SÖK PÅ SIDAN

Kontakta fagersta kommun

Postadress:
Fagersta kommun
737 80 Fagersta

Telefon:

0223-440 00

Fax:

0223-171 01

Öppettider:

7.30-12.00 och 13.00-16.00

Besök oss:

Norbergsvägen 19 
737 80 ­Fagersta

GDPR - Dataskyddsförordningen

Dataskyddsförordningen (även kallad GDPR - General Data Protection Regulation) reglerar hur vi ska behandla personuppgifter. För att anpassa våra arbetsprocesser och våra IT-system till dataskyddsförordningen fokuserar vi på ett antal områden. Dessa och andra områden finns beskrivna mer utförligt nedan.

Kort om förordningen

  • Alla personuppgiftsbehandlingar måste ha rättslig grund, till exempel avtal (anställningsavtal, avtal med kund), allmänt intresse (forskning, statistik, arkiv) myndighetsutövning (bygglov, ekonomiskt bistånd) och rättsliga förpliktelser (till exempel bokföringsskyldighet). Har vi ingen rättslig grund kan vi i vissa fall arbeta med samtycken.
  • Varje verksamhet ansvarar för sina egna personuppgiftbehandlingar
  • Rättigheterna stärks för enskilda personer. Det ställs strängare krav på att vi ska informera om hur vi hanterar medborgarens personuppgifter
  • Kraven på IT-system som hanterar personuppgifter stärks. Personuppgifter ska exempelvis skyddas så att bara de som är behöriga kan se eller arbeta med uppgifterna. Uppgifterna måste även skyddas så de inte förstörs genom olyckshändelse
  • Ändamålet måste vara tydligt vid insamlingen av uppgifter. Vi får inte samla in fler personuppgifter än nödvändigt, till exempel för att "det kan vara bra att ha"
  • En sanktionsavgift kan utdömas vid brott mot förordningen. Det är Datainspektionen som är tillsynsmyndighet.
  • Vid brott mot dataskyddsförordningen eller datalagen kan även den eller de drabbade begära skadestånd/ersättning

Du har rätt att begära att kommunen rättar dina personuppgifter om de är felaktiga, att kommunen raderar dina personuppgifter eller att invända mot att personuppgifterna behandlas. Kommunen har dock oftast rätt att ändå behandla dina personuppgifter. Du har även rätt att få bekräftelse på om dina personuppgifter behandlas, vilka personuppgifter det är och viss annan information knuten till det, så kallat registerutdrag. För att begära registerutdrag kan du använda vår e-tjänst som du når här. Som huvudregel kan du bara begära registerutdrag för dina egna personuppgifter.

Dataskyddsombud

Vi har ett dataskyddsombud

Myndigheter är skyldiga att ha ett datsskyddsombud. Dataskyddsombudet har som uppgift att bland annat kontrollera att kommunen följer EU:s dataskyddsförordning, som gäller som lag i Sverige och har ersatt personuppgiftslagen (PuL). Fagersta kommuns dataskyddsombud når du enklast genom att mejla dso@fagersta.se eller ringa växeln 0223-44 000.

Registrera personuppgiftsbehandlingar

Alla personuppgiftsansvariga (respektive nämnd) ansvarar för sina personuppgiftsbehandlingar. Alla behandlingar ska finnas i ett gemensamt register och de olika enheterna/verksamheterna är i sin tur ansvariga för att registret både är kvalitetssäkrat och uppdaterat.

Registret hjälper oss ha kontroll över vilka personuppgiftsbehandlingar vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, kontrollera att vi till exempel har en rättslig grund att behandla uppgifterna.

Registret är en total kartläggning av alla behandlingar av personuppgifter som utförs inom respektive nämnd. Det ger en översikt över alla register, system och dokument där personuppgifter förekommer.

Rapportera personuppgiftsincidenter

Definition
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättighetererna inskränks.

Exempel:

  • diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

  • blivit förstörda
  • gått förlorade på annat sätt
  • kommit i orätta händer

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter. (Källa: Datainspektionen)

Exempel på incidenter:

  • Någon har kommit över ett lösenord som gör att den skulle kunna logga in i system som behandlar personuppgifter.
  • Ett mail med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare.
  • Ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd.
  • En dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.

