Hoppa till innehåll

På Nacka.se använder vi cookies för att webbplatsen ska fungera på ett bra sätt för dig. Genom att fortsätta ditt besök godkänner du att vi använder cookies. Läs mer om cookies

GDPR - Dataskyddsförordningen

Dataskyddsförordningen (även kallad GDPR - General Data Protection Regulation) reglerar hur vi ska behandla personuppgifter. För att anpassa våra arbetsprocesser och våra IT-system till dataskyddsförordningen fokuserar vi på 12 prioriterade områden. Dessa och andra områden finns beskrivna mer utförligt nedan. Det finns även mallar som stöd för att underlätta arbetet.

Öppna frågestunder om GDPR

5 februari, kl 13-14, lokal: Krokhöjden
11 mars kl.10:30-11:30, lokal: Jelgava
8 april, kl 10-11, lokal: Myrsjön

Mallar GDPR (LOGGA IN FÖR ÅTKOMST)

Syftet med de 12 prioriterade områdena är att ge enheterna ett stöd i GDPR-anpassningen. Syftet är också att på en mer konkret nivå ge direkta tips och förslag på hur ni kan arbeta med att följa dataskyddsförordningen och den svenska datalagen.

Kort om förordningen

  • Alla personuppgiftsbehandlingar måste ha rättslig grund, till exempel avtal (anställningsavtal, avtal med kund), allmänt intresse (forskning, statistik, arkiv) myndighetsutövning (bygglov, ekonomiskt bistånd) och rättsliga förpliktelser (till exempel bokföringsskyldighet). Har vi ingen rättslig grund kan vi i vissa fall arbeta med samtycken.
  • Varje verksamhet ansvarar för sina egna personuppgiftbehandlingar
  • Rättigheterna stärks för enskilda personer. Det ställs strängare krav på att vi ska informera om hur vi hanterar medborgarens personuppgifter.
  • Kraven på IT-system som hanterar personuppgifter stärks. Personuppgifter ska exempelvis skyddas så att bara de som är behöriga kan se eller arbeta med uppgifterna. Uppgifterna måste även skyddas så de inte förstörs genom olyckshändelse.
  • Ändamålet måste vara tydligt vid insamlingen av uppgifter. Vi får inte samla in fler personuppgifter än nödvändigt, till exempel för att "det kan vara bra att ha".
  • En sanktionsavgift kan utdömas vid brott mot förordningen. Det är Datainspektionen som är tillsynsmyndighet.
  • Vid brott mot dataskyddsförordningen eller datalagen kan även den eller de drabbade begära skadestånd/ersättning.

12 prioriterade områden

1. Registrera personuppgiftsbehandlingar
2. Rapportera personuppgiftsincidenter
3. Konsekvensbedömning (DPIA)
4. Personuppgiftsbiträdesavtal (PUB-avtal)
5. Lagringsminimering, arkivering och gallring
6. Registerutdrag
7. E-post
8. Systemsäkerhet
9. Behörighet
10. Samtycke
11. Informationsplikt
12. Efterlevnad

1. Registrera personuppgiftsbehandlingar

Alla personuppgiftsansvariga (respektive nämnd) ansvarar för sina personuppgiftsbehandlingar. Alla behandlingar ska finnas i ett gemensamt register och de olika enheterna/verksamheterna är i sin tur ansvariga för att registret både är kvalitetssäkrat och uppdaterat.

Registret hjälper oss ha kontroll över vilka personuppgiftsbehandlingar vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, kontrollera att vi till exempel har en rättslig grund att behandla uppgifterna.

Registret är en total kartläggning av alla behandlingar av personuppgifter som utförs inom respektive nämnd. Det ger en översikt över alla register, system och dokument där personuppgifter förekommer.

Nacka kommuns register ligger i ett system som heter Draftit.
Här registerar vi all behandling av personuppgifter, både det som sker i system och manuellt.

Vill du ha tillgång till systemet, maila servicecenter som ansvarar för behörighetshantering. Tänk på att endast den som ansvarar för registreringen, det vill säga den som arbetar aktivit i systemet (alternativt enhetschefen) som ska ha behörighet.

För stora, övergripande system som flera nämnder använder - till exempel Platina eller Pulsen Combine - är det systemägaren som ansvarar för registreringen i Draftit. Systemägaren ska registrera vilka personuppgifter som behandlas. Har din enhet redan gjort en registrering, låt den ligga kvar tills vidare i Draftit.

