Dataskyddsförordningen/GDPR ställer nya krav på hur vi ska hantera personuppgifter. Personregister och arbetsrutiner måste ses över. Men vad är viktigast? Och vad ska man börja med? Ett förslag är att börja med följande fem steg mot bättre dataskydd.
1. Informera dig själv och andra
Se till att utbilda dig inom dataskydd och GDPR och sprid kunskapen till andra i din organisation. Om du är chef har du ett särskilt ansvar för att se till att utbildningsinsatser av olika slag genomförs och att personalen i din organisation får goda kunskaper om dataskyddslagstiftningen. Vägledning när det gäller viktiga begrepp och grundläggande tänk när det gäller dataskydd finner du också på Integritetsskyddsmyndighet hemsida Integritetsskyddsmyndigheten | IMY (länk till annan webbplats).
2. Granska och utveckla arbetsrutiner
Granska din och din organisations hantering av personuppgifter. Lever ni upp till Dataskyddsförordningens/GDPR:s grundläggande principer när det gäller insamling, bearbetning, dokumentation och förvaring av personuppgifter?
-
Konfidentialitet och behörighet: Hanteras personuppgifter regelmässigt med konfidentialitet, även de personuppgifter som inte räknas som känsliga? (artikel 5). Har ni sett över formella behörigheter och informella rutiner så att endast den personal som behöver tillgång till en viss typ av personuppgifter kommer i kontakt med dem?
-
Ändamålsenlighet, rättslig grund och uppgiftsminimering: Tillämpas principerna om ändamålsenlighet, rättslig grund och uppgiftsminimering systematiskt i all personuppgiftsbehandling? (artikel 5 och 6) Det är viktigt att tänka på att varje personuppgiftsbehandling måste ha ett uttalat ändamål. Detta ändamål måste knyta an till kommunens verksamhet och verksamheten måste ha en rättslig grund. Man ska alltid sträva efter att behandla så få personuppgifter som möjligt – minimera! Fullständiga namn, personnummer och adressuppgifter får alltså inte samlas in slentrianmässigt, utan endast de uppgifter som är nödvändiga för den avsedda rättsligt grundade personuppgiftsbehandlingen ska inhämtas.
-
Information till de registrerade: Hur arbetar ni för att tillgodose de registrerades rätt till information? Har ni exempelvis utformat rutiner för att informera de registrerade vid insamling av nya personuppgifter? (artikel 13) Om inte, utgå gärna från den textmall som SKR (Sveriges kommuner och regioner) föreslagit för ändamålet. Har alla i organisationen infogat ett fast meddelande i slutet av e-post om att man genom att kontakta Östhammars kommun blir föremål för personuppgiftsbehandling? I den standardsignatur som kommunikationsenheten utformat finns ett sådant meddelande inkluderat; du finner den här. Anvisning för e-postsignatur
- Informationssäkerhet: Hur är det med informationssäkerheten? Skyddas känsliga personuppgifter från förstöring, förvanskning och obehörig insyn? Är skyddsnivåerna lämpliga i förhållande till personuppgifternas vikt och känslighet? (artikel 32)
Se över organisationens arbetsrutiner med dessa grundläggande principer i åtanke och utarbeta förslag till förändringar och förbättringar.
3. Förteckna eller rensa personregister
Gör en inventering över vilka personregister du och dina medarbetare hanterar i er verksamhet. Om personregistren behövs i er verksamhet, se då till att ni finner en rättslig grund för dem samt förtecknar dem i Integrity, Östhammars kommuns IT-stöd för registerförteckningar. För frågor om förteckningsarbetet, vänd dig till dataskyddssamordnaren infosakerhet@osthammar.se
Om personregistren som ni finner vid inventeringen inte längre behövs i er verksamhet, överväg då om ni ska rensa ut dem. Personuppgifter ska endast behållas så länge som de behövs för en viss behandling. När behandlingen är slutförd ska personuppgifterna följaktligen förstöras.
Principen om lagringsminimering är central i dataskyddsförordoningen/GDPR (artikel 5e). Men observera att Östhammars kommun är en myndighet och att många handlingar vid kommunen utgör allmänna handlingar. Allmänna handlingar får inte förstöras, även om de rymmer personuppgifter som inte längre används. Endast så kallade arbetshandlingar får alltså rensas ut med stöd av Dataskyddsförordningen/GDPR.
Allmänna handlingar ska bevaras i kommunens arkiv, eller gallras efter regelrätta gallringsutredningar. Vägledning för hur vi får och ska rensa bland personregistren ges i skriften ”Så rensar vi i mappar”, som du når här. Så rensar vi i mappar
4. Upprätta personuppgiftsbiträdesavtal
Kartlägg de IT-systemleverantörer som er organisation samarbetar med. Fundera över om biträdessituationer föreligger. Östhammars kommun är personuppgiftsansvarig för de personuppgifter som vi samlar in och behandlar i vår verksamhet. Om vi upplåter åt någon annan att utföra en personuppgiftsbehandlingen för vår räkning, så föreligger en biträdessituation. Leverantören blir då ett personuppgiftsbiträde till Östhammars kommun. Om en biträdessituation föreligger, se till att teckna personuppgiftsbiträdesavtal med den leverantör som utgör biträde.
Läs mer om personuppgiftsbiträden och personuppgiftsbiträdesavtal
-
Integritetsskyddsmyndighetens hemsida Personuppgiftsansvariga och personuppgiftsbiträden | IMY (länk till annan webbplats)
-
SKR:s hemsida Dataskyddsförordningen, GDPR | SKR (Länk till extern webbplats).
-
Använd mall för personuppgiftsbiträdesavtal som SKR utformat. Personuppgiftsbiträdesavtal, PUB-avtal | SKR (länk till annan webbplats)
5. Var vaksam på personuppgiftsincidenter
En anmälan av en personuppgiftsincident ska ske göras via kommunens e-tjänst för incidenthantering: Anmäl säkerhetsincident
Känner alla i organisationen till begreppet personuppgiftsincident? Vet alla hur de ska agera i händelse av en personuppgiftsincident? En personuppgiftsincident är enligt Dataskyddsförordningen/GDPR en säkerhetsincident som påverkar sekretessen, integriteten eller tillgängligheten till personuppgifter. Sådana incidenter kan vara avsiktliga (exempelvis dataintrång) eller oavsiktliga (exempelvis tekniska fel eller missar i arbetsrutinerna).
Personuppgiftsincidenter kan vara allvarliga eller harmlösa. Oavsett allvarlighetsgrad så ska de hanteras på särskilt sätt. Alla personuppgiftsincidenter i Östhammars kommun ska anmälas till dataskyddsombudet samt berörd till berörd kontorschef. Om de är IT-relaterade så ska de också anmälas till IT-avdelningen.
Riktlinjer för hur anställda och chefer ska agera finns under fliken Så hanterar vi personuppgiftsincidenter.
OBS! Det är viktigt att alla agerar skyndsamt! Alla incidenter ska utredas i avseende på allvarlighetsgrad och allvarligare incidenter måste anmälas till integritetsskyddsmyndigheten inte mer än 72 timmar efter att de upptäckts enligt Dataskyddsförordningen (Artikel 33 och 34). Dataskyddsförordningen i fulltext | IMY (Länk till annan webbplats)