Dataskyddsombudet listar viktiga krav
Kommunjurist Jennifer Ralph är sedan årsskiftet utsedd att vara kommunens nya dataskyddsombud. De flesta av kommunens medarbetare hanterar personuppgifter dagligen och det är därför viktigt att alla är väl insatta i vilka krav som ställs enligt den nya dataskyddförordningen som trädde i kraft 25 maj 2018.
Här listas exempel på vad som är viktiga att ta hänsyn till:
- Personuppgifter ska behandlas på ett säkert sätt. På hint finns information om hur personuppgifter kan förvaras och skickas på ett säkert sätt.
- Personuppgifter får inte behandlas utan laglig grund och den vars personuppgifter behandlas ska alltid informeras.
- Personuppgifter får inte behandlas en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Om exempelvis e-post innehåller personuppgifter måste den gallras så fort det är tillåtet enligt dokumenthanteringsplanen om det inte går att motivera att det är nödvändigt att den bevars.
- Offentlighetsprincipen har företräde framför GDPR vilket innebär att kommunen aldrig kan neka att lämna ut allmänna handlingar enbart för att de innehåller personuppgifter. En prövning ska dock alltid göra av om det finns någon sekretessbestämmelse som omfattar personuppgifterna eller andra uppgifter i handlingen.
- Nämnderna är personuppgiftsansvariga för alla personuppgifter som behandlas inom förvaltningen. Enligt dataskyddsförordningen har den som behandlar personuppgifter ett ansvar för att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter
- Alla behandlingar av personuppgifter ska registreras i kommunens registerförteckning i draftit. Förvaltningens dataskyddskoordinator ska kontaktas för en länk till systemet.
- Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av dator eller telefon som innehåller personuppgifter, måste kommunen dokumentera incidenten och i vissa fall anmäla den till datainspektionen inom 72 timmar från att incidenten upptäcks. Incidenten ska därför omgående anmälas I KIA.
- En konsekvensbedömning ska göras i de fall en behandling sannolikt leder till en hög risk för den enskildas rättigheter och friheter särskilt med beaktande av behandlingen art, omfattning, sammanhang, ändamål och ny teknik. Dataskyddsombudet ska alltid rådfrågas vid en konsekvensbedömning.
Om du eller din enhet har behov av mer utbildning avseende GDPR kontakta Jennifer Ralph.
1 januari 2021 bytte Datainspektionen namn till Integritetsskyddsmyndigheten (IMY).
Mer utförlig information kring GDPR och annan juridik finns på Hint: https://intranet.haninge.se/stod-och-service/juridik/
Senast uppdaterad: 7 januari 2021