Personuppgiftsbehandlingspolicy
KS/2018:259
Ansvarig: Kanslichef
POLIC Y
Innehållsförteckning
Personuppgiftsbehandlingspolicy ... 2
Inledning och bakgrund ... 2
Personuppgiftsbehandling och GDPR ... 2
Mål ... 3
Syfte ... 3
Roller och ansvar ... 4
Riktlinjer, föreskrifter och instruktioner ... 6
Utbildning i personuppgiftshantering ... 6
Skyddsåtgärder och konsekvensbedömning ... 6
Revidering och Uppföljning ... 7
Avgränsning ... 7
POLIC Y
Personuppgiftsbehandlingspolicy Inledning och bakgrund
För att kunna bedriva kommunens verksamhet är det nödvändigt att hantera
information (vilket beskrivs närmare i Informationssäkerhetspolicyn (KS/2018:260) och en stor del av denna information utgörs av personuppgifter. För information som utgörs av personuppgifter gäller både Informationssäkerhetspolicyn och denna policy som närmare pekar på hur personuppgifter hanteras och de särskilda krav som ställs på kommunens personuppgiftsbehandling.
Personuppgiftsbehandling och GDPR
Personuppgifter och personuppgiftsbehandling definieras och regleras i Allmänna dataskyddsförordningen/GDPR (General Data Protection Regulation) (EU
2016/679). Personuppgifter är varje uppgift som kan identifiera en fysisk person och behandling definieras i artikel 4 som ”en åtgärd eller kombination av åtgärder
beträffande personuppgifter eller uppsättningar av personuppgifter” – dvs all hantering av personuppgifter.
Alla personuppgifter som kommunen behöver skall behandlas i enlighet med lagen, denna policy samt kommunens för varje tid gällande rutiner, detta oavsett om det är personuppgifter som hanteras digitalt eller på papper. Personuppgifter är en del av den information som kommunen hanterar, varför hänsyn även ska tas till
Informationssäkerhetspolicyn.
GDPR tillåter inte personuppgiftsbehandling annat än när man har giltiga skäl och laglig grund för den behandling som avses. De lagliga grunder (artikel 6) som framförallt gäller för kommunens del är:
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges
myndighetsutövning.
Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
Tänk på att samtycke alltid kan återkallas (artikel 8).
POLIC Y
Övriga lagliga grunder för personuppgiftsbehandling som i vissa fall kan bli aktuella för kommunen är: behandling som är nödvändig för att uppfylla avtal, eller att
behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
För känsliga personuppgifter (särskilda kategorier av personuppgifter, artikel 9) är det extra viktigt att dokumentera de lagliga grunder som personuppgiftsbehandlingen vilar på, samt att skydds- och säkerhetsåtgärder som vidtas ska vara tillräckliga och väl dokumenterade.
När personuppgiftsbiträde anlitas skall personuppgiftsbiträdesavtal alltid tecknas.
Mål
Att kommunen har väl fungerande rutiner och en säker hantering av personuppgifter är av stor vikt för både kommunens egen verksamhet och för att bibehålla
medborgarnas förtroende. Kommunen ska alltid ha laglig grund för sin
personuppgiftshantering (i de flesta fall rättslig förpliktelse, myndighetsutövning och allmänt intresse, samt i vissa fall även samtycke). All kommunens
personuppgiftshantering ska också föras in i registerförteckning över personuppgiftsbehandling enligt gällande riktlinje.
Genom ett strukturerat arbete med hantering av personuppgifter utifrån denna policy och tillhörande riktlinjer säkerställer kommunen att personuppgifter behandlas på ett korrekt sätt. Målet är att upprätthålla en strukturerad behandling för att säkerställa de registrerades rättigheter och skydda integriteten för den enskilde. Samtidigt som kommunen uppfyller de krav som ställs på kommunen som personuppgiftsansvarig i enlighet med gällande lagar.
Syfte
Denna policy beskriver de övergripande principerna för kommunens
personuppgiftsbehandling. Policyn ska konkretiseras med konkreta riktlinjer och rutiner som ska ge verksamheten ett stöd kring hur behandling av personuppgifter ska utföras, samt hur de rättigheter och krav som lagen ställer på kommunen ska uppfyllas.
Policyn ska tillsammans med dessa riktlinjer ge en tydlighet i hur personuppgifter ska hanteras i det dagliga arbetet inom kommunen.
POLIC Y
Roller och ansvar
Kommunfullmäktige har ytterst ansvaret för kommunens personuppgiftsbehandling och uttrycker i denna policy sin viljeinriktning. Kommunstyrelsen har ansvaret för att säkerställa, samordna och följa upp kommunens personuppgiftsbehandling, samt för att riktlinjer utarbetas, förvaltas och följs upp.personuppgiftsbehandling, samt för att riktlinjer utarbetas, förvaltas och följs upp.
Dataskyddsombudet är den tjänsteman som har ansvaret för att förvalta och utveckla kommunens arbete med personuppgiftsbehandling, samt följa upp
personuppgiftsbehandlingen inom hela kommunkoncernen, såväl utifrån gällande lagar som kommunens framtagna policys och riktlinjer. Dataskyddsombudet är också ansvarig för rutiner gällande personuppgiftsincidenter, liksom kontaktperson och samordnare för hantering av eventuella uppkomna personuppgiftsincidenter.
Dataskyddsombudet har en granskande roll när det gäller personuppgiftsbehandling och är också kontaktperson gentemot dataskyddsmyndigheter samt andra externa parter i personuppgiftsfrågor.
