25 maj 2018 ersätts personuppgiftlagen (PuL) av dataskyddsförordningen (GDPR)

Förordningen i korthet EU-förordning med samma principer som PuL men med skärpta krav och en del nyheter. Brett tillämpningsområde: alla Europeiska företag, myndigheter, kommuner, organisationer etc. Gäller alla – men undantag för behandling av privatpersoner av rent privat karaktär. Vissa möjligheter till avvikelser i nationell lag – kompletteringslag kommer i form av svensk dataskyddslag. Utredning pågår också inom vissa verksamhetsområden.

Vad är en personuppgift? Personuppgift – varje uppgift varigenom en fysisk levande person direkt eller indirekt kan identifieras Är detta en personuppgift? Kalle.kula@mittkoping.se 83.248.106.125 (en IP- adress) En adressuppgift Ett bilregistreringsnummer eller bostadsadress En bild

Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Läsa/ta del av

Vem är personuppgifts- ansvarig? I en kommun är kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga för sina egna behandlingar. Ansvarar självständigt för att lagen uppfylls. Vem är personuppgiftsansvarig i en kommun. Enligt kommentaren till PUL fjärde upplagan s95-96 OM kommunen i sig som juridisk person skall anses som ansvarig kan uppgifter föras mellan olika nämnder inom kommunen, utan hinder av reglerna om utlämnande till tredje man. Men även i kommentaren så hänvisar man till Datainspektionens informationsblad(se utdrag nedan), där framförallt de enskilda nämnderna och kommunstyrelsen som skall vara ansvariga. Är de så pass självständiga att de utgör egna förvaltningsmyndigheter skall de vara ansvariga var och sig i sin verksamhet. Vilket organ som skall vara ansvariga skall bestämmas i varje enskilt fall. Enligt kommentaren kan man inom den juridiska personen utse befattningar som i första hand skall se till att behandlingen av uppgifter sker i överrensstämmelse med lagar och regler. Detta bekräftar även ett Webbinarium på SKL:s hemsida(se länk nedan), där man uppmana kommuner att inför i reglementet för nämnden vem som är ansvarig, en ledningsgrupp och projektgrupp. I kommentaren påpekar man dock att detta bara påverkar ev straffansvar, inte personuppgiftsansvaret i sig, som alltid ligger kvar på den berörda nämnden, förvaltningsmyndigheten eller kommunstyrelsen. http://skl.se/naringslivarbetedigitalisering/digitalisering/juridikochdataskydd/dataskyddsforordningen.9215.html Jag pratade med stadsdelsnämnden i Askim(den enda närvarande som kunde svara på den typer av frågor), och deras personuppgiftsombud, enligt henne så finns det ingen enskild person som sitter på ansvaret, ingen som direkt kan hållas ansvarig, utan det är nämnden, i detta fall denna stadsdelen som ansvara för detta. Har inte hittat någonstans att det finns en viss fysisk person som är personuppgiftsansvarig, om det inte rör sig om enskild företagare. S94 kommentar till PUL Bara de med rättskapacitet kan vara ansvariga. Detta innebär att fysiska, juridisk personer så väl som utländska filialer och myndigheter. Vad gäller för personuppgiftsombud i en kommun? Räcker det att en och samma person är ombud för hela kommunen? En och samma person kan utses som ombud för flera olika myndigheter. I en kommun är normalt varje kommunal nämnd personuppgiftsansvarig för sin behandling och ska utse ett personuppgiftsombud, men det finns inget som hindrar att en och samma person utses som ombud för alla nämnder inom kommunen. http://www.datainspektionen.se/fragor-och-svar/eus-dataskyddsreform/personuppgiftsombud/ Enligt Webbinariumet på SKL:s hemsida verkar det fortsatt vara nämnderna på kommunerna(27:28 i videon) där pratar man även om att man bör/skall införa detta i nämnderna reglemente för att ansvarsfrågan alltid skall vara tydlig. Samt att förtydliga ansvaret genom att utse en ledning som är ansvarig för verkställande. Och en projektledning som utför. Författare: David TörngrenPersonuppgiftsansvarig är normalt den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till (se SOU 1997:39 s. 333 f.). Flera personuppgiftsansvariga kan ha ett gemensamt ansvar t.ex. för ett register som de för tillsammans. En juridisk person är personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. I en kommun är normalt både kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga, var och en i sin verksamhet. I registerförfattningar regleras ofta vem som är personuppgiftsansvarig, se t.ex. 2 kap. 4 § polisdatalagen (2010:361). I fråga om personuppgiftsansvar vid tillhandahållande av elektroniska självbetjäningstjänster, se HFD 2012 ref. 21. https://pro.karnovgroup.se/document/530317/1#SFS1998-0204_N9

Grundläggande principer Inte samla in mer personuppgifter än vad som krävs för behandling, enligt ändamål som anges i lagstiftningen Inte använda till annat än ursprungliga syftet Inte ha kvar längre än vad som krävs – rensa! Uppgifterna ska vara korrekta – annars raderas Krav på lämplig säkerhet (skydd mot obehörig åtkomst, skydd mot förlust/skada genom olyckshändelse)

När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt för att fullgöra en rättslig skyldighet Myndighetsutövning En arbetsuppgift av allmänt intresse ska kunna utföras Samtycke Vissa regler ej möjliga att samtycka bort – t.ex. förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser (21 §). Viss begränsade undantag från denna regler, t.ex. forskning som godkänts. Kan ej heller samtycke bort rätt att få rättelse, rätt att få information, skyldighet att ha PuB-avtal etc. a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Biometriska och genetiska uppgifter Sexuell läggning/sexualliv Får endast behandlas enligt grunder som framgår av lagstiftningen (13-19 §§)

Registerförteckning Varje personuppgiftsansvarig är skyldig att föra en förteckning över sina behandlingar av personuppgifter. På begäran ska denna göras tillgänglig. För varje behandling framgår ändamål, rättslig grund, om känsliga personuppgifter eller personnummer förekommer osv. Lagen utgår inte från system, utan från behandlingarnas syfte. Därtill sker behandlingar utanför våra verksamhetssystem, ex i form av Word- eller Exceldokument. E-post? Manuell hantering på papper i registerform? Hemsida och sociala medier?

