• No results found

Personuppgiftsbehandlingspolicy - Antagen av KF § 61, 2018-06-20.pdf Pdf, 407.1 kB.

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Personuppgiftsbehandlingspolicy - Antagen av KF § 61, 2018-06-20.pdf Pdf, 407.1 kB."

Copied!
8
0
0

Loading.... (view fulltext now)

Download now ( 8 Page )

Full text

(1)

Personuppgiftsbehandlingspolicy

KS/2018:259

Ansvarig: Kanslichef

(2)

POLIC Y

Innehållsförteckning

Personuppgiftsbehandlingspolicy ... 2

Inledning och bakgrund ... 2

Personuppgiftsbehandling och GDPR ... 2

Mål ... 3

Syfte ... 3

Roller och ansvar ... 4

Riktlinjer, föreskrifter och instruktioner ... 6

Utbildning i personuppgiftshantering ... 6

Skyddsåtgärder och konsekvensbedömning ... 6

Revidering och Uppföljning ... 7

Avgränsning ... 7

(3)

POLIC Y

Personuppgiftsbehandlingspolicy Inledning och bakgrund

För att kunna bedriva kommunens verksamhet är det nödvändigt att hantera

information (vilket beskrivs närmare i Informationssäkerhetspolicyn (KS/2018:260) och en stor del av denna information utgörs av personuppgifter. För information som utgörs av personuppgifter gäller både Informationssäkerhetspolicyn och denna policy som närmare pekar på hur personuppgifter hanteras och de särskilda krav som ställs på kommunens personuppgiftsbehandling.

Personuppgiftsbehandling och GDPR

Personuppgifter och personuppgiftsbehandling definieras och regleras i Allmänna dataskyddsförordningen/GDPR (General Data Protection Regulation) (EU

2016/679). Personuppgifter är varje uppgift som kan identifiera en fysisk person och behandling definieras i artikel 4 som ”en åtgärd eller kombination av åtgärder

beträffande personuppgifter eller uppsättningar av personuppgifter” – dvs all hantering av personuppgifter.

Alla personuppgifter som kommunen behöver skall behandlas i enlighet med lagen, denna policy samt kommunens för varje tid gällande rutiner, detta oavsett om det är personuppgifter som hanteras digitalt eller på papper. Personuppgifter är en del av den information som kommunen hanterar, varför hänsyn även ska tas till

Informationssäkerhetspolicyn.

GDPR tillåter inte personuppgiftsbehandling annat än när man har giltiga skäl och laglig grund för den behandling som avses. De lagliga grunder (artikel 6) som framförallt gäller för kommunens del är:

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges

myndighetsutövning.

Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

Tänk på att samtycke alltid kan återkallas (artikel 8).

(4)

POLIC Y

Övriga lagliga grunder för personuppgiftsbehandling som i vissa fall kan bli aktuella för kommunen är: behandling som är nödvändig för att uppfylla avtal, eller att

behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

För känsliga personuppgifter (särskilda kategorier av personuppgifter, artikel 9) är det extra viktigt att dokumentera de lagliga grunder som personuppgiftsbehandlingen vilar på, samt att skydds- och säkerhetsåtgärder som vidtas ska vara tillräckliga och väl dokumenterade.

När personuppgiftsbiträde anlitas skall personuppgiftsbiträdesavtal alltid tecknas.

Mål

Att kommunen har väl fungerande rutiner och en säker hantering av personuppgifter är av stor vikt för både kommunens egen verksamhet och för att bibehålla

medborgarnas förtroende. Kommunen ska alltid ha laglig grund för sin

personuppgiftshantering (i de flesta fall rättslig förpliktelse, myndighetsutövning och allmänt intresse, samt i vissa fall även samtycke). All kommunens

personuppgiftshantering ska också föras in i registerförteckning över personuppgiftsbehandling enligt gällande riktlinje.

Genom ett strukturerat arbete med hantering av personuppgifter utifrån denna policy och tillhörande riktlinjer säkerställer kommunen att personuppgifter behandlas på ett korrekt sätt. Målet är att upprätthålla en strukturerad behandling för att säkerställa de registrerades rättigheter och skydda integriteten för den enskilde. Samtidigt som kommunen uppfyller de krav som ställs på kommunen som personuppgiftsansvarig i enlighet med gällande lagar.

Syfte

Denna policy beskriver de övergripande principerna för kommunens

personuppgiftsbehandling. Policyn ska konkretiseras med konkreta riktlinjer och rutiner som ska ge verksamheten ett stöd kring hur behandling av personuppgifter ska utföras, samt hur de rättigheter och krav som lagen ställer på kommunen ska uppfyllas.