Nämnder/styrelser med förvaltningens kontor är personuppgiftsansvariga inom ramen för sina verksamheter. Ansvaret för att planera och genomföra de åtgärder som följer av gällande lagar och kommunens policy och riktlinjer skall delegeras till en roll inom respektive kontor, som har de resurser och mandat som krävs för att driva arbetet med att säkerställa korrekt personuppgiftsbehandling. Dataskyddsombudet har en både stödjande och uppföljande roll gentemot varje nämnd/styrelse. Om inte ansvaret tydligt delegerats är det kontorschefen som är ansvarig tjänsteman för verksamhetens personuppgiftsbehandling. Den tidigare rollen som
Personuppgiftsombud för nämnderna bör finnas kvar, men benämnas som
Personuppgiftssamordnare. Personuppgiftssamordnaren säkerställer att nämndens hantering av personuppgifter följer lag, denna policy och kommunens riktlinjer, samt har ett särskilt ansvar för att uppdatera nämndens registerförteckning och att de registrerades rättigheter tillgodoses (t.ex. för registerutdrag)
Alla som hanterar personuppgifter ska ha kunskap om de lagar och kommunens policys och riktlinjer som gäller för hur personuppgifter får behandlas och har själva ett ansvar för att hantera personuppgifter på ett ansvarigt och säkert sätt. Ansvaret för personuppgiftsbehandling ligger i kommunens linjeorganisation, det innebär att:
Kommundirektören har det yttersta ansvaret för korrekt personuppgiftsbehandling, och att det finns en tydlig ansvarsfördelning för att upprätthålla denna.
Dataskyddsombudet har en granskande och stödjande roll, samt ett ansvar att
POLIC Y
påpeka brister som upptäcks när det gäller personuppgiftsbehandling. Nämndernas utsedda Personuppgiftssamordnare svarar för det praktiska arbetet med att säkra personuppgiftshantering inom respektive ansvarsområde.
Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets personuppgiftsbehandling. Detta innebär att varje chef även har ansvar för att personuppgifter hanteras på rätt sätt och i enlighet med gällande lag och kommunen policy, riktlinjer och rutiner inom sitt ansvarsområde.
Varje anställd ansvarar för att följa gällande lag samt kommunens policy, riktlinjer och rutiner på ett sådant sätt att personuppgifter alltid hanteras på ett säkert och korrekt sätt, liksom att skyndsamt rapportera om personuppgiftsincident kan befaras ha uppstått. Den som upptäcker misstänkt personuppgiftsincident måste
uppmärksamma sin chef eller dataskyddsombudet om detta skyndsamt.
Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på personuppgiftsbehandling specificeras i avtalet, samt att personuppgiftsbiträdesavtal tecknas i förekommande fall.
IT-chefen ansvarar för arbetet med kommunens IT-säkerhet samt att de tekniska och organisatoriska åtgärder som krävs för en korrekt personuppgiftsbehandling inom ramen för de IT-system som driftas i kommunens IT-miljö.
POLIC Y
Riktlinjer, föreskrifter och instruktioner
Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument ska så långt möjligt utformas utifrån GDPR och annan gällande lagstiftning på området, samt gällande praxis och rekommendationer från t.ex.
SKL (Sveriges Kommuner och Landsting), Datainspektionen, MSB (Myndigheten för Samhällskydd och Beredakap) och respektive verksamheters tillsynsmyndigheter.
Policyn kompletteras med rutiner och riktlinjer som beslutas av kommundirektör, detta omfattar bland annat:
- Rutin för anmälan av personuppgiftsincident - Rutin för registerförteckning
- Riktlinjer för rättigheter till den registrerade - Riktlinjer för e-posthantering
- Riktlinje för fritext - M.fl.
Utbildning i personuppgiftshantering
All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att kommunens personuppgiftshantering ska kunna ske på ett korrekt sätt.
Skyddsåtgärder och konsekvensbedömning
Nykvarns kommun ska beskriva och genomföra konsekvensbedömning inför nya eller förändrade personuppgiftsbehandlingar. Konsekvensbedömningen ska ta hänsyn till informationsklassningar som utförts och andra frågor som rör informationssäkerhet för att kunna bedöma rätt skyddsåtgärder för respektive personuppgiftsbehandling.
Utifrån konsekvensbedömning ska organisatoriska, administrativa och tekniska skyddsåtgärder för personuppgiftsbehandlingen införas för att nödvändig skyddsnivå uppnås.
Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på risk och känslighet för respektive personuppgiftsbehandling, samt aktuell informations
betydelse för verksamheten och de konsekvenser som bristande säkerhet kan innebära för de registereades integritet. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder.
POLIC Y
Revidering och Uppföljning
Uppföljning är en viktig del i en korrekt hantering av personuppgifter.
Dataskyddsombudet ansvarar för att genomföra uppföljning och säkerställa att förändringar genomförs i organisationen. Detta omfattar bl.a. bevakning av att:
beslutade åtgärder är genomförda
årliga mål är uppfyllda
lagar och kommunens regler följs
att policy, riktlinjer och instruktioner vid behov revideras
Personuppgiftshanteringspolicyn för Nykvarns kommun ska gås igenom varje år och revideras vid behov. Dataskyddsombudet ansvarar för att policyn följs upp och uppdateras.
Avgränsning
Policyn för personuppgiftsbehandling gäller för alla personuppgifter som hanteras i alla verksamheter inom Nykvarns kommun och kommunkoncern, dvs. även Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens och Nykvarnsbostäders information.
För externa leverantörer (t.ex. moln- och systemleverantörer) som behandlar kommunens personuppgifter skall personuppgiftsbiträdesavtal upprättas.