Dataskyddsförordningen för Ansvariga genomförare Denna information är den första av åtminstone två generella informationstillfällen riktade till er som målgrupp. I dag får ni allmän information om dataskyddsförordningen, hur staden arbetar med frågan och vad som förväntas av er och verksamheterna. Nästa informationstillfälle kommer att vara mer praktiskt inriktad. Denna bildserie har till syfte att dels informera och utbilda de Ansvariga genomförarna (AG) i dataskyddsförordningen men även att kunna användas för vidareutbildning om AG behöver utbilda sina medarbetare. Informationen i materialet är på en övergripande nivå och tar upp de viktigaste generella förändringarna för våra verksamheter. Materialet ska inte ses som juridiskt uttömmande.
Ni är Ansvariga genomförare Är den viktigaste kommunikationskanalen in i verksamheten Ska genomföra, genomdriva nödvändiga förändringar Ska informera, utbilda och leda i förändringsarbetet Ska utverka en fungerande samarbetsform inom verksamheten. SKA INTE: Göra allt arbete själv! Forma en projektgrupp eller annan lämplig samarbetsform och utse ansvariga för olika områden. Delegera. AG-rollen ska vara förankrad hos ledningen och därmed ha ledningens uppdrag att genomföra de åtgärder som krävs för att införa dataskyddsförordningens bestämmelser i verksamheten. Om AG upplever att den förankringen inte finns så kan personen kontakta projektet. Projektet får då ställa frågan till ledningen om de vill ha hjälpen att anpassa verksamheten till dataskyddsförordningen. Ag ska inte göra allt genomförandearbete själv! I kommande checklista finns instruktioner för hur man formar en projektgrupp vilket kan vara ett bra arbetssätt.
Dataskyddsförordningen (GDPR – General Data Protection Regulation (EU 2016/679) Ersätter dataskyddsdirektivet (95/46/EC) som PUL baseras på Dess syfte är att skydda enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter genom att stärka integritetsskyddet och underlätta handel inom EU/EES genom harmoniserad lagstiftning. Börjar tillämpas den 25 maj 2018 Möjligheter till anpassning till nationell lagstiftning såsom grundlag och arkivlag Utredning (Dir 2016:15) av regeringen om nya lagförslag att komplettera förordningen - klart den 12 maj 2017 Dataskyddsförordningen benämns GDPR i de flesta sammanhang. Syftet med den förstärkta lagstiftningen om dataskydd som ska gälla i hela EU är att på ett rättssäkert sätt kunna tillvarata alla digitala möjligheter och informationsutbyten som finns att tillgå. EU vill ha en harmoniserad lagstiftning så det blir möjligt för exempelvis näringsidkare att veta vad som gäller för varje land inom EU. Förordningen har officiellt sett trätt i kraft, men i förordningen står angivet att den inte ska börja tillämpas förrän 25 maj 2018. I förordningen finns stora möjligheter, särskilt för oss som myndigheter, att anpassa tillämpningen av förordningen med egna nationella regleringar. Det pågår flera utredningar med anledning av denna möjlighet men den viktigaste för vår del är regeringsutredningen som ska vara klar 12 maj 2017 och som ska se vilka nationella lagar som behöver ändras och anpassas med anledning av förordningen. Av den anledningen är det svårt att bestämt säga vilka förändringar som kommer att ske och exakt vad som kommer att gälla innan utredningen är klar.
Dataskyddsförordningen forts. Upphäver personuppgiftslagen (PUL) Beslutad av EU och kommer att gälla direkt i alla medlemsstater. Kräver ändring av alla lagar och bestämmelser samt styrande dokument som innehåller hänvisning till personuppgiftshantering Kräver ändring av rutiner för personuppgiftshantering i Göteborgs Stad Ställer höga krav på organisatorisk- och teknisk säkerhet Krav på dataskyddsombud som ska rapportera direkt till ledningen Gäller alla nämnder, styrelser och stiftelser i Göteborgs Stad Sanktioner skärper efterlevnadskraven PUL reglerar idag vår hantering av personuppgifter. ”Hantering” är alla åtgärder man överhuvudtaget kan tänka sig med en personuppgift (PU). En PU är all information som direkt eller indirekt går att hänföra till en levande fysisk person. Dataskyddsförordningen gäller i alla medlemsländerutan föregående nationell lagstiftning.
