieföras, med systemförvaltare eller chef som ärendehandläggare.

Ett undantag från att anmäla incidenten är om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Incidenten ska ändå dokumenteras av systemförvaltare eller chef.

Personuppgiftsbiträdet ska anmäla en säkerhetsincident till den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om den.

Aktivitet: Informera de registrerade om incidenten

  • Om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den registrerade informeras om säkerhetsincidenten. Beroende på incidentens känslighet ska systemförvaltare eller chef förmedla informationen.Informationen ska innehålla:
  • En tydlig beskrivning av händelsen.
  • Namn och kontaktuppgifterna för dataskyddsombudet eller andra kontakter där mer information kan erhållas.
  • En beskrivning av de troliga konsekvenserna av incidenten, och
  • En beskrivning av de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiellt negativa effekter.

Information till den registrerade krävs inte om något av följande villkor är uppfyllt:

  • Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten. Det kan t.ex. innebära att personuppgifterna blivit krypterade så att endast personer som har behörighet till uppgifterna kan läsa dem.
  • Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att incidenten inte längre kan uppstå.
  • Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

De registrerades rättigheter och friheter

Hantera registerutdrag

Rätten till tillgång ger individen möjlighet att få bekräftelse på om en viss organisation registrerar uppgifter om den och i så fall vilka uppgifter och hur de används.

Det är dataskyddshandläggare som förmedlar begäran inom den egna organisationen till systemförvaltare som genomför en sökning. Vilka behandlingar som kan vara aktuella för sökningar visas via upprättad registerförteckning. Avser förfrågan alla personuppgiftsansvariga i kommunen samordnas sökningen via kommunstyrelsesektorn.

I Säters kommun finns en särskild rutin för begäran om registerutdrag.

Hantera begäran om rättelse eller radering

Varje nämnd är ansvariga för att hantera en begäran om rättelse eller radering för vilka personuppgiftsbehandlingar de ansvarar. Personen som begär rättning/radering ska kunna identifieras för att säkerställa att rätt personuppgifter rättas/raderas.

Vid en inkommen begäran om radering ska en kontroll göras av tidigare bedömning om laglig grund för behandling. Sker behandling med stöd av samtycke, och samtycket återkallas, ska radering ske så snart som möjligt.

Rutin

Begäran om rättelse ska hanteras av handläggaren/behörig person som hanterar ärendet. Rättning ska ske så snart det inte finns tvivel om att uppgiften är felaktig. Verksamhetsspecifik lagstiftning kan finnas, t ex patientdatalagen, som ställer krav på hur rättningen får gå till.1

Hantera begäran om dataportabilitet

Om den rättsliga grunden till behandlingen av personuppgifter är ett samtycke eller verkställande av ett avtal och behandlingen sker automatiskt, har den registrerade rätt att få ut de personuppgifter om sig själv, som han eller hon har lämnat till den personuppgiftsansvarige. Han eller hon kan även begära att personuppgifterna ska överföras till en annan personuppgiftsansvarig.

[1] Pdl säger att det ska finnas en spårbarhet även för det som har rättats; det ska synas vad som har rättats, när och av vem.

Rutin

Systemförvaltaren ansvarar för att uttag/överföring av uppgifterna sker enligt begäran.
Uppgifterna ska lämnas i ett strukturerat, allmänt använt och maskinläsbart format. Ett maskinläsbart format betyder till exempel att den registrerade får en länk till sina personuppgifter.

Rätt till begränsning

En person har rätt att begära att vissa typer av personuppgifter inte ska behandlas om denne, dvs att personuppgiftsbehandlingen begränsas. Vid en begränsning markeras uppgifterna så att de bara får behandlas för vissa syften. När en begränsning upphör ska personen bli informerad.

Rutin

Under tiden som vi utreder om individen har rätt att begära begränsning av personuppgiftsbehandlingen ska vi upphöra att behandla de uppgifter som personen begärt begränsning av.
När utredningen är klar ska ansvarig utredare informera personen om resultatet och om det innebär att begräsningen beviljas eller avslås. Avslaget ska vara motiverat.

Rätt att invända

En person har rätt att invända mot behandlingen av sina personuppgifter när behandlingen sker:

  • för att utföra en uppgift av allmänt intresse
  • som ett led i myndighetsutövning
  • efter en intresseavvägning

Rutin

Informera om rätten att invända mot behandlingen enligt artikel 21. Men om personuppgiftsansvarige kan påvisa tvingande berättigade skäl till behandlingen, som väger tyngre än den registrerades intressen, rättigheter och friheter har vi rätt att fortsätta behandlingen.

Om det är en del av myndighetsutövning och personuppgiftsbehandlingen är nödvändig för myndighetsutövningen så kommer invändningen inte vara giltig och behandlingen kan fortsätta.

Rättigheter när beslut fattas automatiskt

Om vi i någon av våra verksamheter använder oss av automatiskt beslutsfattande ska vi som personuppgiftsansvarig:

  • tala om för dig att beslutet är automatiserat
  • ge dig rätt att få beslutet granskat av en riktig person
  • ge dig möjlighet att bestrida beslutet.

Rutin

Ansökan via e-tjänst: Ansvarig handläggare ska tillsammans med systemförvaltaren ta fram autosvar som går till den sökande i samband med att ansökan görs.

Analog ansökan: Ansvarig handläggare skickar en skriftlig information till den sökande innan uppgifterna matas in i systemet för automatiskt beslutsfattande.

Klagan på personuppgiftsbehandling

Den som anser att kommunen behandlar dennes personuppgifter i strid med dataskyddsförordningen kan göra på olika sätt:

  1. Kontakta den ansvariga: Den klagande kontaktar den som behandlar dennes personuppgifter och förklara vad den tycker är fel. Många gånger kan problemet lösas direkt på detta vis.
  2. Lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY): Om den klagande inte får hjälp från den ansvariga, kan den lämna in ett klagomål till IMY. Det kan göras via IMY:s e-tjänst på deras webbplats

Om du som anställd blir kontaktad med en klagan och du anser att verksamheten inte kan ta hänsyn till den klagandes synpunkter ska du be den klagande att kontakta IMY för ett avgörande.

Publicerad: Uppdaterad:

Kontakta oss

När du kontaktar oss är det Säters kommuns kundtjänst som tar hand om dina frågor. Om du vill prata med en särskild person eller avdelning kan vi koppla dig vidare.

Öppettider

Måndag–fredag (lunchstängt 12.00 - 13.00): 08.00 — 16.15

Avvikande öppettider kan förekomma i samband med röda dagar, samt dag innan röd dag.

Mejla oss

Skicka ditt mejl till kommun@sater.se.

Skicka mejl

Ring oss

Prata med oss på tfn 0225-55 000.

Behöver du hjälp med att ringa?

Besök oss

Besök oss på Rådhuset, Åsgränd 2, Säter.

Hitta till Rådhuset med Google Maps
Kakor
Vi bjuder på kakor! Om du tycker det är ok, klickar du bara på "Acceptera alla". Du kan såklart välja vilken typ av kakor du vill ha genom att klicka på "Inställningar". Läs vår cookie policy
Inställningar Acceptera alla
Kakor
Välj vilken typ av kakor du vill acceptera. Ditt val kommer att sparas i ett år. Läs vår cookie policy
Spara Acceptera alla