Policyn ska tillsammans med dessa riktlinjer ge en tydlighet i hur personuppgifter ska hanteras i det dagliga arbetet inom kommunen.

(5)

POLIC Y

Roller och ansvar

Kommunfullmäktige har ytterst ansvaret för kommunens personuppgiftsbehandling och uttrycker i denna policy sin viljeinriktning. Kommunstyrelsen har ansvaret för att säkerställa, samordna och följa upp kommunens personuppgiftsbehandling, samt för att riktlinjer utarbetas, förvaltas och följs upp.personuppgiftsbehandling, samt för att riktlinjer utarbetas, förvaltas och följs upp.

Dataskyddsombudet är den tjänsteman som har ansvaret för att förvalta och utveckla kommunens arbete med personuppgiftsbehandling, samt följa upp

personuppgiftsbehandlingen inom hela kommunkoncernen, såväl utifrån gällande lagar som kommunens framtagna policys och riktlinjer. Dataskyddsombudet är också ansvarig för rutiner gällande personuppgiftsincidenter, liksom kontaktperson och samordnare för hantering av eventuella uppkomna personuppgiftsincidenter.

Dataskyddsombudet har en granskande roll när det gäller personuppgiftsbehandling och är också kontaktperson gentemot dataskyddsmyndigheter samt andra externa parter i personuppgiftsfrågor.

Nämnder/styrelser med förvaltningens kontor är personuppgiftsansvariga inom ramen för sina verksamheter. Ansvaret för att planera och genomföra de åtgärder som följer av gällande lagar och kommunens policy och riktlinjer skall delegeras till en roll inom respektive kontor, som har de resurser och mandat som krävs för att driva arbetet med att säkerställa korrekt personuppgiftsbehandling. Dataskyddsombudet har en både stödjande och uppföljande roll gentemot varje nämnd/styrelse. Om inte ansvaret tydligt delegerats är det kontorschefen som är ansvarig tjänsteman för verksamhetens personuppgiftsbehandling. Den tidigare rollen som

Personuppgiftsombud för nämnderna bör finnas kvar, men benämnas som

Personuppgiftssamordnare. Personuppgiftssamordnaren säkerställer att nämndens hantering av personuppgifter följer lag, denna policy och kommunens riktlinjer, samt har ett särskilt ansvar för att uppdatera nämndens registerförteckning och att de registrerades rättigheter tillgodoses (t.ex. för registerutdrag)

Alla som hanterar personuppgifter ska ha kunskap om de lagar och kommunens policys och riktlinjer som gäller för hur personuppgifter får behandlas och har själva ett ansvar för att hantera personuppgifter på ett ansvarigt och säkert sätt. Ansvaret för personuppgiftsbehandling ligger i kommunens linjeorganisation, det innebär att:

Kommundirektören har det yttersta ansvaret för korrekt personuppgiftsbehandling, och att det finns en tydlig ansvarsfördelning för att upprätthålla denna.

Dataskyddsombudet har en granskande och stödjande roll, samt ett ansvar att

(6)

POLIC Y

påpeka brister som upptäcks när det gäller personuppgiftsbehandling. Nämndernas utsedda Personuppgiftssamordnare svarar för det praktiska arbetet med att säkra personuppgiftshantering inom respektive ansvarsområde.

Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets personuppgiftsbehandling. Detta innebär att varje chef även har ansvar för att personuppgifter hanteras på rätt sätt och i enlighet med gällande lag och kommunen policy, riktlinjer och rutiner inom sitt ansvarsområde.

Varje anställd ansvarar för att följa gällande lag samt kommunens policy, riktlinjer och rutiner på ett sådant sätt att personuppgifter alltid hanteras på ett säkert och korrekt sätt, liksom att skyndsamt rapportera om personuppgiftsincident kan befaras ha uppstått. Den som upptäcker misstänkt personuppgiftsincident måste

uppmärksamma sin chef eller dataskyddsombudet om detta skyndsamt.

Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på personuppgiftsbehandling specificeras i avtalet, samt att personuppgiftsbiträdesavtal tecknas i förekommande fall.

IT-chefen ansvarar för arbetet med kommunens IT-säkerhet samt att de tekniska och organisatoriska åtgärder som krävs för en korrekt personuppgiftsbehandling inom ramen för de IT-system som driftas i kommunens IT-miljö.

(7)

POLIC Y

Riktlinjer, föreskrifter och instruktioner

Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument ska så långt möjligt utformas utifrån GDPR och annan gällande lagstiftning på området, samt gällande praxis och rekommendationer från t.ex.

SKL (Sveriges Kommuner och Landsting), Datainspektionen, MSB (Myndigheten för Samhällskydd och Beredakap) och respektive verksamheters tillsynsmyndigheter.