Genomförande i Göteborgs Stad Styrgrupp Sarah Arlebrink, Stadsjurist, SLK (Ordförande) Jan A Svensson Informationssäkerhetschef ,SLK Anders Nilsson CIO / IT-Chef, Intraservice Johan Hörnberg Bolagsjurist, Stadshus AB Niklas Hall Nämndsekreterare, Västra Göteborg Jan Persson Chef Stiftelseverksamheten Projektet Verksamheten Styrgrupp Ledning/PA Projektgrupp Sarah Arlebrink, Stadsjurist, SLK (Projektägare) Jan A Svensson Informationssäkerhetschef ,SLK Andreas Segerberg Arkivarie, Regionarkivet Lars Sandin TA IT Tjänster, Intraservice Birger Wannerskog Projektledare, Intraservice Projektgrupp Förvaltningen Referensgrupp Henrik Hoffmeister UBF Anette Hermansson KOM Gustaf Grapengiesser TK Staffan Nilsson Intraservice Ulrika Andersson SDF Angered Anna Sahlberg SDF AFH Liselotte Torgeson Grefab Malin Carlsson Gatubolaget Nina Havner Bostadsbolaget Anna Strindberg Stiftelser Medarbetare Projektet Består av en styrgrupp som bestämmer ramarna för projektet, en projektgrupp som är operativ och driver arbetet, samt en referensgrupp som består av representanter från bolag, fackförvaltningar och stadsdelsförvaltningar. Projektet är beställt från stadsledningskontoret och sker i samarbete med intraservice. På bilden kan ni se hur vi är organiserade. Sarah Arlebrink, stadsjurist, äger projektet och Birger Wannerskog, intraservice är projektledare. Projektets uppdrag är att analysera innebörden av dataskyddsförordningen för Göteborgs Stad, identifiera förändringsområden, ta fram verktyg för verksamheterna att genomföra nödvändiga förändringar samt att ge råd och stöd genom hela processen. Projektet kommer inte att vara operativa i enskilda verksamheter. Den uppgiften ligger på den Ansvarige genomföraren. Naturligtvis hjälper vi till att svara på frågor och annat när vi kan. Frågor ställs i första hand till projektledaren. Projektet kommer även att ta fram styr- och stöddokument i form av policy och checklistor. Det som vi lite slarvigt kallar verksamheten är alla bolag där vi har det rättsligt bestämmande inflytandet, fackförvaltningar, stadsdelsförvaltningar och stiftelser. Här är nämnden eller styrelsen de som är ytterst ansvariga för att dataskyddsförordningen, liksom alla lagar och regler, följs. De är s.k. personuppgiftsansvariga. Dock är det förvaltningen och den enskilde medarbetaren som har att genomföra anpassningen till dataskyddsförordningen. Detta är omöjligt om det inte sker med förståelse från ledningen/personuppgiftsansvarige. Det är för övrigt den personuppgiftsansvarige som blir drabbad av eventuella sanktioner. Referensgrupp Styrande dokument Vägledningar Information Rekommendationer Beslutar och genomför åtgärder
Kommunikationsplan Målgrupp Varför vi ska kommunicera med målgruppen Nämnder och styrelser (Personuppgiftsansvariga) Ytterst ansvariga för att dataskyddsförordningen efterlevs. Bolags VD Förvaltningschef Ansvarig stiftelser Ansvariga för beslut att nödvändigt förändringsarbete kommer till stånd och att detta arbete ges såväl de organisatoriska som ekonomiska förutsättningarna som krävs Ansvariga för att bedöma nuläget inom sitt ansvarsområde samt att nödvändiga åtgärder som behöver vidtas blir dokumenterade och beslutas. Ansvariga för framtagandet av Verksamhetens handlingsplan som dokumenterar hur förändringsarbetet kommer genomföras. Ansvariga genomförare Projektets primära kontaktperson per verksamhet i det fortlöpande arbetet. Ägare och förvaltare av IT- stöd i verksamheten. Ansvariga för att bedöma nuläget om det IT-stöd man ansvarar för omfattas av krav på förändringsarbete och om så, att nödvändiga åtgärder som behöver vidtas blir dokumenterade i Verksamhetens handlingsplan. Jurister inom respektive verksamhet Informeras om pågående arbete och hur deras kompetens kan komma behövas i det fortlöpande arbetet. Kommunikatörer i förvaltningarna Stödjer arbetet med att få ut budskapet i Verksamheten om projektet och vad införandet av förordningen innebär. Kommunikation är A och O för att projektet ska kunna hjälpa alla som vill ha hjälp. Det är bland annat därför som ni Ansvariga genomförare är utsedda. För att säkerställa att informationen når ut till alla berörda och att rätt information hamnar på rätt nivå har vi en kommunikationsplan.
