• No results found

Dataskydd (GDPR) Varje kapitel (rubrik 1, 2 osv) är en separat riktlinje RIKTLINJER. Sida 1(15) Version [Version] Datum

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Dataskydd (GDPR) Varje kapitel (rubrik 1, 2 osv) är en separat riktlinje RIKTLINJER. Sida 1(15) Version [Version] Datum"

Copied!
15
0
0

Loading.... (view fulltext now)

Download now ( 15 Page )

Full text

(1)

Sida

1(15) RIKTLINJER

Datum

2018-10-05

Version

[Version]

Ansvarig

Katarina Bergwall

Godkänd av

Styrelsen

Beslut datum

2018-10-18

Dataskydd (GDPR)

Varje kapitel (rubrik 1, 2 osv) är en separat riktlinje

(2)
(3)

Innehåll

1 GDPR ... 5

1.1 Begrepp och förklaringar ... 5

1.2 Personuppgiftsbehandling ... 5

2 Behandla personuppgifter ... 7

2.1 Samla in och registrera ... 7

2.2 Dela och lämna vidare... 7

2.3 Högriskbehandling ... 7

2.4 Spara och gallra ... 8

3 Personuppgiftsbehandling i assistansen ... 9

4 Tillvarata registrerades rättigheter ... 10

4.1 Information om personuppgiftsbehandling ... 10

4.2 Registerutdrag ... 10

5 Hantera risker ... 11

6 Använda IT-resurser ... 12

7 Dataskyddsarbete ... 13

8 Samverkan med dataskyddsombud ... 14

Bilagor ... 15

[Namn på bilagan] Bilaga 1 ... 15

(4)
(5)

Dataskydd 5

1 GDPR

STILs riktlinjer och rutiner gäller både strukturerad och ostrukturerad personuppgiftsbehandling.

1.1 Begrepp och förklaringar

Begrepp Betydelse

Personuppgift All slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet.

Register En strukturerad samling av

personuppgifter som är tillgänglig enligt särskilda kriterier (sökbar)

Registrerad Den person som en personuppgift

avser.

Personuppgiftsbehandling En åtgärd eller kombination av åtgärder som gäller personuppgifter, både digitalt och manuellt.

Till exempel insamling, registrering, lagring, ändring, överföring eller radering.

Strukturerad data Personuppgifter i databaser (traditionella IT-system/register) Ostrukturerad data Personuppgifter i löpande text, t ex

på webbplatsen, i e-post, i dokument och på papper.

1.2 Personuppgiftsbehandling

• Varje personuppgiftsbehandling ska ske enligt följande principer:

- Laglighet: STIL ska ha stöd i dataskyddsförordningen för att få behandla personuppgifter

- Ändamålsbegränsning: STIL ska bara samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål

- Uppgiftsminimering: STIL ska inte behandla fler personuppgifter än vad som behövs för ändamålen

- Korrekthet: STIL ska se till att personuppgifterna är riktiga

(6)

Dataskydd 6

- Lagringsminimering: STIL ska radera personuppgifterna när de inte längre behövs

- Integritet och konfidentialitet: STIL ska skydda

personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs

• STIL ska kunna visa att och hur organisationen lever upp till dataskyddsförordningen

• Uppgifter i STILs administrativa system ska uppdateras löpande

• Foton och information som publiceras på STILs hemsida samt personuppgifter i e-post, dokument och på papper, ska behandlas enligt GDPR

• STIL ska följa upp och utvärdera hantering av personuppgifter årligen inom ramen för övrigt systematiskt kvalitetsarbete (egenkontroll)

• STIL ska utreda eventuella personuppgiftsincidenter och så snart som möjligt, senast inom 72 timmar, anmäla allvarliga incidenter till Datainspektionen.

• STIL ska säkerställa att personuppgifter hanteras enligt GDPR vid utveckling av IT-lösningar och tjänster

• STIL ska informera alla i organisationen om regler och rutiner för hur personuppgifter behandlas i STIL.

• STIL ska se till att riktlinjer och rutiner för behandling av personuppgifter hålls levande och efterlevs.

(7)

Dataskydd 7

2 Behandla personuppgifter

2.1 Samla in och registrera

- STIL ska samla in personuppgifter direkt från den registrerade eller hens eventuella legal företrädare så långt det är möjligt.