Policyn kompletteras med rutiner och riktlinjer som beslutas av kommundirektör, detta omfattar bland annat:

- Rutin för anmälan av personuppgiftsincident - Rutin för registerförteckning

- Riktlinjer för rättigheter till den registrerade - Riktlinjer för e-posthantering

- Riktlinje för fritext - M.fl.

Utbildning i personuppgiftshantering

All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att kommunens personuppgiftshantering ska kunna ske på ett korrekt sätt.

Skyddsåtgärder och konsekvensbedömning

Nykvarns kommun ska beskriva och genomföra konsekvensbedömning inför nya eller förändrade personuppgiftsbehandlingar. Konsekvensbedömningen ska ta hänsyn till informationsklassningar som utförts och andra frågor som rör informationssäkerhet för att kunna bedöma rätt skyddsåtgärder för respektive personuppgiftsbehandling.

Utifrån konsekvensbedömning ska organisatoriska, administrativa och tekniska skyddsåtgärder för personuppgiftsbehandlingen införas för att nödvändig skyddsnivå uppnås.

Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på risk och känslighet för respektive personuppgiftsbehandling, samt aktuell informations

betydelse för verksamheten och de konsekvenser som bristande säkerhet kan innebära för de registereades integritet. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder.

(8)

POLIC Y

Revidering och Uppföljning

Uppföljning är en viktig del i en korrekt hantering av personuppgifter.

Dataskyddsombudet ansvarar för att genomföra uppföljning och säkerställa att förändringar genomförs i organisationen. Detta omfattar bl.a. bevakning av att:

 beslutade åtgärder är genomförda

 årliga mål är uppfyllda

 lagar och kommunens regler följs

 att policy, riktlinjer och instruktioner vid behov revideras

Personuppgiftshanteringspolicyn för Nykvarns kommun ska gås igenom varje år och revideras vid behov. Dataskyddsombudet ansvarar för att policyn följs upp och uppdateras.

Avgränsning

Policyn för personuppgiftsbehandling gäller för alla personuppgifter som hanteras i alla verksamheter inom Nykvarns kommun och kommunkoncern, dvs. även Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens och Nykvarnsbostäders information.

För externa leverantörer (t.ex. moln- och systemleverantörer) som behandlar kommunens personuppgifter skall personuppgiftsbiträdesavtal upprättas.

References

Download now ( PDF - 8 Page - 407.14 KB )

Related documents

Protokoll KF 2018-11-15.pdf Pdf, 512.2 kB.

Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att fastställa Anvisning för motionssvar i Nykvarns kommun att gälla från och med den 1 januari

Protokoll KF 2017-04-20 .pdf Pdf, 488.5 kB.

Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att fastställa ansvars- och uppdragsbeskrivningar för månadsarvoderade uppdrag såsom ordförande, 1:e vice och 2:e

Protokoll KF 2017-06-21.pdf Pdf, 376 kB.

nämndernas och avdelningarnas planer för vilka styrdokument som ska ses över och revideras under 2017 ska återredovisas till kommunfullmäktige senast vid fullmäktiges sammanträde

02. Protokollsutdrag KF 2021-06-17.pdf Pdf, 124 kB.

komplementbyggnad på 66 kvadratmeter år 1956 men i byggnadsplanen som gäller för fastigheten, som började gälla år 1971 tillåts endast huvudbyggnad på 66 kvadratmeter

Policy för informationssäkerhet, antagen av KF § 54, 2020-06-17.pdf Pdf, 315.2 kB.

Kontinuitetshantering handlar om att planera för att kunna upprätthålla verksamhet och processer för att skapa en nödvändig förmåga till funktionalitet, oavsett händelse.. I

Finanspolicy Nykvarn, antagen KF § 15, 2020-02-06.pdf Pdf, 1022.3 kB.

Ansvarar för upplåning, placering av kommunens medel, utlåning, borgen, leasing samt externa förvaltningsuppdrag och eventuell förvaltning av andra organisationers

VA-policy för Nykvarns kommun, antagen KF 2021-06-17.pdf Pdf, 208.1 kB.

VA-huvudmannen, kommunen, har ansvar för att ordna VA-försörjningen till VA- kollektivet, det vill säga till abonnenter inom verksamhetsområdet samt till abonnenter

Riktlinjer för idéburet offentligt partnerskap, antagen av KF § 53, 2020-06-17.pdf Pdf, 344.8 kB.

Grunden för att överväga ett idéburet offentligt partnerskap är att det finns ett intresse för samarbete mellan kommunens och en eller flera organisationer.. Inledningsvis