Information om Dataskyddsförordningen och beslut om DataskyddsombudFörslag till beslut

(1)

Hörby kommun, 242 80 Hörby | Besöksadress: Ringsjövägen 4 | Tel: 0415- 37 80 00 | Fax: 0415-134 77 kommunen@horby.se | www.horby.se

Tekniska nämnden

Information om Dataskyddsförordningen och beslut om Dataskyddsombud

Förslag till beslut

Tekniska nämnden beslutar att:

 Utse Josefine Persson, utredare på

kommunledningsförvaltningen, till Dataskyddsombud för tekniska nämnden.

 Godkänna informationen om Dataskyddsförordningen.

Sammanfattning av ärendet

Från och med den 25 maj 2018 träder en ny Dataskyddsförordning (GDPR) i kraft och den ersätter då den svenska

personuppgiftslagen. Alla som hanterar personuppgifter i någon form är enligt Dataskyddsförordningen skyldiga att sörja för att alla behandlingar av personuppgifter uppfyller lagens krav, praxis och god sed.

Mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen. På samma sätt som idag får man behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning. De registrerade kommer även i fortsättningen att ha rätt att få information om den personuppgiftsbehandling som sker och den som behandlar

personuppgifter måste ha tillräckliga säkerhetsåtgärder för att

uppgifterna skyddas på rätt sätt. Om det är fråga om uppgifter om

(2)

hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.

Beskrivning av ärendet

Bakgrund

Hörby kommun har tillsatt en projektgrupp där samtliga förvaltningar är representerade som arbetar med den nya Dataskyddsförordningen enligt följande:

 Inventering:

Detaljerad kartläggning av alla register, system och dokument där personuppgifter förekommer. Observera att detta gäller

elektroniska såväl som fysiska handlingar och dokument.

 Utvärdering:

Utvärdering av inventeringen. Denna ska säkerställa om behandlingen av personuppgifterna är laglig, att de följer god sed, att gallringsrutiner finns, etc.

 Åtgärdsplan:

Syftet med åtgärdsplanen är att tillse att behandlingen är tillåten enligt Dataskyddsförordningen.

 Registerförteckning:

Registerförteckning, med beskrivning av syfte och innehåll för varje behandling av personuppgifter i kommunen.

 Förvaltning:

För att upprätthålla en god standard av

personuppgiftsbehandlingar behöver man uppdatera rutiner och

underhålla register och registerförteckningar löpande. Man

behöver även upprätta rutindokument kring arbetsuppgifter och

(3)

ansvar gällande Dataskyddsförordningen, för att säkerställa att arbetet kan utföras även om nyckelpersoner lämnar kommunen.

Analys och förslag

Dataskyddsförordningen innehåller några viktiga nyheter:



När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter som finns om den registrerade – Register.



Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna –

Konsekvensbedömning.



Om det inträffar en säkerhetsincident, till exempel ett

dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade – Dataskyddsincident.



En myndighet som behandlar personuppgifter måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor - Dataskyddsombud.



Datainspektionen kan komma att utdöma en avgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter – Sanktionsavgift.



I personuppgiftslagen finns en förenklad regel för behandling av

personuppgifter i löpande text och enkla listor. Den innebär

kort och gott att man får behandla uppgifter i vissa situationer

så länge det inte är kränkande för någon. Den här regeln

(4)

försvinner när dataskydds-förordningen träder ikraft - Missbruksregeln.



En myndighet bör ta fram ett särskilt dokument och så långt som möjligt bygga in integritetsvänliga lösningar i sina system – Dataskyddspolicy.



Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över

behandlingen som personuppgifts-ansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde – Personuppgiftsbiträdesavtal.

En övergripande tanke med de nya reglerna är att tydligare betona att den myndighet som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs och kunna visa det.

Information om Dataskyddsförordningen och beslut om DataskyddsombudFörslag till beslut

Tekniska nämnden

Information om Dataskyddsförordningen och beslut om Dataskyddsombud

Förslag till beslut

Tekniska nämnden beslutar att:

 Utse Josefine Persson, utredare på

kommunledningsförvaltningen, till Dataskyddsombud för tekniska nämnden.

 Godkänna informationen om Dataskyddsförordningen.

Sammanfattning av ärendet

Från och med den 25 maj 2018 träder en ny Dataskyddsförordning (GDPR) i kraft och den ersätter då den svenska

personuppgiftslagen. Alla som hanterar personuppgifter i någon form är enligt Dataskyddsförordningen skyldiga att sörja för att alla behandlingar av personuppgifter uppfyller lagens krav, praxis och god sed.

personuppgifter måste ha tillräckliga säkerhetsåtgärder för att

uppgifterna skyddas på rätt sätt. Om det är fråga om uppgifter om

hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.

Beskrivning av ärendet

Bakgrund

Hörby kommun har tillsatt en projektgrupp där samtliga förvaltningar är representerade som arbetar med den nya Dataskyddsförordningen enligt följande:

 Inventering:

Detaljerad kartläggning av alla register, system och dokument där personuppgifter förekommer. Observera att detta gäller

elektroniska såväl som fysiska handlingar och dokument.

 Utvärdering:

Utvärdering av inventeringen. Denna ska säkerställa om behandlingen av personuppgifterna är laglig, att de följer god sed, att gallringsrutiner finns, etc.

 Åtgärdsplan:

Syftet med åtgärdsplanen är att tillse att behandlingen är tillåten enligt Dataskyddsförordningen.

 Registerförteckning:

Registerförteckning, med beskrivning av syfte och innehåll för varje behandling av personuppgifter i kommunen.

 Förvaltning:

För att upprätthålla en god standard av

personuppgiftsbehandlingar behöver man uppdatera rutiner och

underhålla register och registerförteckningar löpande. Man

behöver även upprätta rutindokument kring arbetsuppgifter och

ansvar gällande Dataskyddsförordningen, för att säkerställa att arbetet kan utföras även om nyckelpersoner lämnar kommunen.

Analys och förslag

Dataskyddsförordningen innehåller några viktiga nyheter:

När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter som finns om den registrerade – Register.

Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna –

Konsekvensbedömning.

Om det inträffar en säkerhetsincident, till exempel ett

dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade – Dataskyddsincident.

En myndighet som behandlar personuppgifter måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor - Dataskyddsombud.

I personuppgiftslagen finns en förenklad regel för behandling av

personuppgifter i löpande text och enkla listor. Den innebär

kort och gott att man får behandla uppgifter i vissa situationer

så länge det inte är kränkande för någon. Den här regeln

försvinner när dataskydds-förordningen träder ikraft - Missbruksregeln.

En myndighet bör ta fram ett särskilt dokument och så långt som möjligt bygga in integritetsvänliga lösningar i sina system – Dataskyddspolicy.

Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över

behandlingen som personuppgifts-ansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde – Personuppgiftsbiträdesavtal.

En övergripande tanke med de nya reglerna är att tydligare betona att den myndighet som behandlar personuppgifter aktivt måste ta ansvar för att se till att förordningens regler följs och kunna visa det.

Förvaltningens förslag till beslut

Föreslå tekniska nämnden besluta att:

 Utse Josefine Persson, utredare på

kommunledningsförvaltningen, till Dataskyddsombud för tekniska nämnden.

Godkänna informationen om Dataskyddsförordningen.

Beslutet skickas till Datainspektionen.

Kansli- och ledningsstöd.

Josefine Persson

Åsa Ratcovich

Samhällsbyggnadsch ef

Josefine Persson

Utredare