- STIL ska uppdatera adressregister löpande och när den registrerade hör av sig om ändrade kontaktuppgifter1. Om rätt kontaktuppgifter saknas ska STIL hämta kontaktuppgifter från Skatteverkets

folkbokföringsregister eller andra offentliga register i syfte att uppdatera adressregister.

- STIL ska bara registrera personuppgifter på flera ställen/i flera system om det är nödvändigt för ändamålet.

2.2 Dela och lämna vidare

- STIL ska dela personuppgiftsbehandling inom organisationen utifrån vad användaren behöver för sitt ansvarsområde, sin roll, sitt uppdrag och sina arbetsuppgifter.

Arbetsledaren ska ha tillgång till personuppgiftsbehandling som hen behöver för att arbetsleda sin personliga assistans samt tillgång till dokumentation i sin personakt.

- All elektronisk delning av personuppgifter inom organisationen ska ske via gemensamma system/lagringsytor

- STIL ska bara lämna vidare personuppgifter utanför organisationen om det är nödvändigt för att följa lagar och regler

(uppgiftsskyldighet) eller i överenskommelse med den enskilde.

2.3 Högriskbehandling

Högriskbehandling är när STIL hanterar personuppgifter som kan medföra stora integritetsrisker för den registrerade. STIL betraktar känsliga uppgifter2 samt uppgifter om personer med skyddad identitet som högriskbehandling

1 namn, adress, telefon, e-post

2 Enligt GDPR är känsliga personuppgifter uppgifter om, ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter som entydigt identifierar en person (t ex fingeravtryck).

(8)

Dataskydd 8

som kräver omfattande skyddsåtgärder. Även personnummer betraktas som extra skyddsvärda.

STIL betraktar information om arbetsledarens personliga assistans som högriskbehandling.

Vid högriskbehandling ska STIL, så långt det är möjligt:

- begränsa åtkomst till endast ett fåtal personer och i övrigt endast dela information på förekommen anledning/på begäran.

- kommunicera ska via säker kommunikationskanal, t ex brev, elektronisk kommunikation med e-legitimation (inte e-post).

Vid behandling av personuppgifter som rör personer med skyddad identitet ska STIL även sträva efter att

- begränsa formaliainformation (t ex namn, adress, personnummer) till ett minimum i dokument och ärenden

- tydligt markera i IT-system att personen har skyddad identitet

2.4 Spara och gallra

- STIL ska sträva efter att lagra personuppgifter digitalt. Det underlättar efterlevnaden av GDPR genom att det blir lättare att överblicka vilka personuppgifter som hanteras i organisationen och därmed också lättare att tillgodose den registrerades rätt till

information. Det ökar också den fysiska tillgängligheten.

- Alla i organisationen ska, så långt det är möjligt, spara personuppgifter i STILs gemensamma system med behörighetsstyrning.

- STIL ska gallra personuppgifter när det inte längre finns något ändamål som kräver att uppgifterna ska sparas.

(9)

Dataskydd 9

3 Personuppgiftsbehandling i assistansen

STIL är personuppgiftsansvarig så länge personuppgiftsbehandling i assistanserna sker i STILs gemensamma i IT-system och enligt STILs instruktioner.

- Arbetsledare ska få tillgång till personuppgiftsbehandling som hen behöver för att arbetsleda sin personliga assistans. Det är till exempel uppgifter om sina personliga assistenter som behövs för att skicka in underlag för löneutbetalning och fakturering av assistansersättning.

- STIL ska dela personuppgiftsbehandling med medarbetsledare och andra funktioner i assistansen utifrån personens uppdrag och i samråd med arbetsledaren. STIL rekommenderar att personliga assistenter får tillgång till arbetsledarens kontaktuppgifter för att kunna meddela sjukfrånvaro mm.

- STIL ska dela personuppgiftsbehandling i gemensamma system med behörighetsstyrning. Alla i assistansen ska ha personlig inloggning till aktuella system.

- STIL ska informera och ge instruktioner till arbetsledare och anställda om personuppgiftsbehandling i assistansen

(10)

Dataskydd 10

4 Tillvarata registrerades rättigheter

- STIL ska underlätta för de registrerade att utöva sina rättigheter.

- STIL ska hantera ärenden om rättigheter i samband med personuppgiftsbehandling i samråd med den registrerade.