2. Rapportera personuppgiftsincidenter

Definition

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättighetererna inskränks.

Exempel:

  • diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

  • blivit förstörda
  • gått förlorade på annat sätt
  • kommit i orätta händer.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter. (Källa: Datainspektionen)

Exempel på incidenter:

  • Någon har kommit över ett lösenord som gör att den skulle kunna logga in i system som behandlar personuppgifter.
  • Ett mail med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare.
  • Ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd.
  • En dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.

Så här rapporterar du en incident:

En personuppgiftincident ska anmälas till Datanspektionen inom 72 timmar efter att den har upptäckts. Detta gäller även om incidenten inträffat hos ett av våra biträden, det vill säga någon av våra leverantörer. Därför är det viktigt att varje medarbetare rapporterar inträffad personuppgiftsincident.

Alla personuppgiftsincidenter ska rapporteras. Det är viktigt för att vi ska kunna agera vid både allvarliga och mindre allvarliga brister. Varje medarbetare ansvarar för att rapportera risk för, misstanke om eller inträffande av en personuppgiftsincident.

Här rapporterar du incidenter.

Läs dokumentet Personuppgiftsincidenter: Guide och rutin för rapportering (Word-dokument, 51 kB)

3. Konsekvensbedömning (DPIA)

Vid personuppgiftsbehandlingar som sannolikt medför en hög risk för den registrerades integritet måste en konsekvensbedömning genomföras.

Den engelska förkortningen som ofta förekommer är DPIA = Data Protection Impact Assessment.

Syfte med bedömningen är att

  • förebygga risker innan de uppkommer
  • att bedöma om personuppgifterna som samlas in är nödvändiga för ändamålet
  • att bedöma om den personuppgiftsansvarige har vidtagit tillräckliga åtgärder för att skydda den registrerades integritet och rättigheter.

En konsekvensbedömning beskriver syftet med personuppgiftsbehandlingen samt risker som kan uppstå för den vars personuppgifter behandlas.

Konsekvensbedömningen är ett av sätten för den personuppgiftsansvarige att påvisa sin efterlevnad.

En konsekvensbedömning som medför hög risk för den registrerades integritet ska genomföras

  • innan vi påbörjar en ny personuppgiftsbehandling
  • vid pågående behandlingar som inte konsekvensbedömts tidigare, eller
  • vid pågående behandlingar där risken ändrats (ökat).

Ta fram en dataflödesanalys

I en konsekvensbedömning ingår en dataflödesanalys vilket innebär

  • en översikt av den funktionella, logiska designen och fysiska designen
  • en lista med information om databaser/tabeller/fritextfält som innehåller personuppgifter
  • en beskrivning av hur personuppgifter flödar mellan olika parter och gränssnitt, inkluderat detaljer om portar, protokoll, API'er och kryptering.

Ett dataflödesdiagram ska tas fram eller ses över för livscykelhanteringen av personuppgifter exempelvis insamling, användning, överföring och utlämning samt arkivering alternativt gallring. I diagrammet beskriver vi när vi bör notifiera och få samtycke från den registrerade för personuppgiftsbehandling.

Mall för konsekvensbedömning - DPIA (Word-dokument, 51 kB)

Instruktion till mall för konsekvensbedömning (Word-dokument, 51 kB)

Dataflödesanalys - innehållsbeskrivning (Word-dokument, 51 kB)

4. Personuppgiftsbiträdesavtal (PUB-avtal)

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Ett PUB-avtal är ett avtal som skrivs mellan personuppgiftsansvarig (här: varje nämnd i Nacka kommun) och våra personuppgiftsbiträden (leverantörer som på uppdrag av oss behandlar personuppgifter).

Varje enhet ansvarar för att PUB-avtal ingås med samtliga leverantörer/anordnare eller övriga externa aktörer där personuppgifter överlämnas för behandling.

I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.

PUB-avtal som upprättats innan 25 maj 2018 ska uppdateras.

Kontakta kommunjuristerna för stöd i arbetet med PUB-avtal.

Mall för PUB-avtal (Word-dokument, 55 kB)

PUB-avtal - följebrev/missiv (Word-dokument, 43 kB)

Observera: Mallen för PUB-avtal är inte gjord i Nacka kommuns mall, eftersom ett avtal inte ska innehålla endast en logotyp. Läs mer om avtal här.