Ökat ansvar för personuppgiftsansvariga Ansvarsskyldighet – kunna visa att vi gör rätt! Ökat fokus på dokumentation Krav på konsekvensbedömningar, exempelvis vid nya IT-system Rutiner för anmälan av dataskyddsincidenter (inom 72 h)

Sanktioner Administrativa sanktionsavgifter i syfte att stärka verkställigheten av förordningen, men också varning. Datainspektionen är tillsynsmyndighet, byter namn till Integritetsskyddsmyndigheten. Privata företag upp till 20 miljoner Euro, eller 4 % av global omsättning. Varje medlemsstat ska avgöra om detta gäller även för myndigheter. Regeringens förslag (feb 2018) är följande för svenska myndigheter. - Mindre allvarliga överträdelser: högst 5 Mkr - Allvarligare överträdelser: högst 10 Mkr

Dataskyddsombud Utses av kommunstyrelse och nämnder. Övervaka efterlevnad av regler, informera och ge råd. Ska rapportera till högsta förvaltningsnivå. Samarbeta med Datainspektionen (Integritetsskyddsmyndigheten). Ska involveras tidigt i frågor om skydd av personuppgifter, ta hänsyn till risker och vara behjälplig vid konsekvensbeskrivningar.

Vad behöver göras? Identifiera personuppgiftsbehandlingar och utreda rättsligt stöd. Uppdatera blanketter med samtyckesskrivningar, information till registrerade, se över och upprätta personuppgiftsbiträdesavtal. Höja kunskapen om personuppgiftshantering/ dataskydd – utbildningsinsatser, riktlinje för medarbetare? Rutiner för informationssäkerhet, bland annat för att upptäcka och hantera dataskyddsincidenter. Utse dataskyddsombud.

Hur arbetar vi med GDPR? Treårigt informationssäkerhetsprojekt som leds av Skövde kommun där Tibro kommun, Hjo kommun och kommunalförbunden ingår. Uppstart pågår och lokal projektgrupp i Tibro är bildad. Genom projektet ges stöd i hur GDPR-arbetet ska genomföras, MEN varje nämnd är ansvarig för att genomföra arbetet i den egna verksamheten. Steg 1: Inventering och uppbyggnad av registerförteckning pågår.

Forts hur arbetar vi med GDPR? Nätverk genom Skaraborgs kommunalförbund, med särskilda arbetsgrupper. Kunskapsinsamling och medvetenhet. Alla nämnder/förvaltningar är ansvariga – vad gäller inom vår verksamhet? Verksamhetsspecifika utbildningar finns inom bland annat skola, socialtjänst och HR. Grundläggande heldagsutbildning om GDPR erbjuds 23 mars, via länk från Skövde kommun. Varje förvaltning avgör vilka som deltar och på vilket sätt (enskilt vid dator eller samlad grupp).

Projektorganisation Projektägare Ulf Karlsson Styrgrupp Ulf Karlsson, Ordförande Markus Wästefors Fredrik Edholm Frida Blomqvist Referensgrupp KDLG, Skövde Projektledning Jimmy P & Ann-Louise H AG-GDPR Skaraborg Ann-Louise H Dataskydds-ombud Projektresurser Jurist, Informatör Projektgrupp Delprojektledare Utbildning AÖS MÖS RÖS SKF SBU SMS SSB SSE SSO SSV SVO Tibro kommun Frida B / Peter L Hjo kommun Edvin E / Peter J

Lokal projektgrupp GDPR Tibro Delprojektledare - Tibro Frida Blomqvist Peter Legendi Projektdeltagare - Tibro BUN Malena Lundberg KS Ann-Louise Hedberg Marie Ahlander Ulrika Wennerkull SOC Yvonne Edman BTN Evelina Zetterljung SHB Elisabeth Ransveden KTN Caroline Larsson KFN Marie Wickman Tibro Energi och Tibrobyggen

Metafor – Låna en bil Tänk dig att du lånar någons bil. Många är nog överens om att det då är naturligt att: fråga om du får låna den (samtycke, öppenhet) vara tydlig med i vilket syfte du vill låna den (öppenhet, ändamålsbegränsning) berätta hur länge du behöver låna den och lämna tillbaka den i tid (korrekthet, lagringsminimering)

Metafor – Låna en bil inte använda den till annat syfte än det överenskomna (uppgiftsminimering) vara varsam, så att inte något oönskat (P-bot, fortkörning vid fartkamera, parkeringsskada, krock, etc.) händer under tiden du lånar den (laglighet, korrekthet, integritet) om en olycka eller något annat oönskat ändå inträffar när du lånar den, berätta det så snart som möjligt (anmälningsskyldighet)

Metafor – Låna en bil åtgärda konsekvenserna av oönskade händelser (t.ex. betala p-böter, fortkörningsböter, reparations- eller andra oväntade kostnader) som uppstår i samband med lånet (rätt till rättelse) lämna tillbaka den omedelbart om ägaren önskar det och inte behålla någon nyckel (rätt till radering, lagringsminimering)