4.1 Information om personuppgiftsbehandling

- STIL ska informera om personuppgiftsbehandling och den

registrerades rättigheter i en lättillgänglig, skriftlig form och med ett tydligt och enkelt språk.

- Information till enskilda ska vara individuell och relevant för den aktuella personuppgiftsbehandlingen.

- Information till enskilda lämnas på en plats och på ett sätt som på bästa sätt säkrar att informationen når den registrerade. Det kan till exempel vara information i anslutning till formulär på hemsidan eller som en del av/bilaga till avtal med STIL. I förekommande fall

lämnar den registrerade samtycke innan hen skickar in sina uppgifter.

4.2 Registerutdrag

- STIL ska skicka registerutdrag på den registrerades begäran.

- STIL ska se till att den registrerade får registerutdraget så snart som möjligt och senast en månad efter att begäran kommit in.

(11)

Dataskydd 11

5 Hantera risker

- STIL ska vidta lämpliga tekniska och organisatoriskt

säkerhetsåtgärder för att skydda personuppgifter i organisationen.

Tekniska åtgärder är t ex brandväggar och antivirus. Organisatoriska åtgärder handlar om organisation, t ex roller och ansvarsfördelning samt rutiner, instruktioner och riktlinjer.

Ju större riskerna är, desto mer omfattande ska säkerhetsåtgärderna vara.

- STIL ska kartlägga och bedöma risker som finns i den egna IT- miljön för att kunna lägga resurser på rätt områden

- STIL ska bedöma vilka säkerhetsåtgärder som behövs på ett systematiskt sätt, t ex genom att dela in information i

säkerhetsklasser (allmän, begränsad och konfidentiell information).

Säkerhetsklassningen bygger på en helhetsbedömning av hur brister i säkerhet skulle påverka STILs verksamhet, tillgångar samt skapat förtroende och påverkan på registrerade.

- STIL ska genomföra konsekvensbedömningar (DPIA, Data Privacy Impact Assessment) inför personuppgiftsbehandling som kan medföra stora integritetsrisker för den registrerade

(högriskbehandling). Om riskerna med behandlingen inte kan åtgärdas eller begränsas ska STIL kontakta Datainspektionen för förhandssamråd.

(12)

Dataskydd 12

6 Använda IT-resurser

IT-resurser är datorer, nätverk, system och annan utrustning som används i samband med digital hantering av personuppgifter.

STILs IT-resurser får inte användas på ett sätt som strider mot dataskyddsförordningen (GDPR).

- Var och en ansvarar för att använda sin personliga utrustning på ett säkert sätt för att skydda STILs IT-resurser mot virus, obehörigt tillträde eller andra attacker mot systemets säkerhet.

o Lösenord och användaridentitet till ska ses som personliga uppgifter och får inte lämnas ut till någon annan.

o Det är inte tillåtet att manipulera behörigheter som tilldelats o Det är inte tillåtet att avaktivera eller på något sätt manipulera

säkerhetssystem, t ex antivirusskydd och brandväggar.

o Det är inte tillåtet att sprida virus eller annan skadlig programvara.

o Användare får endast dela personuppgiftsbehandling från STILs gemensamma system, t ex STILs server och IT-system.

o Bärbara datorer och andra enheter ska om möjligt förvaras i låsbart utrymme på kontoret när de inte används, alternativt tas med hem.

- Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Avvikelser, brister, risker och incidenter rapporteras till närmaste chef och till dataskyddsombudet.

- Alla användare ska följa rutiner, riktlinjer och övriga beslut

(13)

Dataskydd 13

7 Dataskyddsarbete

STILs ska både arbeta löpande med dataskydd och göra en årlig uppföljning (egenkontroll).

Följande områden och målsättningar ingår i STILs dataskyddsarbete:

- Utvärdera och utveckla IT-stöd, processer, rutiner och konsekvensbedömningar.

- Rapportera, utreda, sammanställa och analysera

personuppgiftshändelser och klagomål som handlar om personuppgiftsbehandling

- Möjliggöra självbestämmande genom att synliggöra arbetsledarens roll och mandat. Arbetsledaren ska få tillgång till personuppgifter som hen behöver för att arbetsleda sin personliga assistans och tillgång till dokumentation i sin personakt.

- Motiverad åtkomst till information genom att tilldela behörigheter utifrån vad användaren behöver för sitt ansvarsområde, sin roll och sina arbetsuppgifter.