Förväntat resultat av projektet Ta fram stöd för att säkerställa: att det finns tekniska och organisatoriska förutsättningar för att efterfölja förordningen. att de förändringar som krävs identifieras för att förbereda verksamheten inför de nya krav som dataskyddsförordningen kommer att medföra. att det utarbetas stöd för dessa förändringar samt verka för att nödvändigt förändringsarbete påbörjas. att verksamheten blir informerad kring nödvändiga delar av dataskyddsförordningen samt krav på verksamheternas anpassning till denna. Se vidare efter rubriken ”Vad händer nu?” bild 40 ff
Grundläggande terminologi Personuppgift –Varje uppgift som direkt eller indirekt kan hänföras till en levande fysisk person Behandling – All form av hantering som kan vidtas med en personuppgift Personuppgiftsansvarig – Den som bestämmer ändamålet och medlen för behandlingen Personuppgiftsbiträde – Den som behandlar personuppgifter för den ansvariges räkning Personuppgiftsbiträdesavtal – Avtal mellan ansvarige och biträdet i syfte att upprätthålla säkerhet och kontroll över behandlingen Dataskyddsombud – Person som på uppdrag av den ansvarige säkerställer att personuppgifter behandlas lagligt Grundläggande terminologi i dataskyddsförordningen. Bortsett från dataskyddsombudet som kommer att ersätta personuppgiftsombudet, så är termerna desamma. I artikel 4 i förordningen står klart och tydligt vad som avses med de olika termerna. På samma sätt finns det förklaringar i PuL om vad som avses med termerna. Kan vara bra att läsa igenom. Länk till dataskyddsförordningen: http://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=SV Länk till PuL: http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/personuppgiftslag-1998204_sfs-1998-204
Tillämplighet Myndigheter (kommuner och kommunala bolag), företag, föreningar, enskilda inom EU Företag utom EU som säljer till mottagare inom EU Inga undantag för ostrukturerat material ex vis e-post, löpande text, sociala medier Dock undantaget bl.a. behandling av rent privat karaktär utförd av privatpersoner Dataskyddsförordningen kommer att gälla för både privatpersoner, privata bolag, föreningar och myndigheter, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden. PuL gäller enbart för de som är personuppgiftsansvariga. Skillnaden blir att samma ansvar läggs på både informationsägaren och den som behandlar personuppgifter på dennes vägnar. Det ger ett tydligt incitament till leverantörerna att själva se till att personuppgiftsbiträdesavtal finns på plats och att uppgifterna hanteras i enlighet med förordningens alla bestämmelser. Det innebär också att man i upphandlingsförfarande kan utgå ifrån att följsamhet till förordningen kommer att ske då det är ett lagkrav. Undantaget för att tillämpa PuL när det gäller ostrukturerat material tas bort. Exempel på ostrukturerat material är behandling av personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar och e-post. Enkla listor är också exempel på ostrukturerat material. Även sökfunktionen i ett system för e-post eller systematiskt namngivna filer och mappar i ett vanligt operativsystem, anses utgöra ostrukturerad behandling. Det innebär att all hantering av personuppgifter ska ske inom ramen för dataskyddsförordningen. Se nästa bild. Rent privat behandling i privat syfte är dock fortfarande undantaget.