5. Lagringsminimering, arkivering och gallring

En av de grundläggande principerna i dataskyddslagstiftningen är principen om lagringsminimering, det vill säga att samla in så få personuppgifter som möjligt. Du får bara samla in de uppgifter som behövs för att kunna utföra arbetet.

Om informationshanteringsplaner och arkivering alternativt gallring

När verksamhetens grund för behandling upphör ska uppgiften arkiveras alternativt gallras. Detta ska framgå i en informationshanteringsplan (tidigare kallad dokumenthanteringsplan) som ska hållas uppdaterad. Den talar om hur allmänna handlingar hos verksamheten ska hanteras och förvaras. Detta säkerställer en enhetlig hantering i kommunen och underlättar vid sökning av information. Den kan även vara ett hjälpmedel för att snabbt få en uppfattning om vad man arbetar med för typ av information i verksamheten och hur den hanteras.

Det finns många behov att ta hänsyn till och det är inte alldeles lätt att komma fram till när tidpunkten infaller då behandlingen ska upphöra och uppgifterna ska arkiveras alternativt gallras . Därför är det viktigt att på varje enhet och i varje system/behandling tänka igenom vilka rutiner som är bäst för er verksamhet och för integritetsskyddet.

Läs mer om informationshanteringsplaner på kommunarkivets sidor. Där finns information om vilka planer som är framtagna, både på kommungemensam nivå och för olika enheter. Där hittar du även instruktioner/mallar för hur du tar fram en informationshanteringsplan.

Dataskyddsförordningen och arkivering

Arkivering ska ske på separat plats, det vill säga ej i de system du arbetar i.

Dataskyddsförordningen reglerar behandlingen (inhämtande, hantering och lagring) av personuppgifter i verksamheten. Ett syfte är att säkerställa bättre kontroll och säkerhet kring behandlingen.

Offentlighetsprincipen (med reglerna i tryckfrihetsförordningen, offentlighets- och sekretesslagen samt arkivlagen) syftar till att säkerställa allmänhetens tillgång till allmänna handlingar. Dataskyddsförordningen hindrar inte kommunen från att lämna ut allmänna handlingar enligt offentlighetsprincipen.

Arkivlagen reglerar skyldigheten för bland annat kommuner att bevara sina allmänna handlingar.

Dataskyddsförordningen ställer krav på att personuppgifter ska arkiveras alternativt gallras när verksamhetens syfte/grund för behandlingen upphört. Det är därför viktigt att se över och ha väl övervägda tidsfrister i informationshanteringsplanerna.

6. Registerutdrag

Varje medborgare har rätt att få veta om myndigheten behandlar dennes personuppgifter. Vi är skyldiga att, vid förfrågan, ge ut dessa uppgifter till medborgaren genom ett så kallat registerutdrag.

Ett registerutdrag inkluderar både strukturerad och ostrukturerad data (Word-filer, Excel-filer, enklare listor etc). Undantag finns: ett registerutdrag omfattar till exempel inte personuppgifter som finns i löpande text som utgör ett utkast eller en minnesanteckning.

Ett registerutdrag ska innehålla:

  • Ändamålen med behandlingen.
  • De kategorier av personuppgifter som behandlingen gäller.
  • De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut,
  • Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
  • Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
  • Rätten att inge klagomål till en tillsynsmyndighet.
  • Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

Ta fram texter som klart och tydligt motiverar för medborgaren vilken grund ni har för att behandla just denna uppgift.

Begär registerutdrag: E-tjänst eller blankett

Du kan begära ett registerutdrag för dig själv eller för någon annan, tilll exempel som vårdnadshavare eller via fullmakt. Det gör du på sidan Begär registerutdrag, där du kan välja mellan att använda en e-tjänst eller ladda ner en blankett som du sedan lämnar i receptionen på Nacka stadshus.

7. E-post

Dataskyddsförordningen styr hur vi får använda/behandla personuppgifter i samhället. Förändringen påverkar även vår e-posthantering och kräver att vi förändrar vårt arbetssätt och våra rutiner kring hantering av personuppgifter i e-post.

Grundregel: Hantering av personuppgifter ska främst ske i system, inte i e-post. Hantering av personuppgifter i e-post räknas också som behandling av personuppgifter och samma krav gäller som för alla andra behandlingar.