Personuppgiftsbiträdesavtal (PUB-avtal)

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Ett PUB-avtal är ett avtal som skrivs mellan personuppgiftsansvarig och våra personuppgiftsbiträden (leverantörer som på uppdrag av oss behandlar personuppgifter).

Varje enhet ansvarar för att PUB-avtal ingås med samtliga leverantörer/anordnare eller övriga externa aktörer där personuppgifter överlämnas för behandling.

I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.

Lagringsminimering, arkivering och gallring

En av de grundläggande principerna i dataskyddslagstiftningen är principen om lagringsminimering, det vill säga att samla in så få personuppgifter som möjligt. Du får bara samla in de uppgifter som behövs för att kunna utföra arbetet.

Om dokumenthanteringsplaner och arkivering alternativt gallring

När verksamhetens grund för behandling upphör ska uppgiften arkiveras alternativt gallras. Detta ska framgå i en dokumenthanteringsplan som ska hållas uppdaterad. Den talar om hur allmänna handlingar hos verksamheten ska hanteras och förvaras. Detta säkerställer en enhetlig hantering i kommunen och underlättar vid sökning av information. Den kan även vara ett hjälpmedel för att snabbt få en uppfattning om vad man arbetar med för typ av information i verksamheten och hur den hanteras.

Det finns många behov att ta hänsyn till och det är inte alldeles lätt att komma fram till när tidpunkten infaller då behandlingen ska upphöra och uppgifterna ska arkiveras alternativt gallras . Därför är det viktigt att på varje enhet och i varje system/behandling tänka igenom vilka rutiner som är bäst för er verksamhet och för integritetsskyddet.

Dataskyddsförordningen och arkivering

Arkivering ska ske på separat plats, det vill säga ej i de system du arbetar i.

Dataskyddsförordningen reglerar behandlingen (inhämtande, hantering och lagring) av personuppgifter i verksamheten. Ett syfte är att säkerställa bättre kontroll och säkerhet kring behandlingen.

Offentlighetsprincipen (med reglerna i tryckfrihetsförordningen, offentlighets- och sekretesslagen samt arkivlagen) syftar till att säkerställa allmänhetens tillgång till allmänna handlingar. Dataskyddsförordningen hindrar inte kommunen från att lämna ut allmänna handlingar enligt offentlighetsprincipen.

Arkivlagen reglerar skyldigheten för bland annat kommuner att bevara sina allmänna handlingar.

Dataskyddsförordningen ställer krav på att personuppgifter ska arkiveras alternativt gallras när verksamhetens syfte/grund för behandlingen upphört. Det är därför viktigt att se över och ha väl övervägda tidsfrister i dokumenthanteringsplanerna.

Samtycke

Samtycke kan bara användas när det verkligen föreligger ett fritt val för den registrerade.
Myndighetens ansvar är att visa att den registrerade har fått tydlig information och gjort ett fritt och aktivt val att samtycka.

Vi använder samtycke vid publicering av personbilder.

Informationsplikt

Den registrerade har rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.

Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen.

Om personuppgifter som rör en registrerad person samlas in ska vi lämna följande information;

  • Identitet och kontaktuppgifter för den ansvariga nämnden
  • Ändamålen med behandlingen
  • Den rättsliga grunden för behandlingen
  • Den period personuppgifterna kommer att lagras

Efterlevnad

Vi ska kunna visa att vi följer Dataskyddsförordningen. Omvänd bevisbörda tillämpas. Det innebär att Datainspektionen (som är tillsynsmyndighet) inte behöver visa att vi gjort fel, utan vi måste istället visa att vi gjort rätt.

Detta gör vi bland annat genom att skapa ordning och reda och ha ett strukturerat och medvetet arbetssätt.

Ett effektivt sätt att visa på efterlevnad av lagen är att dokumentera det vi gör, till exempel genom att arbeta utifrån områdena som beskrivits ovan och dokumentera utfallet. Exempel på dokumentation:

  • register över personuppgiftsbehandlingar
  • dokumenthanteringsplaner
  • säkerhetsskyddsanalyser
  • klassningar av system
  • beslutsunderlag till varför vi valt att hantera personuppgifter på ett visst sätt
  • åtgärdsplaner
  • utförda åtgärder vid incidenter
  • kravställning på systemleverantörer
  • PUB-avtal i enlighet med dataskyddsförordningen.

Senast ändrad: 2018-05-24

Scrolla upp