Tillämplighet forts. Behandling av personuppgifter som helt eller delvis företas på automatiserad väg och annan än automatisk behandling om uppgifterna kan komma att ingå eller ingår i ett register. Definitionen av ett register enligt förarbetena till PuL är en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förordningen gäller alltså för all behandling som sker med elektronisk utrustning men även behandling som sker manuellt om uppgifterna är ordnade, sammanställda och sökbara. Skillnaden från PuL är ju då som sagt att bestämmelsen om undantag från uppgifter som inte ingår i ett register ( ostrukturerade personuppgifter ) inte har någon motsvarighet i förordningen
Grundläggande principer för behandling av personuppgifter art 5.1 Laglighet, korrekthet, öppenhet Ändamålsbegränsning ( särskilt uttryckligt angivna och berättigade ändamål samt ej senare behandlas oförenligt med detta ändamål. Dock arkiv, forskning, statistik) Uppgiftsminimering - Ej mer uppgifter än nödvändigt för ändamålet Korrekthet – uppdaterade, raderas, rättas utan dröjsmål Lagringsminimering – identifierbar form endast så länge det är nödvändigt Integritet och konfidentialitet – tekniska och organisatoriska åtgärder Ansvarsskyldighet – visa att artikeln efterlevs Detta är de grundläggande principerna för dataskydd. De gäller alltid för all information som rör en direkt eller indirekt identifierad eller identifierbar fysisk person som är i livet. Laglighet, korrekt och öppen – innebär att det ska vara tydligt hur uppgifterna insamlas, används och konsulteras. All information och kommunikation kring behandlingen ska ske på ett klart och tydligt språk och med angivande av vem som behandlar, på vilken rättslig grund och varför och vad den registrerade har för rättigheter.
Laglig behandling art 6.1 a) Samtycke – specifikt, informerat, otvetydigt b) Nödvändigt för att fullgöra ett avtal c) Nödvändig för att fullgöra en rättslig förpliktelse d) Nödvändig för att skydda intressen av grundläggande betydelse e) Nödvändig för allmänt intresse eller som ett led i myndighetsutövning f) Intresseavvägning – OBS gäller inte offentliga myndigheter i utförande av sina uppgifter Punkt 1c och e, ska fastställas enligt nationell lagstiftning avseende rättslig grund och allmänt intresse i myndighetsutövning
Samtycke art 7 PA kunna visa samtycke Klart, tydligt, särskiljbart, begripligt, informerat, lätt tillgänglig form Kan när som helst återkallas Ej nödvändigt för genomförande av ett avtal (frivilligt) Samtycke för barn art 8 16 år eller vårdnadshavare. Dock ej lägre än 13 år Rimliga ansträngningar att kontrollera VH samtycke med tillgänglig teknik Medlemsstaternas nationella lag ska dock ej påverkas (FB) I de fall vi redan har samtycke som vi baserar en behandling på behöver vi ej inhämta nytt ”om det sätt på vilket samtyckets gavs överensstämmer med förordningens bestämmelser”. Samtycket ska vara en aktiv handling. Får ej vara antaget samtycke på grund av att man underlåter att utföra en viss åtgärd. En kryssruta kan vara tillräckligt för att bekräfta samtycke. Nytt i förordningen är det särskilda samtycke som ska finnas för barn under 16 år. Medlemsstaterna får sätta lägre, eller högre åldersgräns. Dock ej under 13 år. För barn under denna gräns ska samtycke inhämtas från vårdnadshavaren.
Särskilda kategorier av personuppgifter art 9 Ras Etniskt ursprung Politiska åsikter Religiös- eller filosofisk övertygelse Medlemskap i fackförening Genetiska uppgifter Biometriska uppgifter Hälsa Sexualliv och sexuell läggning F d känsliga uppgifter. Förbjudet att behandla enligt huvudregeln.