Ett e-postmeddelandet med personuppgifter får inte ligga kvar i inkorgen eller i skickat-mappen hur lång tid som helst. När din behandling av personuppgifter är klar ska informationen antingen flyttas över till lämpligt system eller raderas. Den tid som en personuppgift lagras i e-posten ska begränsas till ett strikt minimum.

I e-posten får du inte alls behandla eller spara personuppgifter som är känsliga eller sekretessbelagda. Om känsliga eller sekretessbelagda personuppgifter inkommer kan du till exempel inte vidarebefordra eller svara på mailet när det innehåller uppgifterna. (Läs mer om känsliga personuppgifter här).

Skicka aldrig känsliga eller extra skyddsvärda personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter. Undvik även att skicka andra integritetskänsliga och extra skyddsvärda uppgifter som exempelvis lönebesked, värderingar av en person såsom social förmåga eller provresultat via e-post (läs mer om extra skyddsvärda personuppgifter här).

För över personuppgifter till andra system och radera mejlet. Om en anställd till exempel mejlar in och sjukanmäler sig: registrera det i lönesystemet och radera mejlet.

Använd e-post för att kommunicera, inte lagra. Bestäm hur länge enheten behöver spara e-post, flytta eller radera mejlen efter den tiden. Spara aldrig mejl med personuppgifter i Outlook "för att det kan vara bra att ha". Informera alla anställda på din enhet om ovanstående punkter.

Om du måste använda e-post se över om det går det att avidentifiera uppgifterna.

Samma regler gäller vare sig du skickar e-post internt eller externt.

Läs mer i dokumentet Guide för säker e-posthantering (PDF-dokument, 202 kB).

8. Systemsäkerhet

Systemägaren är ansvarig för att systemet uppfyller säkerhetskraven.

Systemsäkerhet kräver ett samarbete mellan flera enheter och dess olika kompetenser, både någon från verksamheten som kan arbetsprocessen och vilka krav som finns och någon som har IT-kompetens och känner till vilka krav som ställs på IT-system utifrån dataskyddsförordningen.

Genomför en informationsklassning för att veta vilken typ av information enheten hanterar och vilka krav som ställs på hantering av denna. Ni analyserar där vilka krav ni har på er informations konfidentialitet, riktighet, spårbarhet och tillgänglighet.

  • Analys av systemsäkerhet: Baserat på hur informationen klassats analyseras de krav som ställs på systemet.
  • Riskanalyser: Identifiering och bedömning av risker vars konsekvenser kan leda till störningar i informationstillgången, allvarliga händelser eller extraordinära händelser.

Digitaliseringsenheten kan ge stöd till systemförvaltare och systemägare för att tilll exempel göra analys av system. Finansiering sker enligt ordinarie process.

Läs mer om informationsklassning här.

9. Behörighet

Princip: Bara den som har rätt att behandla personuppgifter ska kunna utföra denna behandling. Ett grundkrav på system som innehåller personuppgifter är att de går att behörighetsstyra.

Säkerheten kring behörigheter beror mycket på tilldelning och avslutande av behörigheter. Om det dessutom gäller tillgång till känsliga personuppgifter är kraven ännu högre på fungerande rutiner för behörighetshantering och även loggningsfunktioner i systemen, exempel vem som gjorde var och när.

Skapa arbetsrutiner för behörigheter:

  • Säkerställ att enheten har fungerande rutiner även när en medarbetare byter tjänst internt.
  • Ha rutiner för att minst årligen kontrollera att behörigheterna är korrekta.
  • Kraven på behörigheter gäller även våra leverantörer. Se därför regelbundet över vilka behörighet som finns hos våra leverantörer.

Läs mer i Guide för säker behörighetshantering (PDF-dokument, 141 kB)

10. Samtycke

Samtycke kan bara användas när det verkligen föreligger ett fritt val för den registrerade.
Myndighetens ansvar är att visa att den registrerade har fått tydlig information och gjort ett fritt och aktivt val att samtycka.

Samtycke till behandling av extra känsliga personuppgifter kräver ett extra tydligt samtycke.