- Dokumenterade och lättillgängliga beskrivningar för

personuppgiftsbehandling, t ex riktlinjer, rutiner, process- och ändamålsbeskrivningar

- Medvetna val om skyddsnivå och behörigheter, t ex genom att ha dokumenterade rollbeskrivningar, säkerhetsklassa information och göra konsekvensbedömningar

(14)

Dataskydd 14

8 Samverkan med dataskyddsombud

STIL ska se till att det är möjligt för dataskyddsombudet att i god tid delta i alla frågor som rör skyddet av personuppgifter. Dataskyddsombudet ska kunna arbeta självständigt oberoende, utan att bli påverkad av andra inom organisationen och ha tillräckliga resurser för att kunna utföra sina

uppgifter3. Dataskyddsombudet rapporterar direkt till verksamhetsledaren.

- Dataskyddsombudets mandat, roll och arbetsuppgifter ska kommuniceras internt på kontoret

- Dataskyddsombudet ska regelbundet inbjudas att delta i ledningsgruppsmöten

- Dataskyddsombudet ska betraktas som en diskussionspartner inom organisationen och ingå i de relevanta arbetsgrupper som har ansvar för/utvecklar processer där STIL behandlar personuppgifter.

- Dataskyddsombudet ska få allrelevant information i god tid så att hen kan gelämpliga råd

- STIL ska alltid ta hänsyn till dataskyddsombudets åsikt och råd. Om STIL väljer att inte följa dataskyddsombudets råd ska det motiveras och dokumenteras.

- Dataskyddsombudet ska så tidigt som möjligt involveras i allafrågor som rör dataskydd och alltid rådfrågas i följande situationer:

o När en personuppgiftsincident har inträffat o Inför ny eller ändrad personuppgiftsbehandling

o Vid beslut och som har/kan ha konsekvenser för dataskyddet o Vid konsekvensbedömning som gäller dataskydd

3t ex tillräckligt med tid för uppgifterna, tillgång till den information som behövs och vidareutbildning.

(15)

Dataskydd 15

Bilagor

[Namn på bilagan] Bilaga 1

[Skriv text här]

References

Download now ( PDF - 15 Page - 98.28 KB )

Related documents

SÄKERHETSDATABLAD. Datum för utskriften: Revisionsdatum: - Version: 1

Produkten har inga andra kända specifika risker för människa eller miljö.. AVSNITT 3: SAMMANSÄTTNING/INFORMATION OM BESTÅNDSDELAR 3.1

SÄKERHETSDATABLAD. Datum för utskriften: Revisionsdatum: - Version: 1

bestämd Anteckning: När inga ruttspecifika LD50-data finns tillgängliga för en akut toxin, används den konverterade akuta toxicitetspunktuppskattningen vid beräkning

Kvinnor ska ha tillgång till abort

Man kan se på detta från en massa olika perspektiv men det är absurt att kvinnor ska behöva lida, flytta och dö på grund av att en grupp män röstat fram beslutet åt de och bara

Köksrent - Version 1 Sida 1 av 13 SÄKERHETSDATABLAD. Köksrent

Typ av toxicitet: Akut Testad effekt: LD50 Exponeringsväg: Oral Värde: 10470 mg/kg Försöksdjursart: Råtta Testreferens: ECHA Typ av toxicitet: Akut Testad effekt: LD50

75 % 80 % 60 % 25 % 0,3 0, ,5. Version 1 och 2. Elevkort version 2. Elevkort version 1. Version 2. Version 1. Version 2.

arean för varje figur med lika många procent, dvs.. Motivera varför det är sant

PUR7 PRO - Version 15 Sida 1 av 17 SÄKERHETSDATABLAD PUR7 PRO

Blandningen uppfyller inte gällande kriterier för PBT (persistent, bioackumulerande och toxisk) eller vPvB (mycket persistent och mycket bioackumulerande).. Aerosolburkar kan

Ammoniumsulfat - Version 2 Sida 1 av 9 SÄKERHETSDATABLAD. Ammoniumsulfat

Exponeringsväg: Lång sikt (upprepad) - Oral - Systemisk effekt Värde: 6,4 mg/kg.

Skarvlim - Version 1 Sida 1 av 9 SÄKERHETSDATABLAD. Skarvlim

Ingen annan information finns tillgänglig för produkten. Form Färg Lukt