Undantag från förbudet Uttryckligt samtycke Nödvändig behandling för arbetsrätten Nödvändig behandling om förhindrad att ge samtycke Bl.a. stiftelseverksamhet, föreningar, olika sammanslutningar Eget offentliggörande Tillvarata rättsligt anspråk Allmän intresse Hälso- och sjukvård, socialtjänst m.fl. Folkhälsan Arkiv, vetenskapliga, historiska eller statistiska ändamål
Uppgifter om brott art 10 Uppgifter som rör fällande domar i brottmål får endast utföras under kontroll av myndighet eller annars då behandling är tillåten enligt nationell lag. Samtycke gäller alltså ej! Måste stå föreskrivet i nationell lag att man ska ta in ex utdrag ur kriminalregistret.
Registrerades rättigheter art 12 ( Dvs. våra skyldigheter) Hantering av begäran om utfående av information eller rättelse Utan onödigt dröjsmål men senast inom en månad efter begäran. I särskilda fall 2 månader. Kostnadsfritt Ogrundat, orimligt, upprepande – möjlighet att vägra eller ta betalt
Information som ska ges när uppgifter samlats in från den registrerade art 13 Id och kontaktuppgifter för den ansvarige Kontaktuppgifter till dataskyddsombudet Ändamål och rättslig grund Kategorier av mottagare som får del av personuppgifterna Information om överföring till tredje land Under vilken period uppgifterna kommer att lagras Rätten att begära tillgång till och rättelse, radering, invändning, dataportabilitet Rätten att dra tillbaka sitt samtycke… Här behöver vi ha en mall/standardblankett
Forts… Rätten att inge klagomål Lagstöd eller avtalsenligt ev. följder Om automatiserat beslut förekommer Om profilering föreligger Om ytterligare behandling med personuppgifterna kommer att ske för annat syfte Vissa undantag finns ex sekretess, omöjliggör syftet med målen för behandlingen
Informations som ska ges när uppgifter samlas in från annan är registrerad art 14 Samma som tidigare bestämmelse. Dock tidsangivelser Inom rimlig period, dock senast inom en månad efter att uppgifterna erhållits Vid kommunikation med den registrerade, senast vid tidpunkten för första kommunikationen Vid utlämnande till annan mottagare, vid första utlämnandet Vid vidarebehandling, innan ytterligare behandling
Undantag från art 14 Tillhandahållandet skulle visa sig omöjligt, medföra oproportionell ansträngning mht arkivändamål av allmän intresse m.m. Erhållande eller utlämnande av uppgifterna uttryckligen föreskrivs av nationell rätt ( t. ex. offentlighetsprincipen ) Nationell rätt stadgar sekretess
Rätt till tillgång av sina uppgifter Ändamålet Kategori av personuppgifter Mottagare Lagringsperiod Rätten till rättelse, radering osv. Rätten att inge klagomål Uppgifter om varifrån uppgifterna kommer Om automatiserat beslutsfattande eller profilering förekommer Överföring till tredje land…
Forts. Rätt att få ut kopia av de personuppgifter som är under behandling. För fler än dessa kopior får avgift för administrativa kostnader tas ut. Om begäran sker i elektronisk form ska informationen tillhandahållas i ett elektroniskt format Dock hänsyn till ev sekretess.
Andra rättigheter Rätt till rättelse (art 16) Rätten att bli bortglömd (art 17) Undantag - om behandlingen är nödvändig för att utöva rätten till yttrandefriheten, uppfylla rättslig förpliktelse i enl med nationell rätt eller utföra uppgift av allmänt intresse eller som ett led i myndighetsutövning
Forts. Rätt till begränsning av behandlingen (art 18) Rätt till dataportabilitet (art 20) Undantag: rätten gäller inte om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse Rätt att göra invändningar mot… (art 21) Automatiserat beslutsfattande, profilering Undantag: fullgöra ett avtal, tillåtet enl nationell rätt, samtycke
Begränsningar art 23 Rätt för medlemsstat att i nationell rätt införa begränsningar för vissa av den ansvariges skyldigheter och rättigheter om det sker med respekt för andemeningen i de grundläggande fri- och rättigheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle - i vissa syften bl.a. Den nationella säkerheten Försvaret Viktigt allmänt intresse Skydd för rättsväsendet O. dyl.