  • Se över rutiner där samtycke faktiskt måste ges. Vid behov bygg upp rutiner för att en medborgare ska kunna ta tillbaka ett samtycke.
  • Se över de blanketter och de sätt som samtycke ges på idag. Se över och justera era samtycken så de följer dataskyddsförordningen. De samtycken som tillkommit innan den 25 maj 2018 är endast giltiga om de följer kraven i dataskyddsförordningen.
  • Se över om det finns några samtycken, både blanketter och i system, som kan tas bort. Principen är att inte begära in samtycke om man redan har en rättslig grund för behandling.

Mall för samtycke (Word-dokument, 44 kB)

11. Informationsplikt

Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.

Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen.

Om personuppgifter som rör en registrerad person samlas in ska vi lämna följande information;

  • Identitet och kontaktuppgifter för den ansvariga nämnden
  • Ändamålen med behandlingen
  • Den rättsliga grunden för behandlingen
  • Den period personuppgifterna kommer att lagras
  • Den registrerades rättigheter såsom rätten att bli bortglömd

Läs mer om behandling av personuppgifter här.

Information till registrerad om personuppgiftsbehandling - mall (Word-dokument, 15 kB)

12. Efterlevnad

Vi ska kunna visa att vi följer Dataskyddsförordningen. Omvänd bevisbörda tillämpas. Det innebär att Datainspektionen (som är tillsynsmyndighet) inte behöver visa att vi gjort fel, utan vi måste istället visa att vi gjort rätt.

Detta gör vi bland annat genom att skapa ordning och reda och ha ett strukturerat och medvetet arbetssätt.

Ett effektivt sätt att visa på efterlevnad av lagen är att dokumentera det vi gör, till exempel genom att arbeta utifrån områdena som beskrivits ovan och dokumentera utfallet. Exempel på dokumentation:

  • register över personuppgiftsbehandlingar (Draftit)
  • dokumenterade konsekvensbedömningar
  • informationshanteringsplaner
  • säkerhetsskyddsanalyser
  • klassningar av system
  • beslutsunderlag till varför vi valt att hantera personuppgifter på ett visst sätt
  • åtgärdsplaner
  • utförda åtgärder vid incidenter
  • kravställning på systemleverantörer
  • PUB-avtal i enlighet med dataskyddsförordningen.

Exempel på andra förändringar genom dataskyddsförordningen

Missbruksregeln är borttagen

Sverige har tidigare haft ett unikt undantag vid så kallad ostrukturerad behandling av personuppgifter, missbruksregeln. Denna regel har i och med dataskyddsförordningen försvunnit. Undantaget förenklade vår hantering av personuppgifter och borttagandet innebär en ökad administrativ börda för personuppgiftsansvariga (respektive nämnd). Vanliga exempel på ostrukturerad behandling av personuppgifter är i e-post, Word-filer, Excel-filer, enkla listor och på hemsidor där personuppgifter hanteras i löpande text.

Utökade skyldigheter för personuppgiftsbiträden

Även personuppgiftsbiträden har fått skadeståndssanktionerade skyldigheter, till exempel att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Detta kommer att påverka inte minst många IT-leverantörer som hanterar personuppgifter för vår räkning.

inbyggt dataskydd och dataskydd som standard

Området kallas även "Privacy by design and by default" på engelska.

När vi utvecklar nya IT-system där personuppgifter ska behandlas måste integritetsfrågorna beaktas redan från början så att inte fler uppgifter än nödvändigt behandlas i dem (dataskydd som standard). Vi behöver även säkerställa att lämpliga säkerhetsmekanismer är inbyggda i lösningen (inbyggt dataskydd).

Dataportabilitet

Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll (rätten till dataportabilitet). Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att denna behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana personuppgifter som den registrerade själv har lämnat.

Då en kommun även omfattas av andra lagar blir denna regel tillämpbar inom ett fåtal områden.

Rätten att bli glömd

"Rätten att bli glömd" innebär att den registrerade kan begära att den personuppgiftsansvarige (respektive nämnd) ska radera personuppgifter om dem. Då en kommun även omfattas av andra lagar blir denna regel tillämpbar inom ett fåtal områden för en kommun.

Frågor och svar om personuppgifter och dataskyddsförordningen

Du kan hitta vanliga frågor och svar om personuppgifter och dataskyddsförordningen i vår FAQ.

Sidan uppdaterades:

Mitt Nacka

  • …så får du upptäcka spännande evenemang i din närhet.