Personuppgiftsansvariges ansvar art 24 - 25 Genomföra lämpliga tekniska- och organisatoriska åtgärder baserade på risker och omfattning. Säkerheten ska beaktas redan vid planering och inför beslut om pu- behandling samt ses som en grundläggande standard* Viktiga utgångspunkter för att säkerställa pu-behandlingen Uppgiftsminimering – ej samla in fler än nödvändigt Uppgiftsspecificering – endast relevanta uppgifter Åtkomstbegränsning – endast behöriga ska få åtkomst till pu * ”Data protection by design and by default” / “Inbyggt dataskydd och dataskydd som standard”
Register över behandling art 30 Obligatoriskt att föra register över behandling Namn, kontaktuppgifter för den ansvarige och för DSO Ändamålet med behandlingen Beskrivning av kategorier av registrerade och personuppgifter Mottagare till vilka personuppgifter lämnats Överföring av personuppgifter till tredje land Tidsfristerna för radering Tekniska- och organisatoriska åtgärderna
Säkerhet för personuppgifter art 32 Tekniska- och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i förhållande till risken. Kräver informationsklassning och RSA vid varje ny behandling Säkerhetsåtgärder som kan vara lämpliga Pseudonymisering * Kryptering Säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft Förmåga att återställa efter säkerhetsincident Regelbundna tester, undersökningar och utvärderingar * Nyttja fiktiva pu som med hjälp av en ”nyckel” kan kopplas till verkliga pu
Anmälan av personuppgiftsincident art 33 Till tillsynsmyndighet, utan onödigt dröjsmål men ej senare än 72 timmar, om det är möjligt Systemet måste möjliggöra täta kontroller, vem, hur? Information till den registrerade om incident i vissa fall Dokumentera incidenten
Konsekvensbedömning art 35 ( Data Protection Impact Assessment ) Skyldighet att utföra konsekvensanalys (läs riskanalys) om behandlingen sannolikt föranleder hög risk för fysiska personers rättigheter och skyldigheter
Förhandssamråd art 36 Samråda med tillsynsmyndigheten före en behandling om konsekvensanalysen indikerade hög risk.
Dataskyddsombud (DSO) art 37 Obligatoriskt för myndighet Ett eller flera DSO gemensamt för flera myndigheter om lämpligt Kvalifikationer: Utses på grundval av yrkesmässiga kvalifikationer Sakkunskap om lagstiftningen och praxis avseende dataskydd Förmåga att fullgöra sina uppgifter
Personuppgiftsansvariges ansvar Säkerställa att DSO deltar i alla frågor som rör skydd av personuppgifter Tillhandahålla alla de resurser som krävs för att fullgöra sina uppgifter Upprätthålla DSO:s sakkunskap Får ej avsättas eller bli föremål för sanktioner för att ha utfört sitt uppdrag Rapportera direkt till högsta förvaltningsnivå Ta hand om alla frågor från den registrerade Får även ha andra uppgifter om ej intressekonflikt Således en kvalificerad heltidstjänst
Uppförandekod och certifiering art 40 Uppmuntra användning av uppförandekoder Certifiering för dataskydd - frivilligt
Överföring till tredje land art 44 Tillåtet endast till länder där kommissionen har beslutat att adekvat skyddsnivå finns. Idag: Privacy Shield Förr: Safe Harbour Även Binding Corporate Rules
Rättsmedel, ansvar, sanktioner art 77 Klagomål till tillsynsmyndighet Talan mot tillsynsmyndighet i domstol Talan mot personuppgiftsansvarig eller biträde i domstol Ovan påverkar inte annat administrativt förfarande eller rättsmedel.
Administrativa sanktioner art 83 10 000 000 EUR eller för företag upp till 2% av den globala omsättningen. - Barns samtycke, tekniska lösningar, biträden, register över behandling, incidentanmälan m.fl. 20 000 000 EUR eller för företag upp till 4% av den globala omsättningen. - Grundläggande principerna för behandling, samtycke, särskilda kategorier av uppgifter, informationsgivning, rättelse, radering, överföring till tredje land m.fl. Oklart om det ska gälla offentliga myndigheter eller hur kommunala bolag ska ses
Offentlighetsprincipen Art 86 Personuppgifter i allmänna handlingar som förvaras av en myndighet för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten i enlighet med nationell rätt, för att jämka samman allmänhetens rätt till tillgång av allmänna handlingar och skyddet för personuppgifter. Anställningsförhållanden art 88 Lag eller kollektivavtal kan fastställa mer specifika regler
Vad händer nu?
Aktiviteter – vad gör ni Följsamhet mot PuL Ta fram en handlingsplan per bolag/förvaltning Följsamhet (anpassning) mot DSF Dokumentera organisation som ska driva arbetet – roller och ansvar Framtagandet av en kommunikationsplan Avsluta/överlämna till linjen Handlingsplan lämnas in till projektet senast under april 2017
Följsamhet mot PuL Gå igenom er personuppgiftsbehandling: var finns era pu? Tydliggör och definiera vilken typ av pu är det fråga om för respektive pu-behandling Bedöm befintliga avtal, rättslig grund, information till behandlade etc Uppdatera PuL-databasen
Följsamhet (anpassning) mot DSF Gå igenom er personuppgiftsbehandling: var finns era pu? Tydliggör och definiera vilken typ av pu är det fråga om för respektive pu-behandling Bedöm befintliga avtal, rättslig grund, information till behandlade etc Riskanalys Åtgärdsplan Uppdatera PuL-databasen Uppföljning
Organisation Dokumentera och förankra hur ni avser att driva ert arbete inom er verksamhet: Vem är ytterst personuppgiftsansvarig Vem är ytterst ansvarig för införandet Säkerställer såväl de organisatoriska som ekonomiska förutsättningarna Styrgrupp med mandat att initiera förändring av ramar/mål/inriktning Ansvarig genomförare Kommunikatörer och jurister (om verksamheten har tillgång till detta) Ägare och förvaltare av IT-stöd Dataskyddsombud Allokera resurser för era aktiviteter
Kommunikationsplan Kommunicera bakgrund och budskap utifrån ert verksamhetsperspektiv Förankra och skapa en medvetenhet i verksamheten kring DSF. Enskild anställds agerande är och förblir en nyckelfaktor för framgång när det gäller efterlevnaden av DSF. Ansvar och roller Involvera er kommunikatör Utgå gärna från stödprojektets kommunikationsplan
Aktiviteter – vad gör projektet (vi) Juridisk- och säkerhetsanalys genomförd IT-konsekvensanalys pågår Tar fram ny policy och riktlinjer för behandling av pu Tar fram/reviderar övergripande stöddokument och vägledningar Utgör ett stöd och bollplank för verksamheten Informerar och utbildar Med prio på ”Ansvarig genomförare”, februari –mars Bredare grupperingar, april-maj Omvärldsbevakning – regerings utredning, SKL och DI
Utbildningstillfälle 2 Ansvarig genomförare Fokus på analys av följsamhet mot DSF och genomförandet Torsdagen den 16 mars 09:00-12:00 Fredagen den 17 mars 09:00-12:00 Onsdagen den 29 mars 09:00-12:00 Torsdagen den 6 april 09:00-12:00
Planerade informationsträffar Verksamheten Bredare informationsträffar för kompetensspridning i staden: Tisdagen den 25 april 09:00-12:00 Onsdagen den 3 maj 09:00-12:00 Måndagen den 8 maj 13:00-16:00 Tisdagen den 9 maj 09:00-12:00 Vem som ska bjudas in ägs av ”Ansvarig genomförare”
Tidslinje Januari Juni Verksamheten: Följsamhet mot PuL Ta fram och lämna in en handlingsplan (30/4) Ta fram kommunikationsplan Påbörja följsamhet mot DSF Projektet: Genomföra utbildningar Tar fram ny policy och riktlinjer för pu Stöddokument och vägledningar på plats Konsekvensanalys av regeringens utredning (12 maj)
Birger Wannerskog birger.wannerskog@intraservice.goteborg.se 0701-811 300